Tutto quello da sapere prima di passare alla VPN

Funzioni e insidie della VPN dal punto di vista tecnico e legale

Nel capitolo conclusivo del nostro corso introduttivo alla VPN, vi dirò qualcosa al riguardo che va oltre le solite chiacchiere tecniche. Tratterò delle questioni tecniche e legali che sono direttamente relazionate all’uso della VPN, e infine fornirò dei consigli pratici.

Aspetti tecnici

Chi ci segue assiduamente ricorderà che nelle precedenti puntate delle nostre serie ho posto particolare enfasi sulla corretta implementazione, installazione e uso di tutti i tipi di VPN. Anche la versione più affidabile del protocollo è inutile se usata in maniera impropria.

Tutte le soluzioni VPN che abbiamo analizzato in precedenza avevano una cosa in comune: includono implementazioni open source, che dovrebbero facilitare il controllo delle vulnerabilità. Tuttavia, in realtà, ci sono altre questioni e peculiarità oltre a quelle contenute nel codice.

Il problema più ovvio è l’occasionale disconnessione della VPN che, di conseguenza, all’improvviso, dirige il traffico attraverso una rete pubblica. Per esempio, può succedere quando un utente è connesso a una rete Wi-Fi pubblica o a qualsiasi altra rete mobile disponibile. Il caso peggiore è quando l’utente non ne è informato e la connessione VPN non è ristabilita automaticamente.

In Windows 7 e superiori, Microsoft ha introdotto la funzione Riconnessione VPN. Se usate una piattaforma alternativa, dovrete avvalervi di impostazioni di routing predefinite o di una funzione chiamata “kill switch”. Quest’ultima controlla lo stato della connessione VPN. Se è caduta, tutte le app in esecuzione si bloccano, e si tenta di ristabilirla. Alcuni client commerciali offrono una funzionalità simile.

La seconda falla della VPN, che è meno ovvia e frequente, è relativa al protocollo IPv6. Sebbene sia ancora usata di rado, tutti i principali sistemi operativi hanno questo protocollo abilitato per impostazione predefinita, mentre la VPN usa soprattutto l’IPv4.

In questo caso può succedere che l’IPv6 sia supportato su una rete pubblica, e il client può anche connettersi a una risorsa che utilizza la stessa versione del protocollo, quindi indirizzare in automatico il traffico a una rete pubblica IPv6. La misura più semplice in questo caso sarebbe disabilitare del tutto il supporto IPv6 a livello del sistema.

Ovviamente si può inviare tutto il traffico alla VPN, ma questo richiederebbe sia il supporto lato server, sia particolari impostazioni lato client. Una ricerca condotta nel 2015 ha richiamato l’attenzione dei provider di VPN e questi hanno cominciato a cercare soluzioni appropriate per i loro client.

La ricerca cita anche le falle nel DNS. Nel migliore dei casi, quando un utente si connette alla VPN, tutte le richieste al DNS non dovrebbero permettere che la rete VPN venga elaborata dai server DNS corrispondenti. Altrimenti, server affidabili come Google Public DNS o OpenDNS dovrebbero essere configurati nella rete durante l’installazione.

In alternativa, si può usare la VPN unita a servizi come DNSCrypt. Questo serve a criptare e everificare l’autenticità delle richieste/risposte della VPN, che è anche piuttosto utile in molti altri casi.

Nella vita reale, queste raccomandazioni sono seguite di rado, e la gente usa i server DNS offerti dalla rete pubblica. Di certo, la risposta acquisita da questi server potrebbe non essere corretta o persino falsa, il che è una grande opportunità per gli aggressori che praticano il farming. Il danno collaterale della falla nel DNS sarebbe la privacy compromessa: un estraneo potrebbe scoprire gli indirizzi dei server DNS, quindi risalire al nome dell’ISP e alla posizione più o meno accurata dell’utente.

Quelli che usano Windows si trovano in una situazione ancor più grave di quel che si potrebbe immaginare. Mentre Windows 7 prova tutti i server DNS conosciuti a uno a uno, e aspetta di ottenere una risposta, Windows 8/8.1 rende le cose più veloci inviando simultaneamente richieste a tutti i server DNS conosciuti su tutte le connessioni note. Se il server preferibile non restituisce la risposta in un minuto, verrà utilizzata la risposta di un altro server. Tuttavia, nel caso della VPN, potrebbe prendere una rete più lunga per restituire una risposta DNS. La buona notizia è che questa funzionalità può essere disattivata manualmente; quella cattiva è che sono necessarie noiose manipolazioni con il registro di sistema.

https://twitter.com/eisforenkai/status/719225616709591040

Su Windows 10 le cose vanno anche peggio. Questo sistema operativo invia richieste DNS ovunque e usa la risposta che arriva più velocemente. Eppure, in questo caso non c’è alcuna buona notizia: questa funzione ultra utile non può essere disabilitata a livello del sistema.

C’è anche una grave vulnerabilità su WebRTC. Questa tecnologia, abilitata nel browser, era stato in un principio progettata per fornire un link diretto tra due nodi di rete ed è utilizzata principalmente per chiamate audio e video. La falla è molto probabile perché WebRTC chiama tutte le connessioni di rete disponibili contemporaneamente e poi usa la prima che risponde.

La stessa mancanza di controllo si può trovare in altri plug in come Java o Adobe Flash, se non in tutti i software. Inoltre, sono una seria minaccia alla privacy, per questo ci siamo noi a controllare la protezione di un utente sulla rete pubblica.

Aspetti legali

Il problema principale relativo alla VPN riguarda le differenze nella legislazione in vari paesi: un client VPN potrebbe essere in un paese e un server VPN potrebbe trovarsi in un altro, per quanto quel paese possa essere amico. In alternativa, il traffico potrebbe essere trasportato attraverso dei paesi terze parti. Anche se non violate alcuna legge, i vostri dati potrebbero essere intercettati e analizzati in transito.

In generale, è sconcertante sapere che il traffico sicuro può essere decriptato, anche dopo molti anni. Proprio il fatto di utilizzare una VPN potrebbe provocare un’attenzione non necessaria da parte delle forze dell’ordine (e se qualcuno stesse nascondendo qualcosa tramite quella VPN?).

Servirsi della VPN può anche andare benissimo, ma tecnicamente l’uso di tale tecnologia è limitato (vedere gli esempi da una puntata precedente o qualsiasi informazione disponibile su PRISM).

Ad ogni modo, tutte le questioni legali derivano soprattutto dall’uso di una forte criptografia piuttosto che dalla VPN in sé. È ovvio che qualsiasi paese voglia proteggere le sue informazioni e procurarsi i dati di qualcun altro, che è essenzialmente la ragione per cui la criptografia è così strettamente regolata.

Negli Stati Uniti, probabilmente nel campo dell’informatica il leader tra gli altri paesi, la situazione è davvero bizzarra. I nuovi standard criptografici devono essere prima approvati dal NIST (The National Institute of Standards and Technology). Tuttavia, questi standard variano in forza: il criptaggio è più resiliente per il mercato domestico ed è indebolito per i prodotti esportati. Ciò che è complicato è che le compagnie di hardware e software che ambiscono a stipulare contratti con il governo dovrebbero seguire queste regolamentazioni.

Non serve ricordarvi dove siano prodotti i più comuni sistemi operativi e i componenti criptografici, compresi i moduli VPN. Questo problema è molto peggio della probabilità di backdoor. Risulta che le tecnologie di rete che dovrebbero diventare standard industriali, potrebbero essere vulnerabili fin dal principio.

Come prova, nel 2013 NIST fu accusato di aver permesso alla NSA l’utilizzo di una versione vulnerabile di un generatore di numeri pseudo casuali come base per il nuovo standard criptografico. In teoria, avrebbe reso più facile decriptare informazioni “protette”.

I sospetti sono cominciati a emergere alcuni mesi dopo la pubblicazione del nuovo standard. Tuttavia, il regolatore venne accusato di emettere deliberatamente una descrizione troppo sofisticata per gli standard e le raccomandazioni pubblicate. Le bozze delle descrizioni erano così confuse che anche i professionisti della criptografia non erano capaci di coglierle immediatamente. Mi piacerebbe evidenziare qui che non sono importanti solo la resilienza e la sicurezza implicite, ma anche l’implementazione pratica lo è altrettanto.

In conclusione,

Per concludere questo articolo, vorrei condividere un link utile: si tratta di una tavola che descrive comuni provider VPN. È molto facile da utilizzare: quante più caselle verdi contiene la linea, più è affidabile il corrispondente provider. Se siete tentati di usare la VPN ma non volete studiare una varietà di aspetti tecnici e legali, questa è la tabella che fa per voi. La cosa più importante è seguire accuratamente le informazioni fornite da un provider e tenere a mente un semplice mantra: prevenire è meglio che curare.

Consigli