Uno degli aspetti più importanti che un gestore di vpn dovrebbe fare proprio è l’adozione di una politica “no log”, cioè un’architettura del servizio che non registri né conservi i dati di navigazione degli utenti. La ragione è ovvia: chi usa una vpn non di rado lo fa per ragioni legate all’esercizio di diritti civili o per tutelare la propria libertà di espressione. Può trattarsi di semplici cittadini che vogliono aggirare la censura, oppure giornalisti, dissidenti e attivisti che hanno la necessità di pubblicare anonimamente i loro contenuti. In tutti questi casi, la conservazione dei log apre alla possibilità che il controllo a cui vogliono sfuggire sia semplicemente esercitato dalle autorità obbligando il gestore della vpn a fornire quelle informazioni.
L’unico sistema per impedire che questo accada è fare in modo che quelle informazioni non esistano neppure. Se però il gestore vpn raccoglie i dati per scopi di marketing conservando dunque i registri delle attività degli utenti, questa protezione viene meno.
Il rischio di un attacco informatico
Le cose però possono andare anche peggio. In particolare, quello di fornire una vpn gratis può essere un semplice espediente per favorire la diffusione di software malevolo o veri e propri malware.
L’ipotesi di attacco più semplice è che il malware sia direttamente integrato nel codice del software di installazione della vpn. I casi, nella cronaca recente, sono numerosi e riguardano in particolare le applicazioni per smartphone. In alcuni casi, addirittura, i cyber criminali sono riusciti a fare in modo che le applicazioni infette fossero caricate su store ufficiali come Google Play.
Anche nel caso in cui il malware non sia inserito direttamente nella vpn, l’uso di un servizio gratuito (e quindi potenzialmente gestito da un operatore con interessi “discutibili”) apre ad altri problemi di sicurezza. In particolare, alla possibilità che la navigazione sia dirottata per consentire un attacco.
A quale sito mi sto collegando?
La maggior parte dei servizi vpn offrono, oltre alla crittografia dei dati e al mascheramento dell’indirizzo ip, l’uso di un server dns dedicato. I server che gestiscono il Domain Name System sono, in pratica, gli “elenchi del telefono” del web. Il loro compito è quello di tradurre un indirizzo web del tipo www.wired.it nel relativo indirizzo ip (del tipo 3.160.212.70) necessario per il collegamento al sito.
Fonte : Wired
