VPN, cosa sono, come funzionano, tutte le domande

Questions you should ask about VPN
(Immagine:: TheDigitalArtist / Pixabay)

Quando occorre scegliere un servizio VPN, il primo aspetto che molti prendono in considerazione è la sicurezza. Infatti, diversi provider di servizi VPN offrono un certo grado di protezione ai propri utenti online. La popolarità stessa delle VPN è dovuta al fatto che offrono privacy rispetto ai provider Internet, ai siti visitati, alla cronologia di navigazione ecc. In sostanza, i provider VPN instradano il traffico su Internet attraverso un canale crittografato, impedendo ad altri di vedere, ad esempio, i siti che visitate.

Qui entra in gioco il concetto di “zero log”. Chi si affida a servizi VPN di terzi (evitando dunque le VPN gratuite) deve sapere che la cronologia di navigazione proveniente dal provider Internet passa al provider VPN. Se quest’ultimo, in particolare, dichiara di aderire alla politica dello “zero log”, significa che non dovrebbe registrare i siti visitati dagli utenti. Secondo questa logica, le eventuali violazioni a un servizio VPN saranno senz’altro allarmanti, se si ritiene che gli hacker abbiano avuto accesso ad alcuni dati degli utenti (situazione ancora più grave se la politica “zero log” si rivela non veritiera). Infine, le VPN sono vincolate agli avvisi legali: se ne ricevono uno devono per legge trasmettere i dati. D’altro canto, se il provider non ha memorizzato alcun dato, non avrà alcun obbligo di fornire informazioni che materialmente non possiede. 

Informazioni sull'autore

Sebastian Schaub è il fondatore di hide.me VPN.

Questo quadro è ben definito dai recenti fatti di cronaca relativi alla presunta violazione ai danni di NordVPN, un provider ritenuto da molti di prim’ordine. A quanto pare, l’attacco è stato condotto contro un server ubicato in Finlandia e, nonostante l’azienda abbia minimizzato circa l’entità dei danni, alcuni ricercatori nel settore della sicurezza hanno segnalato un problema di ben maggiore entità, ovvero il possibile accesso all’intera rete da parte del responsabile o dei responsabili della violazione. Come è chiaro, la sicurezza è una delle principali fonti di preoccupazione per gli utenti alla ricerca di un provider valido, ma cosa si può fare per verificare che il provider scelto sia davvero sicuro come promesso negli annunci che lo pubblicizzano?

Uno degli aspetti da considerare sono le verifiche di sicurezza, note come “audit”. Nel mondo delle VPN, gli audit sono sempre più indicati dai provider come prova della loro correttezza e trasparenza, specie per tutelarsi da eventuali denunce. Ciò è particolarmente vero oggi, dato che le VPN per Windows 10 sono sempre più diffuse. I servizi di auditing indipendenti sono uno dei modi per testare le funzioni di sicurezza dei provider di servizi VPN, ma davvero possono garantire la tranquillità che promettono ai loro clienti?

Di certo, gli audit sono utili e possono dare un certo grado di sicurezza, ma non sono perfetti. Inoltre, esistono diversi tipi di audit (pensiamo ai penetration test e alle verifiche di sicurezza per rilevare determinate vulnerabilità). Anche se queste tipologie di verifiche possono essere un indice di affidabilità, non è garantito che vengano risolti tutti i problemi. Riguardo agli audit per le politiche no log, occorre tenere presente che le verifiche si riferiscono al momento preciso in cui vengono effettuate. Dal momento che nessuno impedisce a un provider VPN di riattivare la registrazione al termine dell’audit, qui entra in gioco la fiducia che intercorre tra l’utente e il provider stesso, nonché la durata del rapporto fra le due parti.

Parlando di fiducia, occorre fare riferimento anche alla trasparenza aziendale. Per fare un esempio, alcune VPN molto note affermano di operare al di fuori dell’America centrale, senza una presenza fisica o informazioni di pubblico dominio circa le loro dirigenze aziendali. Il punto è che queste realtà operano al di fuori dell’Europa orientale e in Cina attraverso le VPN, ma quanto può essere affidabile un’azienda che si cela dietro soggetti off-shore, mentre di fatto opera in altri territori e senza alcuna trasparenza a riguardo?

In modo molto simile, Yahoo non ha divulgato pubblicamente i dettagli di diverse violazioni, con un impatto negativo sul suo valore durante l’acquisizione e la perdita di fiducia da parte degli utenti rimasti (il GDPR nasce anche come tentativo di sanare situazioni come questa, introducendo un requisito obbligatorio in termini di reporting in caso di violazione dei dati personali a danno dei cittadini europei).

Per tutto questo non esiste una soluzione unica “chiavi in mano”. Se non usate un router VPN di vostra proprietà per creare il vostro servizio personale, ecco alcune domande da fare quando è il momento di scegliere una VPN.

La VPN ha conservato log in passato? 

Oggi, sempre più VPN dichiarano di essere diventate aziende conformi alla politica zero log. Molti provider ben noti hanno divulgato i risultati degli audit, dichiarando di aver adottato tale filosofia e di non aver registrato le attività online dei propri utenti. Tuttavia la maggior parte di queste aziende ha impiegato più di 4 anni per adottare lo zero log, perché? Inoltre, anche se un servizio VPN no log non registra i log delle attività online, è anche vero che molti dei provider più noti conservano comunque registri sulle sessioni di navigazione. In ogni caso, per la massima tranquillità e privacy, è opportuno affidarsi sempre a un provider VPN no log. 

La VPN ha mai divulgato i dati degli utenti? 

Anche se sembra una domanda strana da porre, alcuni annunci relativi agli audit delle VPN devono essere valutati con cautela. Di recente, PureVPN ha trasmesso informazioni sugli utenti all’FBI, ignorando dunque la politica zero log. Ancora una volta, è una questione di fiducia. Come possiamo avere la certezza che un provider del genere non ripeta lo stesso comportamento in futuro? 

Quanto è attendibile il responsabile dell’audit e quanto è approfondita la verifica? 

Occorre valutare anche le credenziali delle aziende che conducono gli audit, così come l’efficacia dei loro report. Le certificazioni più attendibili dovrebbero valutare i provider VPN sia in termini di sicurezza per gli utenti che di privacy dei dati. Di conseguenza, le categorie dovrebbero presentare un insieme di criteri di valutazione. I provider che soddisfano tutti i criteri dovrebbero essere i candidati ideali per la certificazione. Inoltre, l’audit dovrebbe includere test mirati a stabilire il livello di sicurezza delle web app e garantire l’assenza di vulnerabilità con livelli di rischio medio-alti. In questa sede, infine, anche l’analisi della sicurezza del codice sorgente ha la sua importanza, per valutare se vengono implementate le best practice di sicurezza nello sviluppo delle applicazioni, insieme alla corretta applicazione delle adeguate misure di sicurezza. 

Marco Doria
Senior editor

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.