VPN: La soluzione perfetta o una mina vagante?
Le VPN (Virtual Private Network) sono spesso presentate come strumenti essenziali per garantire sicurezza e anonimato online. Tuttavia, dietro questa promessa si nascondono alcune realtà meno note che vale la pena esplorare. Scopriamo insieme quali sono i reali benefici e i potenziali rischi legati all'uso delle VPN.
Nel 2020 Oplon Networks ha identificato come non affidabile l’utilizzo delle VPN e abbiamo lavorato per offrire una alternativa per accedere in sicurezza ai servizi e dati aziendali o di una organizzazione.
Le tecnologie VPN sono generalmente applicate per i seguenti scopi:
-
VPN per collegare servizi aziendali: connettere i propri device, Personal Computer, Smartphone, Tablet o simili a servizi, infrastrutture e dati interni di una società o organizzazione
-
VPN per collegare più datacenter tra loro
-
VPN domestica utilizzata con lo scopo di mascherare l’indirizzo IP durante la navigazione Internet
Oplon Networks propone l’alternativa alle VPN per connettere i propri device a servizi e infrastrutture aziendali, rispondendo quindi alla prima condizione elencata.
Il documento descrive anche le caratteristiche delle VPN per connettere più datacenter tra loro (come nel caso 2) o quelle comunemente utilizzate per nascondere il proprio indirizzo IP (caso 3) allo scopo di dare una panoramica esaustiva della tecnologia e sfatare alcuni luoghi comuni.
Un pò di storia
La tecnologia VPN è stata sviluppata nel 1986 per garantire connessioni sicure su reti pubbliche. Con l'introduzione di IPsec, si è cercato di colmare alcune lacune di sicurezza iniziali, migliorando la crittografia e l'autenticazione.
Tuttavia, nonostante questi progressi, le VPN continuano a presentare significativi rischi. Le vulnerabilità persistono e possono esporre i dati aziendali a potenziali attacchi o consentire l'accesso non autorizzato.
1) VPN a scopo collegamento servizi aziendali
La tecnologia VPN permette di costruire un canale criptato tra un device e la rete del datacenter. Formalmente ogni device che utilizza una VPN rende il device "parte" del datacenter assumendo un indirizzo IP (Internet Protocol) che permette di arrivare alle reti del datacenter a cui si connette.
Alla domanda: Il canale criptato che viene creato è sicuro da attacchi o intromissioni esterne?
La risposta «sì» è solo una mezza verità.
Infatti il device, Personal Computer o Mobile, ha effettivamente una connessione criptata all’esterno ma crea un canale aperto verso il datacenter per qualsiasi Virus presente nel proprio PC, che è libero di infettare tutti i servizi, archivi, documenti presenti nel datacenter e che riesce a raggiungere o dare a un malintenzionato la facoltà di farlo deliberatamente lasciando poche tracce.
A conferma di ciò, basti pensare al fatto che tutti i produttori VPN esortano ad avere i devices aggiornati con un antivirus attivo, anche quest’ultimo aggiornato.
VPN e 2FA/MFA (doppio fattore di autenticazione o multi fattore di autenticazione)
A volte si propone di aggiungere il doppio fattore di autenticazione (2FA/MFA) alla VPN per aumentare la protezione. In realtà, come si evince dalla spiegazione precedente, quello che succede è che si è solo più sicuri di identificare chi ha infettato il datacenter. In realtà, anche questo non è certo, qualora il malintenzionato avesse deliberatamente infettato e poi eliminato le tracce.
Alla luce di queste evidenze,oggi le VPN utilizzate come collegamento ai servizi aziendali sono il maggior vettore di attacchi Ransomware e di illecite raccolte dati non fornendo adeguate garanzie di sicurezza del device del posto di lavoro e di quanto succede come tracciabilità all’interno della comunicazione criptata.
Strategia di segmentazione (ZTNA basata sulla rete)
Anche se si usa come strategia la segmentazione di rete fino a instaurare una connessione estemporanea dal proprio PC al servizio, come fanno molte soluzioni ZTNA basati sul collegamento, il problema permane. Il problema nasce quando si instaura un collegamento diretto tra il proprio device e il datacenter.
In generale, se vi viene chiesto di installare un software sul vostro dispositivo per effettuare il collegamento, si tratta probabilmente di una VPN mascherata. Al contrario, se vi viene chiesto di utilizzare solo il browser per accedere e visualizzare i servizi, significa che state utilizzando un sistema moderno e molto sicuro. Questo perché il browser non crea un collegamento diretto tra voi e il servizio, ma si limita a mostrare ciò che accade nel datacenter.
È proprio su questo principio che è stato sviluppato Oplon Secure Access.
Se il PC è infettato da un virus non rilevato dall’antivirus e utilizza una VPN o una ZTNA basata su collegamenti diretti, il virus può estendersi al servizio accessibile e, successivamente, ad altri sistemi collegati.
Ora che viene esplicitato sembra un ragionamento banale, ma purtroppo è ancora necessario ribadirlo.
Per i collegamenti VPN o ZTNA basati sul collegamento ai servizi aziendali possiamo elencare le seguenti caratteristiche:
-
DISPOSITIVI VULNERABILI = RISCHIO PER LA RETE:
- Malware e virus sul dispositivo possono sfruttare la connessione creata dalla VPN per accedere ai sistemi del datacenter;
- Gli attacchi possono compromettere dati, servizi e archivi sensibili;
- Interruzioni operative dovute ad attacchi mirati
-
CONSEGUENZE PRINCIPALI:
- Diffusione di malware e infezioni nella rete;
- Perdita di dati critici e riservati;
- Trasferimenti interni all’infrastruttura.
-
PARADOSSO DELLE VPN:
- Protegge il canale esterno, ma apre un’autostrada a minacce interne non rilevabili dagli antivirus.
2) Utilizzo delle VPN per collegare Due Datacenter
L’utilizzo delle VPN per collegare due datacenter attraverso una rete privata è una soluzione comune per migliorare la condivisione o il backup dei dati e la comunicazione tra sedi distribuite. Tuttavia, questa configurazione introduce alcune criticità di sicurezza.
La tecnologia VPN, per sua natura, implementa connessioni molti-a-uno (many-to-one), anziché una relazione diretta uno-a-uno (one-to-one)
Vantaggi
- Malware e virus sul dispositivo possono sfruttare la connessione creata dalla VPN per accedere ai sistemi del datacenter
Criticità
- La natura many-to-one, in questo contesto, può consentire connessioni parallele e non autorizzate, se le chiavi di accesso (es. certificati digitali) sono compromesse o dimenticate casualmente nel proprio device dal tecnico che le ha installate;
- Rischio di Connessioni Occulte: Il personale IT con rotazione elevata potrebbe creare configurazioni non autorizzate, aumentando il rischio di accessi nascosti;
- Malware e virus sul dispositivo delle connessioni occulte possono sfruttare il collegamento VPN per accedere ai sistemi del datacenter;
- Gli attacchi possono compromettere dati, servizi e archivi sensibili.
Fattori Critici
- Elevata rotazione del personale IT entrato in possesso delle chiavi;
- Difficoltà o costi elevati per verificare tutte le configurazioni e segretezza delle chiavi.
Conseguenze
- La sicurezza dipende spesso dalla buona fede degli operatori.
Alternativa per connettere i datacenter senza VPN?
La tecnologia che è stata studiata per mitigare il problema introdotto dall’utilizzo delle VPN nei collegamenti tra datacenter è IPsec.
Con IPsec, a differenza di una VPN, una volta instaurata la connessione tra due punti, non è più possibile a nessuno collegarsi ulteriormente durante l'utilizzo.
IPsec è una comunicazione one-to-one e non c'è nessuna possibilità di realizzare delle backdoor (porte di servizio) a cui fare dei collegamenti occulti.
Per semplificare, immaginando un tunnel dentro ad una montagna, la tecnologia IPsec costruisce un tunnel che ha un ingresso e un’uscita e non permette di intrufolarsi da porte secondarie perché semplicemente non esistono.
IPsec è un unico tunnel blindato che unisce solo due punti e non rende possibile il collegamento fraudolento di terzi.
Per completezza, bisogna ribadire che con IPsec non si impedisce comunque ai virus di migrare da un datacenter ad un altro!
3) Le VPN domestiche: Sicurezza e anonimato?
I collegamenti VPN domestici, spesso promossi come strumenti per garantire l’anonimato durante la navigazione al fine di sembrare «un altro», in realtà non assicurano un completo anonimato online.
È importante comprendere che, in Internet, l’anonimato assoluto non esiste; si può al massimo scegliere da chi essere spiati.
Attualmente, i browser Internet moderni stabiliscono già connessioni attraverso canali criptati utilizzando i più elevati standard di cifratura disponibili quindi non vi è la necessità di avere una VPN per proteggere le vostre informazioni di navigazione.
-
I browser negoziano automaticamente il livello di cifratura più sicuro supportato dal servizio con cui si interfacciano e di conseguenza, la trasmissione e la ricezione dei dati durante la navigazione sono intrinsecamente sicure, anche senza ricorrere a una VPN domestica.
-
Di seguito, il disegno evidenzia che senza una VPN il browser e il servizio colloquiano con un canale criptato e nessuno, oltre al servizio, può intercettare i dati che vengono scambiati. I browser moderni offrono già questa protezione, infatti strumenti come HTTPS criptano automaticamente le connessioni, garantendo un livello di sicurezza elevato anche senza VPN.
Nota: Il disegno è semplificato, nella realtà possono esserci diversi HOP (passaggio tra reti differenti) prima di arrivare a destinazione sul servizio. Comunque, la cifratura rimane invariata e senza il rischio che sia violata.
Una VPN domestica incanala il traffico dati nascondendo l’indirizzo IP dell’utente e applica filtri sugli accessi nel proprio Personal Computer. In ogni caso, la crittografia con il servizio è gestita solamente dal browser dell’utente. Di conseguenza, la VPN domestica non garantisce una sicurezza totale né l’anonimato assoluto. Il servizio VPN può monitorare e bloccare le scelte dell’utente proprio perché ne ha visibilità. In pratica, scegliete di farvi spiare dal VPN provider invece che da un Internet provider!
Nota: Con la VPN i dati sono comunque criptati dal browser verso il servizio finale, solo il vostro indirizzo IP viene mascherato! Se ci pensate bene non può essere che così, altrimenti il VPN provider potrebbe vedere in chiaro anche i vostri dati e voi non potreste utilizzare ad esempio dei certificati digitali client dal vostro browser.
Chi conosce i vostri interessi SENZA una VPN ad uso domestico?
In caso di navigazione senza una VPN domestica, le "entità" che conoscono i vostri interessi sono gli Internet provider che ci forniscono la connettività e coloro che ci forniscono i nomi dei siti che vogliamo visitare (DNS). In ultima analisi, chi conosce le vostre passioni e preferenze in una navigazione normale senza una VPN domestica sono sintetizzate nella tabella sottostante:
Chi e cosa si conosce dei vostri interessi senza una VPN ad uso domestico?
| Vostro indirizzo IP | Nome utente / abbonamento | Nome del server a cui ci si vuole collegare | Conosce i contenuti che scambiate | Contenuti del vostro PC | |
|---|---|---|---|---|---|
| Provider di connettività | SI | SI | SI | NO | NO |
| Il provider di catalogo dei nomi internet (DNS Provider) | SI | NO | SI | NO | NO |
| Ogni singolo servizio finale che viene contattato | SI | No, se non avete effettuatao il login sul sito | SI | SI | NO |
Altra nota: con la VPN domestica, normalmente vi chiederanno di installare qualche cosa sul vostro dispositivo che serva a tenere il vostro dispositivo sotto sorveglianza da eventuali Virus, tra I servizi alcuni assicurano che bloccherà accessi che ritiene pericolosi e che vi darà l'anonimato delle vostre navigazioni.
Tutto bello? A metà come al solito.
Intanto per tenere il vostro Personal Computer adeguatamente protetto di solito è sufficiente il potente antivirus già presente in alcune piattaforme come ad esempio Microsoft (Microsoft Defender). Questo vuol dire che installando un altro antivirus di terze parti di solito viene disabilitato l'antivirus di Microsoft a favore di un altro attore.
Altra considerazione è che caricare sul proprio Personal Computer un qualche cosa che blocca e limita la visibilità dei servizi Internet può portare a distorsioni del mercato, chi paga di più sarà visibile, gli altri non saprai nemmeno che esistono o addirittura penserai che sono pericolosi.
Questo un tempo si chiamava "censura" e fatta da interessi privati o istituzioni può essere deviante. Questa non è una ipotesi lontana è un'ipotesi assolutamente reale che succede tutti i giorni.
L'idea che la VPN possa mascherare la navigazione viene meno, poiché il provider VPN conosce tutto di voi specie se installate qualche cosa sul vostro PC: posizione, programmi installati, foto, documenti e altro. Molti software VPN, appena installati, eseguono scansioni dei dispositivi per classificare i contenuti, spesso senza informare adeguatamente l'utente o immersi in fiumi di parole sul contratto.
È lecito fidarsi di software che accedono ai vostri dati personali nel vostro PC in maniera sistematica e continua?
Utilizzando una VPN domestica, il provider della VPN ha accesso completo alle vostre abitudini di navigazione che scegliete online a spesso ha accesso al vostro PC. Questo rappresenta una differenza significativa rispetto a una connessione diretta effettuata con il solo browser verso il servizio.
Quando il provider di una VPN domestica dichiara nei contratti o nelle pagine web di non conservare i dati di navigazione, si tratta già di un'ammissione di rischio, non credete? Questo implica una fiducia cieca, senza alcuna garanzia che i dati non vengano trattati o esfiltrati.
Chi e cosa si conosce dei vostri interessi con una VPN ad uso domestico?
| Vostro indirizzo IP | Nome utente / abbonamento | Nome del server a cui ci si vuole collegare | Conosce i contenuti che scambiate | Contenuti del vostro PC | |
|---|---|---|---|---|---|
| Il provider delle VPN potenzialmente conosce le vostre preferenze | SI | SI | SI | NO | SI, se intallato un software di scansione |
| Il provider DNS è normalmente lo stesso provider delle VPN | SI | SI | SI | NO | SI, se intallato un software di scansione |
| Ogni singolo servizio finale che viene contattato | NO | NO, se non avete effettuato il login sul sito | SI | SI | NO |
In pratica quando si usa una VPN domestica potenzialmente vi mettete nelle mani di una società privata, esattamente come un Interner Provider, che sicuramente è seria ma ricordate, le informazioni sono denaro e la vendita delle informazioni spesso non è fatta dalle società in maniera sistematica ma dal personale che si trova nella posizione di poter disporre dei dati! Le società cercano di cautelarsi da questo imponendo specifiche politiche ma la realtà è che è quasi impossibile farlo con la tecnologia attuale.
Quando una VPN domestica può essere utile?
Quando per esempio non si vuole pagare un abbonamento di servizi, quando si vuole apparire come utente di una nazione diversa al servizio finale, quando si vuole utilizzare un servizio non disponibile dalla nazione da cui ci si collega, quando vuoi sfuggire a dei sistemi autoritari...ma attenzione qualcuno si può vendere i dati e normalmente i sistemi autoritari sono disposti a pagarli molto bene e quando passi per una VPN domestica concentri in un unico operatore tutte le tue scelte e interessi e spesso I contenuti del tuo PC!
Conclusione
Per tutti i motivi elencati, Oplon Networks nel 2020 ha deciso di investire su tecnologia non invasiva che utilizza il solo browser per poter accedere ai propri servizi aziendali senza installare nulla nel proprio device. Oplon Secure Access copre la funzionalità di accesso ai propri servizi aziendali eliminando la VPN.
Per gli altri due scopi in cui oggi viene utilizzata la VPN una soluzione per collegare due datacenter è già presente sul mercato ed è IPsec. Su tutti i sistemi operativi IPsec è presente. Per l’utilizzo di VPN domestiche utilizzate per nascondere il vostro indirizzo IP di partenza, abbiamo solo elencato le criticità e le opportunità, a tutti voi la scelta di utilizzare quelle a pagamento, quelle gratuite o non utilizzarle affatto.
In Internet dimenticate la favola di non essere tracciati, potete solo scegliere da chi essere spiati