Базираният в Палестина VPNShazam няма точно най-високия профил и бързото сканиране на уебсайта му може да ви накара да се чудите защо, защото на пръв поглед услугата изглежда пълна с привлекателни функции.
Размер на мрежата? Отличните 2000 сървъра, разпространени в 140 страни. (Това изглежда малко вероятно за малка VPN, но отговаря на мрежовата статистика за PureVPN, а по-нататъшните редове с имена на DNS и сървъри ни оставят да подозираме, че двете компании използват една и съща инфраструктура.)
Шифроване? Изобилие от опции с поддръжка за протоколи PPTP, L2TP, OpenVPN, SSTP и IVEv2.
P2P поддръжка? Не на всички сървъри, но е налице, ако имате нужда от него.
Специализираните IP планове ви осигуряват фиксиран IP адрес от една от шестте държави - САЩ, Великобритания, Канада, Австралия, Сингапур, Германия - и трябва да подобрят шансовете ви да влезете в уебсайтове с геоблокиране.
- Искате ли да опитате VPNShazam? Вижте уебсайта тук
Доверен? Трудно е да се каже от уебсайт, но услугата съществува от 2009 г., което предполага, че изпълнява поне някои от обещанията си.
Има очевиден недостатък в приложенията на VPNShazam, тъй като компанията предлага само Windows и Android предложения - по-добрите услуги като ExpressVPN или NordVPN предлагат Mac, iOS, Linux и други.
Страницата за настройка на VPNShazam обяснява как да конфигурирате услугата на множество платформи - Mac, iPhone, iPad, множество версии на Windows, различни типове рутери, Chromebook, дори как да конфигурирате вашето устройство с Windows VPN като безжична точка за достъп, която други устройства могат използване.
След като стартирате и работите, VPNShazam поддържа до пет едновременни връзки.
Звучи добре за нас, но ако нещо от това не работи както трябва, VPNShazam обещава 24/7/365 поддръжка за билет (не чат на живо.)
Записвам се
Ценообразуването на VPNShazam изглежда справедливо, вариращо от 8,99 долара месечно до 2,25 долара за годишния план за редовния VPN план, 10,95 долара (месечно) до 4,50 долара (за две години) за специален IP.
Странно е, че отделна страница „Най-добра оферта“ очевидно ви дава цяла година от същия план за еднократни $ 13,99 или еквивалентни $ 1,17 на месец. Защо бихте похарчили $ 8,99 за еднократен месец или $ 34 за годишния план, ако вместо това можете да се регистрирате за $ 13,99 на година? Може би ще е изчезнал, докато прочетете това, но ако не, изглежда изключително евтино.
Каквото и да изберете, VPNShazam поддържа дълъг списък с начини на плащане: карта, PayPal, Alipay, Perfect Money, Coinbase, Paymentwall, Coins Payment, Skrill и WebMoney (което означава, че можете да плащате чрез Bitcoin и множество други криптовалути.)
Придържахме се към нашата много средна и обикновена опция за PayPal, завършихме транзакцията както обикновено и само няколко минути по-късно пристигна имейл с потвърждение на плащането и с включване на данните ни за вход.
Системата за фактуриране и управление на акаунти на VPNShazam се захранва от WHMCS, същата платформа, използвана от много уеб хостове. Ако го разпознаете от уеб хост, който сте използвали, това ще бъде малък плюс, тъй като веднага ще знаете как да се ориентирате.
Търсите например информация за вашия VPN акаунт? Щракнете върху Услуги, щракнете върху плана, ще получите информация за вашия акаунт и опции за промяна на паролата или заявяване на анулиране на същия екран. Лесно.
Сигнал за сигурност
Приложението на VPNShazam за Windows започна необичайно лошо, когато Windows SmartScreen вдигна сигнал, предупреждавайки, че този файл не се изпълнява често. Стартирахме го ръчно и Panda Antivirus уби и постави файла под карантина, наричайки го вирус.
Може ли това да е истина? Качихме го във VirusTotal и той не беше маркиран от нито един механизъм (дори и на Panda, странно.)
Проверихме резултатите както от статичен, така и от динамичен анализ на файла (как е структуриран файлът и какво прави, когато работи) и не видяхме нищо подозрително.
Тъй като SmartScreen сигнализира за файла чисто на базата на това, че е чисто нов, подозираме, че предупреждението на Panda също е взело това предвид, а фактът, че е инсталатор - което означава, че е настроен да прави много системни неща от ниско ниво - го е натиснал Прагът на „това може да е опасно“ на Panda.
Тогава ще третираме това като фалшива аларма и няма да го броим като знак срещу VPNShazam.
Интерфейс и функции
Приложението VPNShazam за Windows има обемист интерфейс, който губи огромно количество пространство за големи графики, безсмислена странична лента, връзки към социални медии и др.
Всичко е по-сложно, отколкото трябва. Панелът „Избор“ ви моли да изберете измежду четири опции, например: Динамична VPN, Специализирана VPN, Канали (списък с телевизионни канали и стрийминг услуги) и „Град“. Ако сте закупили динамичен VPN план, трябва ли да изберете това? Прилага ли се „Канали“ за динамични и специални планове? Наистина ли градският избор трябва да бъде изцяло отделен панел?
Проблемите продължиха и след свързването, когато открихме, че един панел заема толкова място, колкото някои цели VPN приложения, само за да изброим някои основни характеристики на VPN (нашият IP адрес беше скрит, сърфирахме анонимно, имахме достъп до блокирани сайтове, нашата връзка сега е криптиран.) Знаем, благодаря, затова се регистрирахме - няма нужда да ни казвате това сега.
Има много други неприятности за интерфейса и използваемостта. Приложението няма опция „автоматично“ за автоматично избиране на най-близкия сървър, например, и не помни последния сървър, който сте избрали, или включва система „Предпочитани“ за бързо намиране на често използвани местоположения. И така, докато други приложения ви свързват с едно щракване след стартиране, тук трябваше да щракнем върху Dynamic VPN, да щракнете върху „Избор на държава“, да изберете предпочитаното от нас местоположение и след това да щракнете върху Свързване, всеки път.
Приложението възпроизвежда звуков сигнал, след като връзката завърши. Добре е да знаете кога сте защитени, но звуковите сигнали могат да бъдат досадни и може да не искате да съобщавате на всички наблизо, че „сега използвам своята VPN“. За съжаление няма начин да ги деактивирате.
Веднъж свързано, приложението няма да минимизира към системната област, за разлика от почти всяко друго VPN приложение, което някога сме виждали. Не е най-голямата сделка, но това означава, че бутонът за приложение постоянно заема място в лентата на задачите ви.
Щракнете върху Прекъсване и приложението ще попита „Сигурни ли сте?“ Това е чудесно като опция по подразбиране, но приложението не позволява да бъде деактивирано, което означава допълнително щракване всеки път, когато затворите VPN сесия.
Където и да погледнете, има много малко опции за конфигуриране. По същество те са ограничени до избор на протокол (PPTP, L2TP, IKEv2, SSTP, OpenVPN TCP и OpenVPN UDP, и незадължителен „Killer Switch“ (по-страшно наречена версия на kill switch, която на теория деактивира вашата интернет връзка) за предотвратяване на изтичане на данни, ако VPN падне.)
Тестове за приложения на Windows
Приложението на VPNShazam за Windows се свързва бързо, поне с първите ни опити, като се включва онлайн за по-малко от две секунди, когато се използва IKEv2.
Когато избрахме OpenVPN обаче, приложението отне повече от минута, за да се свърже.
Разследвайки това, установихме, че приложението не е успяло да се свърже чрез OpenVPN, но не е показало никакво предупреждение и просто е преминало към друг протокол (IKEv2 в нашия случай), без да каже на потребителя.
Това са лоши новини за неуспеха на връзката, но също така е лоша практика да позволявате на потребителя да мисли, че използва един протокол, а в действителност използва друг. Имайте предвид, че приложението използва древния протокол PPTP, така че несигурните някои VPN вече са го изпуснали изцяло. Може ли приложението да е преминало към това, ако връзката му с IKEv2 е била неуспешна? Не знаем, но приложението не показва текущия протокол, така че няма очевиден начин потребителите да разберат.
Родните връзки на Windows (IKEv2, PPTP, L2TP) бяха поне разумно конфигурирани, изисквайки криптиране и деактивиране на IPv6, за да се намали вероятността от изтичане на данни.
Приложението замени нашите редовни DNS сървъри със свои собствени, намалявайки вероятността от изтичане на данни.
Опитахме принудително да затворим VPN връзката, за да видим какво ще се случи. Приложението актуализира интерфейса си, но за съжаление не показва никакво известие или звуков сигнал. Освен ако прозорецът на приложението не се виждаше, бихме си помислили, че данните ни са защитени, дори когато VPN не работи и използвахме нашата редовна връзка.
Приложението получи голяма актуализация по време на прегледа, затова опитахме този тест отново. Има някои подобрения - веднъж получихме звуков сигнал, приложението се свърза отново по друго време - но резултатите бяха много непоследователни и показването на необработени и много загадъчни съобщения за грешка .NET („ErrorCode: 2148204815, неизвестно изключение на RAS“) предполагаше грешката му боравенето „се нуждае от малко работа“.
Това не ни даде много надежда за превключвателя за убиване на приложението, но все пак го проверихме.
Включихме ключа за убиване, опитахме отново и отново получихме много смесени резултати.
Понякога приложението се свързва отново и пуска звуков сигнал, за да ви предупреди, че нещо се е случило.
Но в други случаи то просто показва съобщение за грешка, не успява да се свърже отново и не блокира и нашата интернет връзка. Ако не видяхме предупреждението, може би защото изпълнявахме приложение на цял екран, нямаше да знаем как връзката ни вече не е защитена.
Проучвайки допълнително, открихме, че приложението е настроило някои правила на защитната стена на Windows, което предполага, че има основата на механизъм за превключване на убийства. Може би ще работи правилно в някои ситуации. Но това не направи много за нас и това е значително по-лоша производителност, отколкото виждаме при повечето VPN.
Уязвимост
По време на прегледа на VPNShazam открихме необичаен и тревожен проблем със сигурността.
Уебсайтът на VPNShazam включваше файлове с подробности за своите VPN сървъри. Поне един от тях е препратен от приложението за Windows. Открихме, че е възможно атакуващият да замени този файл или да качи произволен собствен файл, като не използва нищо повече от уеб браузър.
Първоначалната ни грижа беше, че списъците на VPNShazam могат да бъдат компрометирани, може би пренасочвайки потребителите към злонамерени сървъри. Не знаем до каква степен представлява рискът - да накараме клиентите на VPNShazam да се свържат с фалшивите сървъри е съвсем нова задача сама по себе си - но фактът, че тази дупка в сигурността изобщо е съществувала, е тревожен.
Вторичен проблем е, че нападателите биха могли да качат произволни собствени файлове, може би злонамерен софтуер или фишинг страница, които след това ще бъдат обслужвани от уебсайта VPNShazam. Файловете могат да бъдат качени само в същата папка като списъците, значително ограничавайки въздействието на всяка атака (например не би било възможно да се заменят инсталаторите на приложения или съществуващи уеб страници), но това все още е проблем.
Попитахме VPNShazam за това и компанията отговори:
„Бих искал да потвърдя, че нашите потребители са сигурни и вече никой не използва този списък със сървъри. Използвахме тези списъци със сървъри за нашите стари VPN приложения преди 2 години и вече не е използваем. Обсъдихме това вътрешно и решихме да го направим офлайн, тъй като вече не е полезно и може да причини проблеми или лоши впечатления за нашите услуги.
„… благодарим ви, че посочихте това. Взехме списъците, JSON и файловете за качване офлайн. Нашите текущи приложения за Android и Windows VPN използват много сигурен API за зареждане на списъка със сървъри и поддържани протоколи до локалния файл с данни, включен в приложенията, за да се зареди от случай, че API не е достъпен, ако клиентът има проблем с интернет. '
Проверявайки тази информация, установихме, че данните на сървъра, използвани в момента от приложението, са различни от данните в списъците, което предполага, че това не е текуща уязвимост.
Един от списъците със сървъри имаше „последна промяна“ на януари 2022-2023 г., представяйки поне възможността за използване тази година. Файлът обаче можеше да бъде променен от последния му употреба и повечето файлове бяха от 2016-2017 г., съответстващи на казаното от компанията.
Въпреки че е добре да се види, че текущите списъци със сървъри за приложения вече не са изложени на риск от тази форма на атака, изглежда, че те може да са били в предишни години. Въпреки че не сме ясни за обхвата на експлоата, това не е точно успокояващо.
Още по-лошото е, че вторият проблем със сигурността, способността на нападателите да качват свои собствени файлове на сайта VPNShazam, беше активен до момента на нашите разследвания.
VPNShazam предприе действия след нашия доклад, както компанията обеща, премахвайки уязвимите файлове и блокирайки и двата експлоата.
Лошата сигурност на уебсайта, която отвори тези вратички, не вдъхва особено доверие, особено в компания, на която се доверявате с най-поверителните си уеб дейности.
Нетфликс
Както при много други доставчици, VPNShazam прави големи претенции относно своите способности за деблокиране.
„Представете си свят без интернет ограничения и бариери“, обяснява компанията, „където можете да сърфирате на какъвто искате уебсайт в социалните медии, да предавате всички филми и видеоклипове, които искате, без никакви ограничения“. „Всички“ филми и видеоклипове, които искате? Без „никакви“ ограничения?
Може би компанията прекалява малко с маркетинга, но започна добре в нашите тестове, като сървърът в Обединеното кралство ни даде незабавен достъп до BBC iPlayer.
Свързването с САЩ позволи разглеждане на някои от по-слабо защитените сайтове, включително съдържание само за САЩ в YouTube.
Най-хубавото е, че имахме достъп до Netflix в САЩ и Япония. Записът на VPNShazam не беше перфектен - Netflix беше блокиран във Великобритания и Канада, но е по-добре, отколкото ще видите при много доставчици.
производителност
За да оценим ефективността на VPN, използваме сайтовете за сравнение SpeedTest и TestMy, за да измерим скоростта на изтегляне от местата в Обединеното кралство и САЩ.
Нашите резултати в Обединеното кралство бяха малко непоследователни, вариращи от 55-66Mbps на нашата тестова линия от 75Mbps. Повечето VPN управляват 64-66Mbps почти през цялото време. И все пак 55Mbps не са точно бавни и като цяло VPNShazam имаше достатъчно скорост за повечето задачи.
Нашата тестова връзка в САЩ е способна на повече от 600Mbps, което дава на всяка VPN голям шанс да покаже какво може. Но резултатите от VPNShazam бяха само незначително по-добри, отколкото видяхме във Великобритания, със средни скорости, вариращи от 70-96Mbps.
Ефективността може да е „достатъчно добра“, в зависимост от устройството и връзката ви и това, което се надявате да направите, но е малко вероятно да ви взриви.
Окончателна присъда
VPNShazam има някои основни технически проблеми и проблеми с използваемостта и никога не бихме разчитали на това да защитава поверителността ни. Ако някога ще използвате услугата само за деблокиране на сайтове като US Netflix или BBC iPlayer, нейната ултраниска цена от 13,99 долара на година може да изглежда примамлива, но не е хазарт, който ви препоръчваме да вземете. Вместо това заложете на мъртъв сертификат като ExpressVPN.
- Също така подчертахме най-добрите VPN услуги
