Больше удобства и красоты

Мы добавили уведомление, которое появляется при включении Захвата пакетов (PCAP). Хотя эта функция полезна для диагностики и анализа сетевого трафика, она может влиять на производительность. Уведомление заранее проинформирует вас об этом.
Мы также доработали интерфейс, поправив отступы и цвета нескольких элементов, чтобы приложение выглядело чище и более единообразно.

Без ошибок и проблем безопасности

Мы устранили проблему с кнопкой Подключить. Ранее она могла исчезать при возвращении главный экран из других частей приложения с помощью системной кнопки Назад. Теперь кнопка остаётся на своём месте.
Мы также убрали потенциально уязвимую функцию, которая позволяла добавлять домены в исключения через браузер.

С вашей помощью

Ваши идеи, предложения и запросы — топливо для развития AdGuard. Делитесь ими в социальных сетях и на GitHub.

Целая неделя доступа к премиум-функциям

Если вы только начинаете пользоваться AdGuard VPN, с версии 2.10 у вас будет возможность получить 7-дневную пробную версию с премиум-функциями: доступом ко всем локациям, подключению до 10 устройств одновременно и отсутствию ограничений по трафику. Попробуйте AdGuard VPN в повседневных ситуациях — от просмотра трансляций и игр до постоянной фоновой защиты на ходу, чтобы понять, насколько этот сервис подходит для вашего образа жизни.

Улучшения за кулисами

Помимо пробной версии, в этой версии появилось несколько практических улучшений: мы обновили VP-клиент, исправили проблемы с экспортом исключений с Mac и видом AdGuard VPN в подсказках Siri. Эти изменения убирают небольшие шероховатости и делают приложение более стабильным и предсказуемым в ежедневном использовании.

Поделитесь первыми впечатлениями

Как вам пробная версия и версия 2.10 в целом? Поделитесь с нами в социальных сетях или на GitHub — это поможет нам стать лучше.

Такие предложения ожидаемо вызвали критику как со стороны организаций по защите цифровых прав, так и со стороны обычных пользователей. А недавно к ним присоединилось более 400 специалистов по безопасности и приватности со всего мира. Они подписали открытое письмо, где подробно описали риски обязательной проверки возраста. В нём собраны аргументы, о которых давно говорят представители технического сообщества, гражданские организации и компании, ориентированные на защиту данных — в том числе AdGuard.

Количество подписавшихся уже привлекает достаточно внимания к письму. Но вот, что ещё важно: среди них — эксперты по кибербезопасности, криптографии и приватности, которые напрямую участвовали в разработке технологий верификации возраста.

О чём говорят в письме

Письмо адресовано регуляторам и законодателям, которые принимают решения о внедрении таких систем. Чаще всего их цель — защитить детей от вредоносного контента. При этом авторы письма не выступают против проверки возраста в целом. В офлайне такие проверки существуют уже давно. Например, продавцы в магазине могут попросить паспорт. Но важно, что в таких случаях проверка не оставляет постоянного цифрового следа.

В онлайне всё устроено иначе. Масштабная проверка возраста требует сложной инфраструктуры для верификации миллионов пользователей по всему миру. Именно здесь возникают серьёзные риски для приватности и безопасности, которые недооценивают многие законодатели. При этом эффективность таких мер остаётся под вопросом.

Проверку легко обойти

Онлайн-верификацию возраста сравнительно легко обойти, подчёркивают авторы письма. Дети уже активно используют разные способы обхода ограничений, и новые системы вряд ли станут исключением. Например, можно купить «верифицированный» аккаунт или подключиться к VPN-серверу страны, где ограничения не действуют. Но есть и более изобретательные способы — например, использование ИИ или дипфейков для обмана биометрических систем. О подобных случаях уже писали в СМИ.

Кому очень нужно, тот найдёт лазейку — особенно если способы обхода появятся в открытом доступе. Ведь где есть спрос, там появляются и способы его удовлетворить. Пока некоторые обходят ограничения, законопослушные пользователи наверняка будут сталкиваться с бесконечными проверками.

Больше сбора данных, меньше приватности

Исследователи также отмечают, что системы проверки возраста неизбежно требуют от пользователей больше персональных данных. Набор данных отличается в разных системах — пользователи предоставляют паспортные данные, биометрию (в том числе сканы лица), номера телефонов или банковские данные. Даже если сервисы заявляют, что не хранят данные, они всё равно работают с крайне чувствительной информацией.

Это создаёт новые риски. Базы данных с документами и биометрией становятся целью для хакеров, брокеров данных и систем наблюдения. Даже если у создателей сервисов по верификации нет злого умысла, утечки всё равно случаются из-за ошибок или уязвимостей системы.

Чем чаще платформы требуют подтвердить личность, тем выше шанс, что ваши личные данные окажутся не в тех руках. Примеры уже есть: в октябре 2025 года утечка затронула более 70 тысяч пользователей Discord. Были скомпрометированы данные проверки возраста.

В другом случае приложение Tea допустило утечку водительских прав, селфи и другой чувствительной информации. Неясно, сколько пользователей пострадали из-за этой утечки, но этим приложением пользуется более 6 миллионов человек.

Угрозы безопасности и непредвиденные последствия

По мнению авторов письма, обязательная проверка возраста может снизить общий уровень безопасности в интернете. Если крупные платформы введут строгие проверки, то часть пользователей перейдёт на альтернативные сервисы без верификации. Такие площадки часто менее безопасны: там выше риск мошенничества, вредоносного ПО и незаконного контента.

Такое уже происходило: когда в ряде штатов США ввели обязательную проверку возраста для сайтов с контентом для взрослых, часть пользователей просто ушли на другие платформы.

Кроме того, появляются новые возможности для мошенничества — например, злоумышленники выдают себя за сервисы проверки и выманивают у пользователей паспортные данные или биометрию. Может выйти так, что система, задуманная как защитная мера, просто создаст больше возможностей для кибермошенничества.

Препятствия для пользователей

Не у всех пользователей есть доступ к нужным документам и технологиям. Мигранты или беженцы часто не могут подтвердить свой возраст из-за отсутствия подходящих документов, а удостоверения граждан других стран несовместимы с местными системами верификации.

Другие пользователи — особенно пожилые — могут испытывать трудности с загрузкой документов. А у кого-то просто нет смартфона, поддерживающего приложения с верификацией. В результате часть пользователей оказывается отрезанной от онлайн-сервисов.

Не универсальное решение

Есть ещё множество аргументов против обязательной верификации — само письмо занимает шесть страниц. Но главный тезис такой: подтверждение возраста не гарантирует той защиты, на которую рассчитывают законодатели. Дети всё равно будут обходить ограничения, а взрослые — регулярно сталкиваться с проверками и сбоями системы.

При этом технологии оценок возраста — например, скан лица — могут работать нестабильно или использоваться мошенниками. Системы верификации предполагают сбор большого объёма данных, в том числе о несовершеннолетних.

Без серьёзных исследований невозможно утверждать, что польза перевесит риски. Плохо разработанные системы могут привести к ситуации, когда приватность и безопасность пользователей окажется под угрозой. А на защиту детей это мало повлияет.

Однако авторы письма не выступают против инициатив по защите несовершеннолетних в интернете. Они предлагают сначала оценить технические ограничения и риски, и только потом закреплять такие меры на законодательном уровне. Иначе страны могут внедрить неэффективные системы, которые легко обойти и которые представляют реальную угрозу приватности граждан.

Изменит ли письмо ситуацию?

Открытые письма часто публикуют во время дискуссий о новых технологиях. В них эксперты указывают законодателям на потенциальные проблемы и риски, однако такие письма редко влияют на принятие законов.

Например, в Великобритании закон о проверках возраста всё равно был принят несмотря на критику. То же самое происходило со многими другими инициативами — политики игнорировали мнение экспертов. И вполне вероятно, что в других странах ситуация повторится.

Но это не значит, что такие письма бесполезны. Они могут повлиять на то, как будут внедряться системы по подтверждению возраста. Исследователи отметили все риски — проблемы с приватностью, риск мошенничества, лёгкость обхода таких систем. Теперь законодателям и разработчикам этих систем придётся учитывать эти аргументы.

В письме также описывается позиция сторонников более мягких решений. Если от верификации возраста отказаться не получится, то акцент может сместиться на способы снизить риски.

Кроме того, это письмо может пригодиться в будущем. Если системы не оправдают ожиданий или создадут дополнительные проблемы, на это письмо будут в первую очередь ссылаться противники новых законов.

Наша позиция: приватность на первом месте

AdGuard полностью поддерживает позицию исследователей, подписавших это письмо. Даже если такие инициативы не меняют законы напрямую, важно, чтобы аргументы в пользу приватности звучали публично.

Наш приоритет — защита конфиденциальности. Мы хотим, чтобы вы понимали возможные риски и знали, как себя защитить. Если обязательную проверку возраста введут повсеместно, к этому лучше быть готовыми.

Мы мало что можем добавить к аргументам из открытого письма, но хотим подчеркнуть самый главный риск: ваши личные данные могут оказаться в чужих руках. Чем больше информации вы передаёте — документы, биометрию, платёжные данные — тем выше риск их утечки.

Как защитить себя? Не делитесь лишней информацией без необходимости. По возможности ищите альтернативы сайтам и сервисам, которые требуют обязательную верификацию. Но если вы рассматриваете обходные решения, используйте только проверенные сайты и сервисы, чтобы избежать мошенников.

Возможный вариант обезопасить себя — использовать VPN. Это по-прежнему один из самых простых и надёжных инструментов для защиты данных, в том числе когда дело касается онлайн-верификации.

Выбор языка интерфейса

Раньше, чтобы сменить язык расширения, приходилось возиться с настройками браузера. Теперь это в прошлом. Язык можно переключить прямо в настройках расширения — без лишних действий. Меньше шагов — меньше проблем.

Более точная информация о серверах

Мы улучшили метод получения данных о пинге, а значит, в расширении будет отображаться более точная информация о доступных серверах и локациях. Работа расширения стала более предсказуемой, а ожидания — ближе к реальности.

Надеемся, что с этим обновлением пользоваться Браузерным расширением AdGuard VPN станет удобнее и приятнее.

AdGuard и Meta: первые шаги

В 2024 году Meta начала добавлять сторонние расширения в свой VR-браузер. На данный момент платформа поддерживает около 10 расширений, и AdGuard VPN — одно из немногих VPN-расширений в этом списке. Мы гордимся и польщены тем, что нас туда включили.

После тщательного тестирования мы убедились, что наше VPN-расширение работает в браузере Meta Quest так же хорошо, как и в десктопных браузерах. В этом релизе собраны мелкие исправления и улучшения, которые делают работу расширения более плавной и удобной.

Наше расширение для браузера Meta Quest работает так же, как и наши расширения для других браузеров. Чем бы вы ни занимались в своём шлеме Meta — будь то покупки, игры или сериалы — с AdGuard VPN вы будете в безопасности.

AdGuard VPN совместим со всеми шлемами на базе Meta Horizon OS — Oculus Quest 2, Quest 3, Quest 3S и Quest Pro.

AdGuard VPN не просто защищает конфиденциальность — он делает нас свободными. Теперь пользователи могут безопасно пользоваться интернетом в виртуальной реальности, где бы они ни находились.

–Денис Вязовой, руководитель продукта

Как установить Браузерное расширение AdGuard VPN в браузер Meta Quest

1. Откройте приложение Браузер на вашем устройстве Meta Quest.

2. Нажмите на иконку меню с тремя точками в верхнем правом углу.

3. Выберите Расширения.

4. Найдите AdGuard VPN в списке и нажмите на него.

5. Нажмите Установить.

Готово!

После установки AdGuard VPN будет работать как любое стандартное браузерное расширение.

Также доступно Браузерное расширение AdGuard для браузера Meta Quest! с продуктами AdGuard интернет в виртуальной реальности чище, быстрее и безопаснее — наслаждайтесь!

Поддержка доступности

Мы стремимся к тому, чтобы AdGuard VPN был комфортен для всех, независимо от особенностей восприятия. В этой версии мы расширили поддержку доступности для разделов Настройки, Настройки приложения, DNS-серверы и Поддержка. Теперь пользователи с нарушениями зрения могут пользоваться скринридерами — ещё один шаг к тому, чтобы приложение было по-настоящему инклюзивным.

Поддержка

Раздел Поддержка теперь работает с вспомогательными технологиями. Элементы интерфейса сопровождаются голосовыми описаниями и доступны для навигации без использования мыши.

Это означает, что теперь пользователи с нарушениями зрения могут перемещаться по разделу, находить нужную информацию и обращаться к команде поддержки без лишних препятствий.

Настройки → Настройки приложения

Настройки — ключевая часть любого VPN, и теперь с ними стало проще. Пользователи с нарушениями зрения или моторики могут точно понимать, какие параметры они изменяют, самостоятельно управлять поведением приложения и настраивать VPN без посторонней помощи.

DNS-серверы

Раздел DNS-серверы помогает сделать интернет безопаснее, и теперь он также полностью поддерживает технологии доступности. Пользователи, которые раньше сталкивались с трудностями из-за интерфейса, смогут легко использовать все функции этого раздела.

Ваше мнение важно для нас

Мы стремимся сделать AdGuard VPN лучше и всегда прислушиваемся к отзывам пользователей. Если у вас есть какие-либо пожелания или предложения, поделитесь ими на GitHub, в социальных сетях или через раздел Поддержка внутри приложения.

Расширение теперь доступно в Firefox для Android

Главная новость этого релиза — мы добавили поддержку Firefox для Android! У наших пользователей разный подход к использованию VPN, и мы стараемся дать каждому возможность извлечь максимум из наших продуктов. Если по какой-то причине вы не хотите использовать приложение, теперь можно переключиться на расширение AdGuard VPN в вашем любимом браузере.

Изменения в интерфейсе

В новой версии расширения мы отметили специальными иконками локации, оптимизированные для стриминга. Каждая локация кликабельна: таким образом, легко узнать, какая из локаций лучше подходит для определённых стриминговых сервисов.

Кроме того, мы исправили небольшой баг в отображении уведомлений и расчистили перегруженный экран.

Полный список изменений можно найти на нашем сайте.

Нам важно ваше мнение

Делитесь впечатлениями в наших социальных сетях, а о любых проблемах сообщайте на GitHub. С вашей помощью Браузерное расширение AdGuard VPN станет ещё лучше.

Мы давно хотели сделать наш VPN-протокол публичным. Многие из вас просили об этом, и мы всегда отвечали: да, обязательно — это лишь вопрос времени. И вот время пришло.

Что такое TrustTunnel?

По сути TrustTunnel — это современный, безопасный VPN-протокол, оптимизированный для мобильных устройств. Это та самая технология, которая уже давно используется в AdGuard VPN: на мобильных и десктопных приложениях, в браузерных расширениях.

Почему TrustTunnel? Потому что нам нужно было лучшее решение

Существует немало VPN-протоколов, и логично спросить: зачем создавать ещё один? Дело в том, что на практике мы столкнулись с недоработками популярных протоколов, особенно в странах с жёсткими ограничениями доступа в интернет.

У OpenVPN, WireGuard и IPSec есть общие слабые места: их сравнительно легко обнаружить и заблокировать на уровне сети, а попытки замаскировать VPN-трафик часто приводят к падению скорости. Классический подход — «оборачивать» VPN-данные в TCP-соединение и имитировать обычный веб-трафик — создаёт лишние задержки, так как TCP подтверждает доставку каждого пакета.

TrustTunnel устроен иначе. Он спроектирован так, чтобы выглядеть как обычный HTTPS-трафик, что значительно усложняет его замедление или блокировку. А ещё это помогает ему обходить глубокий анализ пакетов Deep Packet Inspection, или DPI) и при этом сохранять высокий уровень конфиденциальности и безопасности. Для этого используется шифрование на основе TLS — того же стандарта, что лежит в основе HTTPS, — а также транспорт HTTP/2 или HTTP/3, которые широко применяются в интернете. Каждое соединение работает в отдельном потоке, объединяя пакеты для более быстрой и эффективной передачи данных. Протокол также оптимизирован для мобильных устройств и работает даже при нестабильном соединении.

Протокол, который можно использовать, запускать, настраивать и развивать

Публикуя TrustTunnel, мы преследуем две цели.

Во-первых, мы хотим наконец показать пользователям, какой протокол лежит в основе AdGuard VPN, и дать возможность проверить его работу. AdGuard всегда поддерживал идею open-source-разработки, и многие наши продукты уже давно имеют открытый код. В этом смысле AdGuard VPN отставал, но с публичным релизом TrustTunnel ситуация меняется.

Во-вторых, мы хотим изменить сложившуюся картину в мире VPN-протоколов и предложить реальную альтернативу существующим решениям. При этом мы не ограничиваемся формальным «открытым кодом», который по факту используется только одним VPN-сервисом. Мы разделяем ценности свободного и открытого ПО (FOSS) и хотим, чтобы TrustTunnel применялся как можно шире — в том числе другими VPN-провайдерами. Мы уверены, что именно такой подход соответствует духу open-source, и рассчитываем на участие сообщества в развитии TrustTunnel. Мы будем рады любому вкладу — от идей и сообщений об ошибках до прямого участия в разработке.

Что мы сделали для этого:

1. Опубликовали первую версию спецификации TrustTunnel.
2. Выложили полный исходный код эталонной реализации сервера TrustTunnel и его клиентов под максимально свободной лицензией.

Чтобы использовать TrustTunnel, необязательно устанавливать AdGuard VPN. Вы можете развернуть собственный сервер и воспользоваться open-source-клиентами TrustTunnel:

• Клиенты для командной строки доступны для Linux, Windows и macOS
• Также мы выпускаем два клиентских приложения для iOS и Android

Клиенты TrustTunnel уже обладают широкими возможностями и позволяют:

• Гибко настраивать маршрутизацию — определять, какие запросы проходят через туннель, а какие остаются в локальной сети
• Тонко управлять трафиком, разделяя рабочие и личные данные, направляя отдельные домены или приложения и настраивая сетевое поведение без сложной конфигурации
• Благодаря журналу запросов видеть в реальном времени, куда устройство отправляет трафик, какие правила маршрутизации применяются и какие соединения идут через туннель

Полезные ссылки

Для нас это особенный момент. Мы обещали открыть исходный код нашего протокола — и сегодня выполняем обещание. Теперь, когда он стал публичным, пользователи и разработчики могут изучать TrustTunnel, разворачивать у себя и создавать на его основе собственные решения.

А узнать о TrustTunnel больше и попробовать его в деле можно здесь:
Сайт TrustTunnel
Открытый репозиторий TrustTunnel на GitHub
Приложение TrustTunnel для iOS
Приложение TrustTunnel для Android

Почему важен выбор протокола

AdGuard VPN поддерживает два современных протокола: HTTP2-over-TLS и HTTP3-over-QUIC. У каждого свои особенности, и какой лучше сейчас, зависит от местоположения, сети, сервера.

Раньше AdGuard VPN по умолчанию выбирал QUIC, даже если протокол HTTP2/TLS был лучше в конкретных условиях. В итоге соединение было не такое быстрое и стабильное, как могло быть.

Динамический выбор VPN-протокола

Благодаря новой функции AdGuard VPN автоматически выбирает наилучший протокол —HTTP2/TLS или HTTP3/QUIC — и переключается на него.

Опция включена по умолчанию. Чтобы изменить её, откройте Настройки → Настройки приложения → Расширенные настройки → Дополнительные настройки → Протокол AdGuard VPN и выберите нужный.

Если включён «Автоматический выбор», VPN адаптируется к изменениям в сети, сокращая количество обрывов соединения и ускоряя загрузку файлов. Это помогает повысить скорость VPN-подключения — особенно в регионах, где VPN работает нестабильно или с ограничениями.

Само собой мы также обновили VPN-клиент, чтобы приложение работало стабильнее. Обнаружили ошибку? Сообщите о ней на GitHub. Если хотите первыми узнавать новости об AdGuard VPN, подписывайтесь на наши соцсети:

Оба сегодняшних вопроса — от технического директора и сооснователя AdGuard Андрея Мешкова, который заметил, что некоторыми общими техническими терминами часто бросаются, но редко объясняют, что за ними стоит. Не будем ничего усложнять и сразу перейдём к первому из них:

Как работают браузерные расширения?

Сначала давайте определим, что такое браузерные расширения. Если говорить очень просто, это мини-программы, которые запускаются в браузере и тем или иным образом изменяют веб-интерфейс. Видите маленькие значки рядом с адресной строкой? Это и есть браузерные расширения. Они могут выполнять самые разные функции — от небольших изменений настроек до серьёзных улучшений. Например, одни просто меняют способ открытия ссылок или автоматически копируют текст, а другие идут гораздо дальше — блокируют рекламу и трекеры, работают как VPN или даже используют искусственный интеллект, чтобы помочь вам писать тексты или резюмировать их содержание. Обычно для их использования вам не нужно знать ничего, кроме того, как добавить их в браузер. Но всё же, как на самом деле работают все эти расширения? Давайте разбираться.

Главное в браузерных расширениях кроется в их названии. В отличие от отдельных программ, они не могут работать вне браузера. В основе взаимодействия браузера и расширения лежат API (интерфейсы прикладного программирования) — наборы методов и свойств, предоставляемых браузерами, которые позволяют расширениям получать ограниченный доступ к некоторым функциям и данным браузера на основе имеющихся разрешений. Например, если API позволяет создавать новые вкладки или закрывать существующие, расширение может делать это посредством обращения к этому API, при условии, что расширение имеет необходимые разрешения. Чем больше функций и данных хочет получить расширение, тем больше разрешений ему требуется, поэтому внимательно относитесь к запросам разрешений при установке новой «игрушки» в браузер. Но об этом позже.

Как правило, каждый разработчик браузера создаёт свои API, специально предназначенные для этого браузера. Поэтому нередко можно увидеть, что расширение, например, для Chrome, не будет работать в Safari, и наоборот. Конечно, это не идеальное положение вещей, поэтому предпринимаются попытки стандартизировать и унифицировать эти API в рамках общей структуры. Один из примеров — WebExtensions API. Благодаря ему большинство основных браузеров, таких как Chrome, Firefox и Safari, предлагают совместимые API расширений. Это позволяет разработчикам создавать расширения, которые работают в нескольких браузерах с минимальными изменениями. Однако это не что-то само собой разумеющееся. Во многих случаях для бесперебойной работы расширения в разных браузерах требуется много усилий, и не у каждого разработчика есть ресурсы и желание для этого.

Теперь давайте вернёмся к вопросам безопасности и поговорим об ограничениях, которые браузеры накладывают на расширения. Браузерные расширения работают в так называемых песочницах — закрытых средах, которые позволяют каждому расширению получать доступ только к API браузера и ограничивают его взаимодействие с операционной системой и другими приложениями. У каждого расширения есть манифест, в котором декларируются разрешения, необходимые для выполнения его функций (например, разрешения на изменение содержимого страницы или на запуск и отмену загрузок). Браузер следит за соблюдением этих разрешений и не позволяет расширению выполнять какие-либо действия, выходящие за их рамки. Таким образом, даже если расширение взломают, оно не сможет нанести ущерб процессам и файлам, находящимся вне его досягаемости — по крайней мере, в теории.

Часто можно услышать предупреждения об опасности установки браузерных расширений из источников, не относящихся к официальным магазинам. Это связано с тем, что официальные магазины добавляют дополнительный уровень защиты. Каждое расширение, отправленное разработчиком в магазин, проходит проверку. В ходе этого процесса разработчик должен объяснить, зачем расширению требуются все запрашиваемые разрешения. Если после проверки кода эксперт решит, что разрешения чрезмерны для функциональности расширения, оно может быть отклонено и не попасть в магазин. Но нет гарантий, что в ходе проверки не будет допущено никаких ошибок. Есть множество примеров, когда расширения, допущенные в популярные магазины, такие как магазин расширений Chrome, оказывались вредоносными и крали данные пользователей или делали что-то похуже. Поэтому очень важно всегда проверять разрешения расширения перед его установкой.

Наконец, говоря о расширениях и безопасности, нельзя не упомянуть переход Chrome на новую версию платформы расширений Manifest V3. Мы много писали об этом и даже провели несколько выступлений на эту тему на Ad-Filtering Dev Summit, поскольку этот переход серьёзно сказывается на браузерных расширениях и вдвойне — на расширениях для блокировки рекламы. Это доставило нашим разработчикам много головной боли, но справедливости ради следует отметить, что это должно улучшить безопасность расширений Chrome. Весь код должен будет проходить проверку, что устраняет возможность расширений выполнять удалённо размещённый или произвольный код. Это должно значительно снизить риски безопасности.

Теперь перейдём к следующему вопросу…

Что такое фаервол?

Это одна из тех тем, на которую можно было бы легко потратить с десяток страниц, если бы мы захотели раскрыть все её аспекты. Но вместо того, чтобы углубляться в эту тему, давайте сосредоточимся на самом важном. Сначала давайте разберёмся с самым очевидным вопросом: почему фаервол вообще так называется?

Слово «фаервол» (в переводе буквально «стена огня» или «стена от огня») изначально не было техническим термином — оно появилось задолго до интернета. В своём первоначальном значении фаервол буквально означал стену, защищающую от огня. Такие стены устанавливали внутри зданий, чтобы пламя не распространялось из одной части строения в другую. В отличие от обычных стен, они были толще, изготавливались исключительно из фундаментных материалов и, как правило, не имели окон или других элементов, через которые мог пройти огонь.

В мире компьютерных сетей фаерволы впервые появились в конце 1980-х годов. Подобно своим физическим прототипам, они были разработаны для предотвращения распространения чего-либо, в данном случае — нежелательного или потенциально опасного сетевого трафика.

Первым поколением фаерволов были пакетные фильтры. Они работали на сетевом уровне, проверяя трафик путём анализа отдельных пакетов — небольших фрагментов данных, на которые разбивается информация при передаче в интернете. Пакетные фильтры принимали решения на основе таких параметров, как IP-адреса источника и пункта назначения, номера портов и используемые транспортные протоколы. В своей основе эти фаерволы полагались на заранее определённый набор правил, которые разрешали или блокировали трафик на основе этих свойств.

Затем, в начале 1990-х годов, появилось второе поколение фаерволов. В отличие от первого поколения, они были более сложными и получили название «фаерволы с отслеживанием состояния». Они не рассматривали один пакет в изоляции, а могли отслеживать трафик в течение определённого времени. Это означало, что они могли запоминать «состояние» соединения, например, был ли пакет частью существующего, одобренного сеанса или просто случайным входящим запросом.

Фаерволы продолжали развиваться по мере развития интернета. Рост популярности веб-приложений привел к разработке фаерволов, которые работают на прикладном уровне. Эти фаерволы способны понимать и фильтровать трафик на основе конкретных протоколов, которые поддерживают приложения или службы, такие как HTTP (используемый веб-браузерами для загрузки сайтов) или DNS (используемый для преобразования доменных имён в IP-адреса), а не только IP-адреса и порты. Затем, примерно в 2008 году, фаерволы начали включать технологию Deep Packet Inspection (DPI, «глубокий анализ пакетов»). Она позволяет фаерволам анализировать фактическое содержимое пакетов данных, а не только их заголовки.

Существуют различные формы реализации фаервола. Это может быть аппаратный фаервол, когда физическое устройство размещается на границе сети для фильтрации трафика (например, домашний роутер). Это может быть программный фаервол — приложение, работающее на вашем устройстве и фильтрующее трафик, поступающий на это устройство и исходящий из него (Windows Defender Firewall и т. п.). Или это может быть виртуальный или облачный фаервол, работающий удалённо и защищающий сети или устройства, не будучи при этом привязанным к конкретному оборудованию.

Теперь давайте ответим на вопрос, который может вас заинтересовать. Является ли Блокировщик рекламы AdGuard фаерволом? Краткий ответ — нет, по крайней мере, не в традиционном смысле этого слова. Но у наших приложений есть отдельные функции фаервола. В частности, в AdGuard для Android есть модуль фаервола, который позволяет пользователям управлять доступом приложений на своём устройстве к интернету. Этот модуль позволяет пользователям контролировать, какие приложения могут ходить в сеть, блокируя или разрешая доступ по мере необходимости.

Эта функция становится особенно полезной, когда приложения ведут себя подозрительно — например, отправляют данные, даже когда вы ими не пользуетесь. С помощью модуля фаервола AdGuard для Android вы можете заблокировать доступ к интернету для определённых приложений, отключить фоновый трафик, когда экран заблокирован, или даже отключить мобильные данные в роуминге. Это даёт вам полный контроль над тем, как и когда ваши приложения подключаются к интернету, без необходимости рутирования телефона или изучения сложных настроек системы.

Хотя фаерволы могут быть полезными инструментами для защиты домашней сети или конфиденциальности и безопасности на устройстве, чаще всего слово «фаервол» сейчас ассоциируется с цензурой. Во многом это связано с дурной славой, которую за последние годы приобрел «Великий китайский фаервол». И мы не можем закончить эту статью, не сказав об этом хотя бы несколько слов.

«Великий китайский фаервол» — это огромная государственная система цензуры, направленная на ограничение доступа к иностранному интернет-контенту в Китае, включая такие сервисы, как Google, Facebook, Twitter и YouTube. Она использует сочетание различных технологий, таких как DNS-спуфинг, фильтрация URL-адресов по ключевым словам, глубокий анализ пакетов (DPI) и даже подделка пакетов, чтобы блокировать или прерывать трафик. В мире существуют и другие государственные системы, похожие на эту, которые в основном функционируют как инструменты цензуры под видом обеспечения безопасности, но это тема для отдельной статьи.

Чтобы добавить локацию в Сохранённые, просто смахните её влево. Чтобы убрать — сделайте то же самое.

На случай, если вы пропустили последние новости: в Google Play рядом с нашим приложением появился значок «Проверка безопасности выполнена независимыми экспертами». Это означает, что AdGuard VPN успешно прошёл стороннюю проверку безопасности. Подробнее

Как отправить фидбек?

Расскажите, что думаете о новой версии — напишите нам на GitHub или в социальных сетях.

Upd. Акция закончилась. Если вы хотели купить Блокировщик AdGuard или AdGuard DNS со скидкой, но не успели, не расстраивайтесь: у нас часто бывают скидки. Чтобы не пропустить следующую, подпишитесь на нашу рассылку.

Календарь показывает, что этот день настал — нам 16 лет, и как же мы изменились за эти годы… Всё начиналось с простого Блокировщика рекламы для Windows — достаточно посмотреть на него тогда и сейчас, чтобы ощутить течение времени.

Теперь же мы целая семья продуктов, каждый со своей ролью, и все вместе они делают интернет чище и безопаснее. В честь нашего дня рождения можете приобрести любой со скидкой. Скидка больше обычного, но это же день рождения — гулять так гулять!

🎁 До −50% на лицензии AdGuard

🎁 −77% на годовую подписку на AdGuard VPN

🎁 −40% на Персональную подписку на AdGuard DNS

Советуем попробовать AdGuard Mail, пока он ещё бесплатный. Создайте временную почту и алиас для переадресации писем — и ваша личная почта будет в чистоте.

История AdGuard в комиксе

Мы тоже больше любим смотреть картинки, чем читать тексты. Пусть наши маскоты покажут вам, как AdGuard вырос и какие уголки интернета сделал лучше. Спойлер: список продуктов ещё пополнится, а значит, наша история не закончена.

Пользователь с ником Big Mekk спрашивает нас:

Вы говорите о том, что AdGuard VPN будет поддерживать протокол, устойчивый к Kyber/Quantum-вычислениям. Потребует ли включение данной опции большего ресурса батареи? Я имею в виду повседневное использование на мобильном устройстве.

Для тех, кто еще не в курсе новостей: AdGuard VPN начал поддерживать Kyber — алгоритм, разработанный для защиты от угроз, исходящих от постквантовых компьютеров, — в своих десктопных и мобильных приложениях. Чтобы ответить на заданный вопрос, давайте подробнее рассмотрим, как мы реализуем эту поддержку. Как в мобильных, так и в десктопных приложениях мы используем гибридный подход, сочетающий классический алгоритм эллиптических кривых X25519 и ML-KEM768 на базе Kyber768.

Когда между вашим мобильным устройством и AdGuard VPN устанавливается соединение, оба этих алгоритма используются параллельно. Ваше устройство отправляет два открытых ключа, для X25519 и для Kyber768, и сервер делает то же самое в ответ. Затем каждая сторона извлекает общие секретные значения из обоих алгоритмов и безопасно объединяет их в единый ключ шифрования, который защищает VPN-сессию. Это двойной обмен, и да, он требует больше данных, чем традиционное «рукопожатие». В то время как обычное рукопожатие требует около 32 байт в каждом направлении, гибридное рукопожатие требует около 1,2 КБ.

Что касается влияния на батарею, то дополнительные вычисления действительно немного сильнее нагружают процессор вашего устройства. Если вы используете старое и медленное устройство, установление соединения с использованием алгоритма Kyber может занять на 0,1 секунды дольше обычного. Это может привести к небольшому увеличению расхода заряда батареи, но только на начальном этапе подключения. Эффект незаметен и пренебрежимо мал — особенно по сравнению с такими повседневными действиями, как включение экрана или открытие какого-либо приложения. После установления VPN-соединения сессия работает на основе традиционного симметричного шифрования, а значит, расход батареи остаётся таким же, как и раньше.

Скажем так: если ваше VPN-соединение не обрывается несколько раз за сессию и вам не приходится каждый раз подключаться заново, включение алгоритма Kyber не окажет существенного влияния на время работы батареи.

Какой DNS-протокол более приватен, DOH или DOQ?

Это непростой вопрос, спасибо, Álvaro, что задали его! Прежде чем мы начнём на него отвечать, нам нужно прояснить, что означают DoH (DNS over HTTPS, DNS поверх HTTPS) и DoQ (DNS over QUIC, DNS поверх QUIC) и как именно они передают ваши данные — ведь именно это они и делают. Для этого нам нужно вкратце рассмотреть, как работает DNS (система доменных имён).

Когда ваш браузер хочет получить доступ к сайту, ему необходимо знать его IP-адрес. Именно здесь на помощь приходит DNS-сервер: он переводит (или «разрешает») понятное человеку доменное имя, которое вы вводите в адресную строку, в состоящий из цифр IP-адрес, который используется компьютерами для навигации между сайтами.

Изначально этот процесс осуществлялся полностью открытым текстом — без какого-либо шифрования. Это означало, что ваши DNS-запросы, содержащие в том числе информацию о посещаемых вами сайтах, могли быть видны вашему провайдеру. Это также делало DNS-трафик уязвимым для подслушивания, подделки или спуфинга. Таково было состояние DNS до появления таких зашифрованных протоколов, как DoT (DNS поверх TLS), а затем и DoH (DNS поверх HTTPS). DoT стал первым серьёзным шагом на пути к защите DNS-трафика. Он работает, оборачивая DNS-трафик внутри протокола TLS (Transport Layer Security, «Протокол защиты транспортного уровня»). Он использует отдельный порт — порт 853 — специально зарезервированный для зашифрованного DNS-трафика. Тот факт, что он использует отдельный порт, облегчает работу сетевых администраторов, но также делает трафик DoT более легко обнаруживаемым и, в некоторых случаях, более легко блокируемым фаерволлами или цензорами.

В отличие от DoT, DoH отправляет запросы по HTTPS, смешиваясь с обычным веб-трафиком через порт 443 — тот самый порт, который используется при посещении защищённых сайтов. Это обоюдоострый меч: с одной стороны, трафик DoH сложнее обнаружить или заблокировать, что повышает уровень конфиденциальности. С другой стороны, поскольку DoH часто использует то же HTTPS-соединение, что и посещаемые вами сайты (особенно в браузерах), он может непреднамеренно раскрывать закономерности — например, какие DNS-запросы связаны с какими сайтами или сессиями. По своей сути HTTP и, соответственно, HTTPS не являются протоколами транспортного уровня. Давайте запомним это на будущее.

Как же DoH пересылает ваши данные? Он использует HTTP/2 или HTTP/3 на прикладном уровне — части сети, отвечающей за определение стандартов и процедур обмена информацией — по зашифрованным транспортным протоколам, таким как TCP (для HTTP/2) или QUIC (для HTTP/3). При использовании HTTP/2 несколько DNS-запросов могут быть отправлены одновременно через одно соединение благодаря функции, называемой мультиплексированием. Она позволяет сразу нескольким запросам и ответам использовать одно и то же соединение, не дожидаясь завершения друг друга. Однако, поскольку HTTP/2 работает через одно TCP-соединение, все пакеты данных используют один и тот же транспортный уровень. Это приводит к проблеме, известной как блокировка начала очереди. Если один пакет теряется или задерживается при передаче, все последующие пакеты — даже если они относятся к разным запросам — должны ждать, пока недостающий пакет будет повторно передан и получен. Это задерживает весь поток ответов, даже если другие данные были готовы к отправке. Эта проблема характерна не только для DoH, она затрагивает любой другой протокол, работающий через TCP.

С помощью DoQ каждый DNS-запрос/ответ изолируется в своём собственном потоке, что устраняет проблему блокировки начала очереди, описанную выше.

А теперь давайте вернёмся к главному вопросу: как всё это влияет на вашу конфиденциальность?

Когда DNS-запросы отправляются по одному общему потоку — как это происходит в DoH с HTTP/2, — их временны́е метки становятся связанными. Если один запрос задерживается, это может повлиять на время выполнения других, создавая видимые закономерности в трафике. Даже если контент зашифрован, наблюдатель, например администратор сети, интернет-провайдер или цензор, всё равно может проанализировать эти закономерности, чтобы определить, какие сайты вы посещаете, когда вы их посещаете и как часто.

Ещё одним преимуществом DoQ перед DoH, когда речь идёт о конфиденциальности, является способ обработки трафика. DoQ построен на базе UDP и использует протокол QUIC. В отличие от DoH, который смешивает DNS-запросы с обычным веб-трафиком, DoQ хранит DNS-трафик отдельно — аналогично тому, как это делает DoT, но без проблемы блокировки начала очереди. Такое разделение означает отсутствие смешивания с другим HTTPS-контентом, что затрудняет сторонним наблюдателям привязку DNS-активности к конкретному поведению пользователей в браузере, хотя отличить этот трафик от другого веб-трафика проще.

Однако вы можете задаться вопросом — а как же HTTP/3, последняя версия протокола HTTP, которая также использует QUIC в качестве транспортного уровня? Это хороший вопрос. На самом деле, более 95% основных браузеров, включая Chrome, Firefox и Safari, теперь поддерживают HTTP/3. Но вот в чём дело: хотя HTTP/3 и использует QUIC под капотом, сам HTTP не является транспортным протоколом. И хотя он может служить заменой настоящему транспортному протоколу, это вызовет множество ненужных рисков. Если говорить непосредственно о конфиденциальности, то использование трафика на основе HTTP часто сопряжено с такими вещами, как куки, заголовки аутентификации, строки User-Agent, и другими метаданными. Они могут быть использованы для отслеживания, создания цифровых отпечатков или даже для профилирования пользователей — вещи, которые нежелательно смешивать с чем-то столь чувствительным, как DNS-трафик.

Подводя итог, если DoH обеспечивает высокую степень конфиденциальности, смешиваясь с обычным веб-трафиком (что затрудняет его обнаружение или блокировку), то DoQ позволяет избежать блокировки начала очереди, отделить DNS-трафик от остальной веб-активности и снизить вероятность утечки идентифицирующей информации. С точки зрения конфиденциальности DoQ — лучший вариант.

Это подводит нас к последнему вопросу, заданному анонимным пользователем:

Сертификаты с публичным ключом стали неотъемлемой частью современных сетей. AdGuard устанавливает сертификат на ваше локальное устройство — как он защищает данные? Приносит ли такая установка сертификата больше вреда, чем пользы, или наоборот?

Прежде чем мы углубимся в эту тему, нам необходимо определить, что такое цифровые сертификаты. Проще всего представить цифровые сертификаты как «документы», которые должны предъявлять все сайты, веб-сервисы и API, чтобы доказать, что они действительно являются теми, за кого себя выдают. Можно сказать, что если что-либо «находится в сети» — то есть доступно через интернет и удалённо взаимодействует с пользователями или другими системами, — ему необходим сертификат, подтверждающий его подлинность. Да, ваш трафик может быть зашифрован с помощью HTTPS и безопасен в процессе передачи, но без цифровых сертификатов вы не сможете определить, является ли сайт, к которому вы подключаетесь, настоящим, или же кто-то выдаёт себя за него, чтобы, возможно, украсть вашу информацию.

Но если мошенник готов пойти на создание сайта только для того, чтобы украсть ваши конфиденциальные данные, что помешает ему подделать и сертификат тоже? К счастью, сделать это не так просто. Когда ваш браузер подключается к сайту, сайт отправляет свой сертификат, а также все промежуточные сертификаты, образующие цепочку до доверенного корневого центра сертификации (ЦС), которому браузер уже доверяет. Затем браузер с помощью криптографии с открытым ключом проверяет цифровую подпись на каждом сертификате в цепочке и, если всё в порядке, даёт зелёный свет на установление соединения. Таким образом, практически невозможно подделать сертификат, не скомпрометировав перед этим ЦС или не выдав себя за него. Это не невозможно, но крайне маловероятно — последний крупный инцидент со взломом центра сертификации произошёл в 2017 году. Браузеры и операционные системы уже поставляются со списком доверенных сертификатов корневых ЦС, а производители регулярно обновляют списки доверенных ЦС, удаляя скомпрометированные или ненадёжные ЦС и добавляя новые. Пользователи также могут вручную добавлять центры сертификации в список доверенных, но делать это следует с особой осторожностью.

Теперь вернёмся к тому, как AdGuard участвует в этом процессе. Допустим, вы установили приложение AdGuard для Windows, Mac или Android (браузерные расширения и приложение AdGuard для iOS работают по-другому), и ваш браузер хочет подключиться к веб-серверу. AdGuard занимает позицию между браузером и сервером, так что трафик браузера сначала проходит через AdGuard. Но точно так же, как ваш браузер должен доверять серверу, когда он подключается к сайту напрямую, браузер должен доверять AdGuard, иначе у AdGuard не было бы возможности расшифровывать HTTPS-трафик. А для этого, как мы уже знаем, нужен доверенный сертификат. Поэтому при установке AdGuard генерирует специальный корневой сертификат и устанавливает его в вашу систему.

Ранее мы уже говорили о том, что пользователям не стоит легкомысленно добавлять пользовательские сертификаты, и мы остаёмся при своём мнении. Есть причина, по которой вы должны быть осторожны — если вы доверитесь кому-то, кому не должны, то последствия могут быть весьма плачевными. Но мы очень серьёзно относимся к вопросам безопасности. В криптографии с открытым ключом очень важно хранить свой приватный ключ в безопасности, и AdGuard генерирует приватный ключ на вашем устройстве. Этот ключ шифруется и хранится локально; он никогда никому не передаётся, и никто его не знает, даже мы.

И, конечно же, ваш исходящий трафик остаётся безопасным благодаря AdGuard. После расшифровки HTTPS-трафика и блокировки всех найденных в нём рекламных объявлений и трекеров он зашифровывает всё заново. AdGuard проверяет подлинность веб-сервера, проверяя его сертификат, точно так же, как это делает ваш браузер. Мы приняли некоторые дополнительные меры безопасности, подробнее о них вы можете прочитать в статье Базы знаний.

В конечном итоге AdGuard не повышает безопасность вашего соединения как такового, но и не создаёт дополнительных рисков. Вы можете установить приложение AdGuard на своё устройство и быть уверенным, что ваш трафик будет свободен от рекламы и трекеров, оставаясь при этом безопасным.

К нашему большому сожалению, приложение AdGuard VPN больше не доступно пользователям из России в официальном магазине Samsung — Galaxy Store. Это решение было принято по инициативе Samsung и вопреки нашему желанию.

Уведомление от Samsung

Что произошло

На днях мы получили уведомление от Samsung Galaxy Store о том, что Россия была исключена из списка стран, где разрешено распространение приложения, «по требованию правительства Российской Федерации».

Особенно символично, что это произошло как раз в тот момент, когда должен был исполниться ровно год с момента публикации нашего приложения в Samsung Galaxy Store. За это время мы последовательно развивали сервис: улучшили стабильность, расширили список серверов, добавили новые функции — всё ради миллионов наших пользователей, в том числе из России.

К сожалению, это решение Samsung стало прямым результатом давления со стороны российских властей, по аналогии с тем, как Apple неоднократно удаляла VPN-приложения по запросу правительств не только в России, но и в других странах с ограниченным доступом к интернету, таких как Китай и Индия.

До недавнего времени Samsung не предпринимал подобных шагов, однако теперь, судя по всему, ситуация изменилась.

Да, наше приложение действительно удалили из российского Samsung Galaxy Store. Мы считаем, что это продолжение тенденции по ограничению доступа к инструментам, которые помогают людям защищать личные данные и пользоваться открытым интернету. Несмотря на это, мы продолжаем работать в других каналах и искать способы оставаться доступными для пользователей.

Директор по продукту AdGuard VPN

Что это значит для пользователей Samsung Galaxy в России

Поскольку AdGuard VPN больше не доступен в российской версии официального магазина приложений Samsung Galaxy Store, пользователи из России, установившие приложение через этот магазин, больше не смогут получать обновления. Это означает, что новые функции, улучшения производительности и важные исправления безопасности будут недоступны.

Чтобы продолжить получать обновления, таким пользователям необходимо скачать APK-файл с нашего официального сайта и установить приложение вручную. Это безопасно и довольно просто: перейдите по ссылке внизу и переключите вкладку на «В формате APK».

Та же рекомендация актуальна и для новых пользователей, у которых пока не установлен AdGuard VPN. Они могут скачать и установить его напрямую с нашего официального сайта.

Кроме того, поскольку устройства Samsung Galaxy работают на базе Android, пользователи по-прежнему могут устанавливать приложения через сторонние магазины, где также доступен AdGuard VPN.

Мы продолжим делать всё возможное, чтобы AdGuard VPN оставался доступным, несмотря на текущие сложности. Приватность — это не роскошь, а базовое право, и мы не собираемся отступать от этой позиции.