Sabino Maggi
– Fonte: Bernard Hermant su Unsplash.
Fino a pochi anni fa le reti private virtuali (VPN, Virtual Private Network) erano un prodotto di nicchia, riservato prevalentemente a chi era spesso fuori dall’ufficio per lavoro e aveva bisogno di connettersi in modo sicuro alla rete aziendale dal bar o dall’hotel di turno, oppure a chi viveva in paesi a rischio censura e voleva esprimere il suo pensiero senza poter essere rintracciato o più semplicemente desiderava accedere liberamente ai siti web oscurati dal proprio governo.
Poi, proprio all’inizio dell’amministrazione Trump, il Congresso degli Stati Uniti ha deciso di consentire ai fornitori di servizi di accesso alla rete (ISP, Internet Service Provider), gli equivalenti dei nostri Fastweb, Infostrada o Vodafone, di rivendere a chiunque e senza dover richiedere alcuna autorizzazione, i dati di navigazione dei propri utenti. Un business che vale 80 miliardi di dollari di sola pubblicità online.
In questi dati c’è di tutto, fra cui moltissime informazioni strettamente private: la storia della navigazione su internet con l’elenco di tutti i siti visitati, le ricerche effettuate, il contenuto delle email, informazioni mediche e finanziarie, indirizzi, date di nascita, numeri di telefono, e persino i dettagli della posizione geografica dell’utente nel corso della giornata. Di conseguenza l’uso delle VPN è letteralmente esploso.
Purtroppo non è affatto detto che una rete VPN aumenti la sicurezza delle proprie comunicazioni online. Anzi può essere persino peggio, una VPN può dare un falso senso di sicurezza che invita ad abbassare la guardia, con conseguenze potenzialmente catastrofiche (in particolare per coloro che hanno la sfortuna di vivere in paesi governati dal dittatorello di turno).
Lo dimostra una ricerca pubblicata nel 2016, immediatamente prima della deregolamentazione decisa dal Congresso USA. Per motivi pratici la ricerca è focalizzata sulle sole app VPN (gratuite) per Android e trascura completamente il mondo iOS e tutte le applicazioni analoghe per i sistemi operativi desktop, Windows e macOS e Linux. Ma pur con tutti i suoi limiti, i risultati della ricerca danno un quadro piuttosto chiaro di quanto sia critica la situazione in questo settore, e allargando ulteriormente il campo di analisi la situazione non potrebbe che peggiorare.
Qui sotto ho riassunto brevemente i risultati della ricerca, nel corso della quale i ricercatori hanno analizzato ben 283 app VPN disponibili gratuitamente sul Play Store di Google all’inizio dell’analisi (settembre 2015). Chi desidera approfondire può scaricare liberamente dai siti istituzionali degli autori sia l’articolo completo che le slide della conferenza nella quale è stato presentato il lavoro.
Bisogna notare che, anche se tutte le app analizzate sono gratuite, più della metà richiede il pagamento di un importo mensile per l’uso effettivo della rete VPN, una cosa assolutamente normale visti i costi associati alla gestione di una infrastruttura di rete.
Reti peer-to-peer: un gran numero di app VPN non utilizza una infrastruttura di rete costruita ad hoc ma si basa sui nodi di accesso messi a disposizione dagli altri utenti (spesso in cambio di sconti), formando quindi una rete peer-to-peer molto più economica da gestire ma che non garantisce assolutamente la trasparenza e la sicurezza necessarie.
Modello gratuito: mettere su una rete VPN ha dei costi significativi e quindi in questo caso specifico il modello free non può funzionare; per poter proporre delle VPN gratuite o a basso costo le aziende utilizzano spesso una serie di trucchi poco accettabili, con i quali portano gli utenti inconsapevoli sui siti dei partner pubblicitari oppure utilizzano codice JavaScript più o meno oscuro per iniettare gli annunci pubblicitari direttamente nel flusso dei dati. La pubblicità in sé può anche essere innocua, ma mettere le mani nel flusso dei dati trasmessi sulla connessione VPN può portare ad abusi molto più seri e pericolosi per chi utilizza la rete in questione.
Malware: più di un terzo delle app VPN era infestato da qualche forma di malware: non solo il quasi inoffensivo adware (pubblicità non richiesta) ma spesso anche da veri e propri spyware (programmi che spiano l’attività online dell’utente) o trojan (programmi installati di nascosto che possono eseguire operazioni dannose sul sistema).
Crittografia: non è affatto detto che il traffico di rete che transita attraverso queste app VPN sia crittografato e quindi risulti illeggibile agli ISP o alle agenzie governative un po’ troppo curiose; e anche quando lo è, può succedere che errori di implementazione o di configurazione delle app mostrino in chiaro gli accessi ai server DNS (quelli che traducono i nomi dei siti web negli indirizzi numerici comprensibili ai computer), rivelando così l’attività effettuata in rete dagli utenti, una cosa che in certi paesi può essere più che sufficiente per finire in carcere.
Certificati: alcune app VPN riescono perfino ad installare i propri certificati digitali al posto di quelli ufficiali del dispositivo Android (certificati root), rendendo del tutto inefficace la cifratura dei dati in transito sul dispositivo, perché chi dispone del certificato digitale dispone anche delle chiavi con cui decodificare tutto quello che passa attraverso la rete VPN.
Consapevolezza del rischio: solo l’1% delle recensioni sul Play Store solleva dei dubbi sull’attività potenzialmente fraudolenta svolta dalle app VPN; l’utente medio di questi prodotti non ha le capacità tecniche per accorgersi dei rischi che corre quando usa un’app di questo tipo e purtroppo il sistema operativo sottostante fa ben poco per aiutarlo.
Insomma, nonostante i limiti già ricordati, questa ricerca dimostra in modo inoppugnabile che le app VPN per Android (ma non solo) danno solo un falso senso di sicurezza, che le rende inutili e perfino controproducenti. Dubito fortemente che si otterrebbero risultati diversi analizzando le app analoghe per gli altri sistemi operativi mobili o desktop. E dubito altrettanto fortemente (se non di più) che dal 2016 ad oggi la situazione sia migliorata.
Perché?
Primo, perché tutti i sistemi operativi attuali fanno pochissimo per aiutare l’utente a valutare correttamente i rischi connessi a certe attività di rete. Far comparire di continuo avvisi e richieste di autorizzazione di tutti i tipi non è sufficiente, se non si spiega in modo corretto e comprensibile quello che succede. E in ogni caso, troppe richieste inutili non fanno altro che affogare ciò che è veramente importante in un rumore di fondo indistinto, da cui l’utente medio esce cliccando automaticamente, senza nemmeno leggere. Facile quindi infilare delle app più o meno malevole negli store online dei vari sistemi operativi, in particolare di quelli più diffusi, Android per il mobile e Windows per il desktop. Apple per fortuna riesce a controllare meglio di altri gli store di macOS e di iOS, ma possiamo essere sicuri che ci riesca al 100%?
Secondo, perché in questo campo il modello free non funziona a priori. Gestire una infrastruttura di una rete ha dei costi che devono essere ripagati in qualche modo, lecito (attraverso gli acquisti in-app e gli abbonamenti mensili) o illecito. E comunque non è nemmeno detto che una rete VPN a pagamento (anche di costo rilevante) assicuri un livello di sicurezza decente. Poter spiare una connessione considerata sicura può assicurare tanti di quei benefici, sia a livello economico (ad esempio, conoscere le attività e i progetti di certe aziende) che politico (primo fra tutti riuscire a individuare gli oppositori politici), che è meglio non fidarsi.
Che fare?