Privacy Chronicles

Condividi questo post

Sai cosa fa una VPN?

www.privacychronicles.it

Scopra di più da Privacy Chronicles

A newsletter about privacy, and more: mass surveillance, crypto-anarchism, OpSec and OSINT.
Over 2,000 subscribers
Continua a leggere
Accedi
OpSec & OSINT

Sai cosa fa una VPN?

A cosa serve una VPN e come sceglierla? Esplora con noi i vantaggi e i rischi tecnici e legali delle VPN e impara a scegliere quella giusta.

Matte Galt
11 set 2022
8
Condividi questo post

Sai cosa fa una VPN?

www.privacychronicles.it
10
Condividi

Le Virtual Private Networks (VPN) sono ormai uno strumento diventato di uso comune, con tantissimi servizi diversi e piani di abbonamento di ogni tipo. Ma se comprare un servizio VPN è diventato facilissimo, non lo è altrettanto capire quale possa essere quello giusto, soprattutto quando non è ben chiaro il funzionamento di una VPN e quali possono essere i rischi.

Oggi cercherò di spiegare in modo semplice cosa fa (e non fa) una VPN, quali sono i principali rischi — anche legali — di cui tener conto e quali possono essere i criteri migliori per scegliere un buon provider.

Iscriviti a Privacy Chronicles e supporta il nostro piano editoriale settimanale e non perdere nessun aggiornamento!

Cosa fa una VPN?

Nella normalità, quando navighiamo online sono gli Internet Service Provider (ISP) come Tim, Vodafone o Fastweb che ricevono le nostre richieste di connessione e le indirizzano al server di destinazione. Chiaramente, questo significa che nei confronti del nostro ISP siamo completamente trasparenti: sanno esattamente quando ci connettiamo, quali siti visitiamo, quali dispositivi usiamo, e conoscono la nostra identitià fisica.

Quando usiamo una VPN invece, i dati sono instradati in un tunnel cifrato che nasconde i pacchetti di informazioni rispetto all’esterno. La VPN è in pratica una rete privata che si frappone fra te e il tuo ISP.

Una VPN fa primariamente due cose:

  • Mascherare l’indirizzo IP, attraverso un server che te ne assegna uno nuovo e diverso (anche geograficamente diverso, se i server sono in un altro stato)

  • Cifrare i dati inviati e ricevuti, come quelli di navigazione

Grazie all’intermediazione del server VPN e la cifratura dei dati, eventuali osservatori non potranno intercettare i tuoi dati, né collegare facilmente la tua identità (IP) a ciò che fai. Proprio perché i dati sono instradati nel tunnel VPN e incapsulati in pacchetti cifrati, neanche il tuo ISP potrà conoscere la destinazione della tua connessione, ma soltanto che in un certo momento ti sei connesso a un server VPN.

Un primo vantaggio della VPN è quindi che ci permette di mascherare il nostro IP e separare la nostra identità dalle attività che svolgiamo online.

Supporta Privacy Chronicles!

Condividi questo articolo coi tuoi amici, lascia un like o un commento! Se vuoi, abbonati per l’equivalente di una colazione al mese. È un piccolo gesto che però aiuta molto il mio lavoro.

Sostieni Privacy Chronicles

Puoi anche donare qualche sats con il tuo wallet LN, scansionando questo QR Code:

5. Cifra la memoria dei tuoi dispositivi

Oltre a garantire un certo livello di privacy verso il nostro ISP e altri osservatori esterni, permette anche di bypassare restrizioni geografiche o censure di stato. Una persona situata in Europa, che oggi volesse accedere ad alcuni siti d’informazione russi censurati, potrebbe usare una VPN situata ad esempio in Kazakistan ed evitare così i blocchi geografici.

Un secondo vantaggio della VPN è la crittografia dei dati in transito, che offre una protezione di base contro hackers, trackers e in generale contro sorveglianza passiva e attacchi di vario tipo, come man-in-the-middle. Questo può rivelarsi particolarmente utile anche quando dobbiamo usare reti pubbliche (es. wi-fi comunali) e non abbiamo certezza della sicurezza della rete o di chi possa esserci dall’altra parte.

Infine, usare una VPN elimina parte dell’incertezza derivante dall’ecosistema dei certificati crittografici HTTPS, che si basa sulla (mal riposta) fiducia negli organi emittenti. Un client VPN funziona solo con la corretta chiave pubblica, quindi attacchi come SSL stripping o certificati falsi non sono più un problema.

Per sintetizzare, cosa fa una VPN:

  • Aumenta la riservatezza dei dati verso ISP e terzi

  • Rende più difficile il collegamento tra IP e navigazione online

  • Aumenta la sicurezza e riservatezza dei dati in transito, grazie alla crittografia

  • Permette di bypassare restrizioni geografiche

Share

Cosa non fa una VPN

La VPN non rende più sicura la navigazione. Alcuni servizi di VPN, come ProtonVPN, hanno delle funzioni integrate di ad-block e analisi dei domini per mitigare il rischio di download di contenuti che potrebbero contenere malware. Tuttavia, usare una VPN non protegge da infezioni malware e altre tipologie di virus, né ci mette al riparo da phishing e social engineering. Attenzione quindi a dove e come si naviga e cosa scaricate. La VPN non è un firewall o un antivirus.

Un altro facile errore è pensare che usare una VPN renda la nostra navigazione anonima. Purtroppo molte recensioni online e comunicazioni di marketing in giro dicono esattamente questo, ma è falso.

La VPN dissocia, rispetto all’esterno, la nostra identità dalle attività compiute online, ma questa dissociazione non equivale ad anonimato. Uno degli elementi fondamentali per poter definire un dataset anonimo è l’unlinkability, cioè l’impossibilità tecnica di collegare tra loro “items of interest” (IOI).

Il collegamento tra IOI, può riguardare specifiche azioni e dati identificativi (es. un IP), o tra gruppi di azioni. In base all’estensione e dettaglio delle correlazioni è possibile arrivare anche a inferire l’identità della persona fisica.

Poiché la VPN è un servizio che non fa altro che instradare in modo cifrato i dati attraverso la sua connessione privata, ha anche il potere di raccogliere e conservare numerosi dati identificativi diretti o indiretti che potranno essere usati per collegare IOI tra loro e, eventualmente, identificare la persona a cui si riferiscono.

Ad esempio, un dataset comprendente log di connessioni, con destinazione, data e ora, potrebbe portare all’identificazione di una persona sulla base delle sue abitudini. Se poi a questo dataset si aggiungono altri dati direttamente identificativi, come l’indirizzo email registrato o mezzi di pagamento elettronici, diventa molto più semplice.

Per sintetizzare, cosa non fa una VPN:

  • Non ti rende anonimo

  • Non elimina del tutto la capacità di collegare la tua identità alle azioni online

  • Non rende più sicura la navigazione online (salvo servizi integrativi)

  • Non influisce sulle capacità di tracking di siti e servizi (es. Meta, Google, ecc.)

Share

Questione di fiducia

Connettersi a una VPN significa in ogni caso rivelare almeno il proprio IP al fornitore del servizio, oltre a una serie di dati personali come indirizzi email, dati di pagamento, username e password. A questi devono aggiungersi dati ulteriori che potrebbero essere raccolti dalla VPN, come la data, ora e durata delle connessioni, la localizzazione e metadati di vario tipo.

Il fornitore quindi ottiene in prima persona il potere di collegare la nostra identità alle nostre azioni online.

A tutti gli effetti, la VPN diventa un “man in the middle1” con il potere di intercettare tutto ciò che facciamo e di identificarci in ogni momento.

Il provider VPN potrebbe quindi diventare la più grave minaccia alla riservatezza dei nostri dati. La scelta ponderata di un provider affidabile e con capacità tecniche per proteggere i nostri dati, non è solo una questione di convenienza e funzionalità, ma è il primo modo per diminuire i rischi.

È bene ricordare che molte affermazioni dei provider VPN sono puro marketing: i provider che affermano di non raccogliere alcun dato o log, in realtà dicono una mezza verità. Ogni VPN avrà sempre almeno la necessità tecnica di raccogliere e trattare alcuni log, anche solo per questioni di sicurezza (es. mitigazione DDoS) o per limitare il traffico degli utenti in base all’abbonamento scelto. Non esiste una VPN che non raccolga davvero nessun dato.

La data retention sui dati di traffico

Un aspetto di cui tener conto quando dobbiamo decidere se usare una VPN, e quale usare, sono le leggi sulla “data retention”.

Queste leggi, diffuse ormai quasi ovunque, obbligano gli ISP a conservare dati relativi a traffico telefonico, telematico e di localizzazione per almeno un certo periodo di tempo. Lo scopo è di assicurare la disponibilità di dati e metadati utili alle indagini delle autorità.

Le leggi sulla data retention si applicano di norma agli ISP, ma in alcuni casi - in base alla legge o all’interpretazione - potrebbero applicarsi anche ai servizi VPN. Qui è dove le cose si fanno complicate e sarebbe necessaria un’analisi caso per caso. Se la legge dello Stato in cui è stabilito il fornitore di VPN si applica anche a questo servizio, allora potrebbe essere un problema: il fornitore VPN sarà tenuto a conservare e mettere a disposizione delle autorità i nostri dati per un certo periodo di tempo.

Viceversa, usare una VPN potrebbe essere un modo per bypassare queste leggi.

Le tipologie di dati soggetti all'obbligo di conservazione sono diverse, anche in base alle leggi: indirizzi IP, dati di localizzazione, timestamp delle connessioni (data, ora, durata), IMSI e IMEI (mobile) e molto altro.

È un tema molto complesso, ma è fondamentale documentarsi bene sulle modalità di applicazione delle leggi sulla data retention prima di scegliere una VPN.

Sulla data retention spicca per difetto l’Italia: nel nostro paese è infatti obbligatorio2 conservare dati telefonici e telematici per settantadue mesi (6 anni) dall'acquisizione. Poco importa che ad aprile 2022 la legge italiana sulla data retention è stata considerata sproporzionata dalla Corte di Giustizia UE; non sembra aver sortito alcun effetto sulla sorveglianza di massa del governo italiano.

Se l’Italia è tra i peggiori al mondo — anche peggio della Russia (3 anni) — altri paesi europei sono decisamente più virtuosi: Svezia e Svizzera3 ad esempio limitano l’obbligo di data retention a sei mesi. Nove mesi per la Finlandia; un anno per Francia, due per la Spagna.

In Germania, nel Regno Unito, Paesi Bassi, Portogallo, Austria, Romania, Norvegia e Irlanda non esistono invece al momento leggi specifiche sulla data retention, quindi ogni provider è libero di conservare (o non conservare) dati per il tempo che preferisce.

Nel caso italiano il vantaggio di usare una VPN è quasi scontato, a prescindere dall’applicazione o meno delle leggi sulla data retention nel paese in cui è stabilito il servizio: essendo il nostro paese uno dei peggiori al mondo, conviene praticamente sempre usare una VPN per avere quanto meno la garanzia di minimizzare i dati trattati dal nostro ISP e ottenere in ogni caso un periodo di data retention inferiore, in base allo stato di riferimento della VPN.

Share

Ingiunzioni e gag orders

Un’altra minaccia alla nostra privacy, pur usando una VPN, è quella delle ingiunzioni delle autorità giudiziarie. Le richieste dei governi per accedere ai dati trattati da aziende che offrono servizi di VPN purtroppo sono sempre più frequenti.

Proton riporta ad esempio di aver ricevuto 6.253 ingiunzioni nel 2021, rispetto alle 3.767 dell’anno precedente.

Certe volte, come nel caso di WindScribe VPN (Canada), le autorità non devono neanche sforzarsi troppo, perché trovano dati conservati in chiaro e liberamente accessibili, nonostante le affermazioni contrarie da parte del provider.

In alcune giurisdizioni, come ad esempio negli Stati Uniti, queste ingiunzioni possono essere seguite dai cosiddetti “gag orders” - degli ordini che obbligano i fornitori a non divulgare informazioni sulla richiesta di accesso, impedendo così di avvertire anche i soggetti interessati, che quindi saranno indagati senza neanche saperlo.

Per sopperire a queste minacce molti provider di servizi VPN offrono ai clienti dei report periodici sulle ingiunzioni ricevute.

Alcuni vanno anche oltre, utilizzando il meccanismo dei “Warrant Canary”: questi sono dei messaggi permanenti che rimangono pubblicati online fin tanto che il provider non riceve nessun gag order. Nel momento in cui il Canary viene rimosso o modificato, gli utenti sapranno che c’è qualcosa che non va. Una specie di fail-safe per comunicare in modo indiretto ai clienti di essere sotto indagine.

Un esempio di Warrant Canary. Se un giorno non troverete più questo messaggio sul sito, iniziate a preoccuparvi.

Share

I criteri per scegliere una VPN

Vediamo ora quali possono essere alcuni criteri utili per scegliere una buona VPN:

  • Scegli un fornitore che opera al di fuori dei 5/14 Eyes4

  • Evita giurisdizioni con gag orders, come gli Stati Uniti

  • Verifica le politiche di logging (no attività come fonte connessione, destinazione, timestamp delle connessioni)

  • Verifica che il protocollo usato sia OpenVPN, il migliore al momento e open source5

  • Evita fornitori che chiedono più dati oltre a quelli strettamente necessari per l’uso del servizio

  • Evita servizi con advertising

  • Evita servizi con IP dedicato, meglio IP condiviso

  • Verifica le security e privacy policies del servizio

  • Se hai particolari esigenze di privacy, scegli fornitori che offrono modalità di pagamento come Bitcoin o Monero

1

Man in the middle indica una categoria di attacchi in cui un soggetto riesce ad interporsi tra un mittente e un destinatario al fine di intercettare ed esfiltrare informazioni o alterarne i contenuti.

2

Legge 167/2017, art. 24

3

Proton VPN dichiara che la normativa svizzera in materia di data retention per ora non si applica alle VPN, quindi Proton VPN non ha alcun obbligo di conservare dati e metadati per sei mesi, come previsto invece per gli ISP svizzeri.

4

Con 5 Eyes (o 14 nella loro versione più estesa) si intende un’alleanza transatlantica di spionaggio tra Stati. I 5 Eyes sono: USA, UK, Canada, Nuova Zelanda, Australia. I 14 Eyes sono: 5 Eyes + Danimarca, Francia, Germania, Belgio, Italia, Svezia, Spagna, Norvegia, Olanda. Come mostrato dal data leak di Snowden nel 2013, questi stati sono attivamente coinvolti in attività di sorveglianza di massa passiva e attiva, anche nei confronti dei loro stessi cittadini. Da evitare a tutti i costi. Se vuoi, ne ho parlato anche in questo articolo.

5

Esistono diversi protocolli di crittografia usati dalle VPN. Alcuni, come il PPTP sono ormai obsoleti e insicuri. Altri, come L2TP/IPsec sono più sicuri ma comunque vulnerabili ad attacchi. Ad esempio pare che l’NSA abbia attivamente contribuito a diminuire la sicurezza del protocollo IPsec con infiltrazione di sviluppatori, e che abbia anche sviluppato metodi per decifrare comunicazioni cifrate con IPsec.

OpenVPN al momento appare il più sicuro ed è compatibile con tutti i migliori algoritmi di crittografia.

8
Condividi questo post

Sai cosa fa una VPN?

www.privacychronicles.it
10
Condividi
Precedente
Prossimo
10 Commenti
Condividi questo discussion

Sai cosa fa una VPN?

www.privacychronicles.it
algi
Sep 11, 2022Piace a Matte Galt

Ben fatto,grazie.

Expand full comment
Rispondi
Condividi
1 risposta di Matte Galt
Shetta
Oct 9, 2022

Cyber ghost basata in Romania la consigli ?

Expand full comment
Rispondi
Condividi
8 commenti in più...
In cima
Nuovo
Comunità

Nessun Post

Pronto per altro?

© 2023 Matte Galt
Privacy ∙ Termini ∙ Avviso di raccolta
Iniziare a scrivereScarica l'app
Substack è la casa della scrittura di grande qualità