Le VPN sono meno sicure di quanto si pensi

Secondo un sondaggio pubblicato dall’azienda tecnologica NordVPN nel dicembre del 2023, in Italia circa un quarto delle persone che navigano su Internet utilizza un servizio VPN. L’acronimo sta per Virtual Private Network, ovvero “rete virtuale privata”, e sono in sostanza dei software che servono a creare un canale sicuro per la trasmissione di dati su Internet. In breve, formano un tunnel digitale e crittografato tra il dispositivo da cui si connette l’utente (un computer, un tablet, uno smartphone) e un server remoto, mascherando al contempo l’indirizzo IP da cui l’utente si collega. Le aziende tendenzialmente usano questa tecnologia per permettere ai propri dipendenti che si connettono da remoto – perché in viaggio, o perché lavorano da casa – di collegarsi alla rete aziendale.

Le VPN utilizzate dagli utenti comuni si basano sulla stessa tecnologia, ma vengono usate a scopi del tutto diversi. In particolare, sono uno dei metodi più immediati e conosciuti per aggirare eventuali limitazioni geografiche, e quindi per esempio per guardare film presenti nel catalogo di una piattaforma di streaming soltanto in un altro paese, o per visitare siti statunitensi che non sono normalmente accessibili dall’Europa perché non rispettano le normative comunitarie sul trattamento dei dati personali.

Ma da anni si è consolidata l’idea – sostenuta spesso dalle stesse aziende che sviluppano VPN – che utilizzarle aiuti a proteggere ulteriormente la propria privacy online e ad aumentare la sicurezza dei propri dispositivi: il sondaggio di NordVPN dice che il 37 per cento degli utenti italiani di VPN sostiene di usarli principalmente per questa ragione.

La realtà, però, è più complessa: nel caso delle VPN aziendali, negli ultimi anni diversi esperti e ricercatori hanno individuato centinaia di vulnerabilità (ovvero di difetti e debolezze di programmazione che rendono più facile compromettere la sicurezza di un software) anche in alcuni dei servizi VPN più famosi. Già nel 2020 l’Agenzia per la sicurezza nazionale statunitense (NSA) aveva fatto circolare una comunicazione in cui ricordava a tutti – ma soprattutto alle aziende – che le VPN possono spesso rivelarsi particolarmente vulnerabili agli attacchi informatici. E anche per quanto riguarda l’utilizzo da parte di singoli, vari esperti temono che gli utenti si fidino eccessivamente del grado di protezione che le VPN possono offrire.

I primi protocolli VPN vennero adottati nei primi anni Duemila con l’obiettivo principale di permettere ai dipendenti delle grandi aziende di connettersi alla rete interna anche da remoto, mantenendo al contempo un certo standard di sicurezza e riservatezza delle informazioni. In precedenza, per evitare che persone non autorizzate accedessero alla rete interna, le aziende affittavano reti di trasporto di dati private, separate dall’Internet pubblica.

Queste reti erano costruite su linee internet dedicate e isolate dal più ampio internet pubblico, ma richiedevano molti soldi per essere mantenute: le VPN, invece, permettevano ai dipendenti di accedere in modo piuttosto sicuro alla rete interna della propria azienda pur utilizzando una rete internet pubblica. Soltanto anni dopo la tecnologia avrebbe cominciato a essere utilizzata da singoli individui all’esterno delle aziende per motivi diversi (come, appunto, aggirare limiti legati alla localizzazione del proprio indirizzo IP). Anche oggi, comunque, le VPN pensate per le aziende dovrebbero avere degli standard di sicurezza superiori rispetto a quelle utilizzate dagli utenti comuni.

Ciononostante, negli ultimi anni il settore delle VPN aziendali è stato interessato piuttosto spesso da notizie relative a vulnerabilità e attacchi. Qualche giorno fa Cisco Talos, un gruppo di ricercatori e analisti che si occupa di cybersicurezza e intelligence all’interno della multinazionale statunitense Cisco Systems, ha segnalato che nel corso dell’ultimo mese c’è stato un massiccio aumento di attacchi informatici contro vari servizi VPN aziendali piuttosto diffusi, tra cui Fortinet, Check Point e SonicWall. Secondo le stime, poi, tra il 2020 e il 2024 il numero di vulnerabilità informatiche trovate nei servizi VPN è aumentato dell’875 per cento. Almeno duecento sono state sfruttate da attori criminali o malintenzionati per attaccare gli utenti o le aziende per cui lavorano.

Le ragioni sono molte, a partire da un enorme aumento dell’attenzione di hacker, gruppi criminali e entità statali verso le VPN, che nel peggiore dei casi se violate possono permettere ai malintenzionati di accedere all’intera rete di un’azienda. Questa attenzione è peraltro aumentata dal 2020 anche perché un maggior numero di persone ha cominciato a lavorare da remoto, moltiplicando la potenziale superficie d’attacco.

«Bisogna tenere presente che stiamo parlando di software molto complessi che per definizione sono esposti su internet. Spesso sono l’unica cosa che un’azienda espone pubblicamente. Ma questo vuol dire anche che la più piccola vulnerabilità, in quanto esposta a internet, diventa critica», spiega Roberto Clapis, esperto di cybersicurezza che tra le altre cose ha a lungo lavorato per Google. «Appena una vulnerabilità diventa nota, la prima cosa che gli aggressori fanno è usarla a tappeto su tutti i server che probabilmente usano quel software, per cercare di entrare nelle reti interne delle aziende. E una volta che sono dentro, tutto il modello di sicurezza cade».

– Leggi anche: Gli attacchi informatici possono far male alla salute

A questo si aggiungono dei problemi già esistenti, a partire dal fatto che molte VPN si basano su protocolli ormai piuttosto datati, che includono degli standard crittografici superati e quindi meno solidi e meglio conosciuti dai malintenzionati. Tantissime aziende scelgono poi la propria VPN in modo piuttosto superficiale, limitandosi a utilizzare quelle offerte all’interno di più ampi pacchetti digitali acquistati dall’azienda.

Questo diventa un problema soprattutto se le aziende si convincono del fatto che usare una VPN sia sufficiente per mettere in sicurezza il proprio sistema, senza preoccuparsi di istituire ulteriori livelli di sicurezza, per esempio attivando un’autenticazione a più fattori nel momento in cui i dipendenti effettuano il login.

«Spesso le aziende ragionano a partire dall’idea che un software dev’essere sicuro perché lo usano tutti. Ma non è raro che una società che produce software, consapevole del fatto che ha un ottimo posizionamento nel mercato e quindi venderà facilmente il proprio prodotto, non investa granché per migliorarlo o metterlo in sicurezza», dice Clapis. «La cosa ironica è che le VPN sono software potenzialmente semplici, e se mantenessero quella semplicità avrebbero probabilmente meno vulnerabilità».

Per quanto riguarda l’utilizzo privato delle VPN, i ragionamenti da fare sono un po’ diversi. «Fino a una decina di anni fa il motivo principale per cui venivano utilizzate fuori dall’azienda era legato alla protezione dei dati. Lo standard online era la comunicazione in chiaro, e soltanto pochi software particolarmente cauti cifravano le informazioni. In quel contesto, usare una VPN rendeva effettivamente più sicuro l’atto di connettersi a internet», spiega il professor Stefano Zanero, del Politecnico di Milano. Con “cifrare” si intende l’atto di convertire i dati trasmessi da un computer all’altro in un linguaggio codificato, in modo che chi dovesse cercare di intercettarli li trovi illeggibili o, appunto, cifrati.

«Negli ultimi anni praticamente tutti i software e le applicazioni che usiamo hanno però cominciato a cifrare le comunicazioni, e questo tipo di utilizzo ha perso un po’ di senso: online ci sono ancora delle comunicazioni che non sono cifrate, ma sono molto poche», spiega Zanero.

Rimangono quindi due principali utilizzi che i singoli fanno delle VPN: “fingere” di connettersi da un paese diverso da quello in cui ci si trova, e nascondere per qualche motivo l’indirizzo IP da cui ci si connette. «Entrambe queste funzioni si basano però su un gigantesco compromesso», dice Zanero. «Il fornitore del servizio VPN è quello che in gergo si chiama “trusted element”, ovvero è qualcuno nelle cui mani noi stiamo mettendo la nostra connessione. Se il motivo per cui io lo sto usando è che spero che la mia privacy venga protetta, dare tutto il mio traffico in mano a una specifica azienda non è necessariamente una buona idea: devo essere sicuro che l’azienda sia molto onesta, fidarmi del fatto che i meccanismi crittografici alla base siano sicuri e robusti. E, se sto usando una VPN nella speranza di accedere a contenuti che legalmente non potrei vedere, come quelli protetti da copyright, se l’azienda è più o meno incline a fornire i dati dei clienti alle autorità».

Molto più spesso, però, gli utenti scelgono la propria VPN in base a criteri molto diversi, come la gratuità o l’interfaccia facile da comprendere e navigare: «quindi, se io ti devo vendere la mia VPN, è chiaro che non mi concentrerò sulla sicurezza e sulla robustezza del sistema, ma sulla sua usabilità», aggiunge Zanero.

– Leggi anche: Gli antivirus per il computer sono sempre più obsoleti