Le reti virtuali private (Virtual Private Networks o VPN) sono software in grado di preservare la privacy degli utenti online, cifrando il traffico e la posizione di chi naviga in Internet. Utilizzare le VPN consente di proteggere i propri dati di navigazione dal provider di servizi Internet (ISP), dai siti web terzi che cercano di raccogliere informazioni personali dell’utente e soprattutto dai cyber criminali, riducendo il rischio di attacchi hacker dannosi.
C’è però qualcuno che è in grado di tracciare gli utenti online che utilizzano una VPN: la stessa società che eroga il servizio. Le VPN instradano la connessione Internet fornita dall’ISP dell’utente attraverso una rete sicura e crittografata, modificando l’indirizzo IP visibile ai siti web che vengono visitati online e celando così anche la posizione geografica del visitatore.
Il traffico passa quindi attraverso il server della società che eroga la VPN, che lo registra per necessità legate all’erogazione del servizio, ma, così facendo, può avere un quadro completo del comportamento online e delle abitudini dell’utente. Gli host che offrono una VPN generalmente non spiano i propri utenti, ma potrebbero comunque vendere i dati raccolti a terzi, mettendo così a rischio la loro privacy.
I dati salvati nei server dell’ISP possono potenzialmente essere venduti così a siti web terzi, ad esempio a società di inserzioni pubblicitarie, oppure forniti alle autorità governative, in particolare in caso di indagini da parte delle autorità giudiziarie. Inoltre, se non adeguatamente protetti, in caso di attacco hacker, anche dei cyber criminali potrebbero acquisire i dati relativi al comportamento online dell’utente.
Una VPN è quindi un software in grado di mascherare l’indirizzo IP dell’utente e reindirizzarlo verso un server remoto che viene configurato e gestito ad hoc dall’host della rete virtuale privata. Questo significa che, navigando in Internet, sarà l’indirizzo IP del server della VPN a risultare come punto di origine dei dati inviati e ricevuti dell’utente: né la sua cronologia di navigazione, né la sua posizione potranno essere tracciati dai siti visitati o da terzi.
I sistemi crittografici applicati alla rete impediscono il tracciamento di chi naviga online, agendo non solo sulla cronologia di ricerca e di navigazione, ma anche sui cookie. In particolare, la crittografia dei cookie impedisce a terzi di visualizzare informazioni sensibili e tutto ciò che implica un tracciamento.
Inoltre, alcune VPN sono in grado di bloccare i siti web malevoli, che contengono annunci pubblicitari invasivi o tracker, prima ancora che possano fare danni.
Affinché una VPN sia considerata affidabile e sicura, dovrà presentare una rigorosa politica no-log, impegnandosi a non registrare le informazioni degli utenti e, in particolare, a non comunicarle a terzi, nemmeno alle agenzie di sorveglianza governative nel caso in cui le richiedessero. La politica di non registrazione è importante anche in caso di attacchi hacker: se dei cyber criminali riuscissero ad accedere ai server dell’host VPN, non troverebbero dati da poter utilizzare semplicemente perché non esistono.
Una buona VPN deve poi proteggere l’utente dai cosiddetti “DNS leak”. Quando ci si connette a un sito web utilizzando un URL, il computer invia una richiesta specifica a un server DNS (Domain Name System) per conoscere l’indirizzo IP del sito che vuole visitare e proprio questa richiesta svela all’ISP le attività di navigazione dell’utente. Utilizzando una VPN, le richieste DNS vengono indirizzate ai vari server proprio dalla rete virtuale privata, nascondendo così le attività dell’utente, ma può accadere che il browser utilizzato sia indotto a inviare richieste DNS secondarie all’ISP senza che l’utente lo sappia, svelando così i dati di navigazione. Una VPN in grado di controllare questo tipo di “perdite”dei DNS evita che questo si verifichi.
La maggior parte delle reti virtuali private utilizza ancora indirizzi IPv4, mentre il nuovo standard tecnologico è l’IPv6. Questo significa che se il proprio ISP e il sito web che si vuole visitare supportano entrambi l’IPv6, il traffico passerà attraverso l’ISP piuttosto che attraverso una VPN che supporta solo l’IPv4. Questo fenomeno si chiama “IPv6 leak” e una VPN affidabile deve essere in grado di prevenirlo.
I log, anche detti file di registro, sono la registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico, come ad esempio un server. Quando si naviga in rete si effettua una connessione tra due server e viene in automatico creato un log, che conterrà tutti i dati relativi all’indirizzo IP visitato, l’ora in cui ci si è connessi e la durata della sessione vengono registrati nei log. Chiunque avrà accesso al log, dal proprio ISP al provider della VPN, potrà così ottenere le informazioni sulle abitudini di navigazione online dell’utente.
Questo significa che anche una VPN no-log crea inevitabilmente dei registri con i dati di navigazione degli utenti, ma offre delle efficaci politiche di protezione della privacy. Le VPN no-log si impegnano a cancellare i log non appena non sono più strettamente indispensabili, ma alcune di esse potrebbero conservare comunque alcuni dati di traffico, sebbene non del tipo che possa essere utilizzato per identificare l’utente. Solitamente i provider VPN no-log creano infatti due registri separati: un log relativo solo alle connessioni, detto log di rete, e uno che invece registra le attività, cioè un log di navigazione.
Il primo tiene traccia delle connessioni che il server VPN effettua con i siti web visitati e dovrebbe essere privo di informazioni che permettano di identificare l’utente. Il log di navigazione, invece, registra quando e da dove è stata effettuata la connessione. Un provider VPN no-log potrà pertanto dichiarare di cancellare entrambi i registri, oppure solo quello delle attività.
Il colosso dei social network aveva rilasciato una propria VPN per preservare la privacy degli utenti, ma non era del tutto vero. L’app era in grado di raccogliere informazioni sensibili e tracciare gli utenti, dati che poi venivano trasmessi dall’app a Facebook e che sono stati utilizzati nel social network dagli inserzionisti pubblicitari.
Da allora, si è scoperto che sono diverse le VPN gratuite che spiano i propri utenti, pertanto quando si sceglie un provider VPN bisogna fare molta attenzione alle politiche di non registrazione e leggere le clausole che potrebbero autorizzarlo a vendere i dati raccolti ad aziende terze: se un servizio che ha dei costi è gratis, l’utente starà probabilmente pagando con altra “moneta”, come ad esempio i suoi dati personali.
Di fatto, non c’è un modo che consente di verificare se una VPN no-log rispetti o meno le condizioni dichiarate nelle proprie privacy policy di distruzione dei registri creati. Per poter verificare che i registri siano stati effettivamente distrutti, sarebbe necessario ottenere delle autorizzazioni legali per accedere ai database del provider VPN, sempre se si fosse in grado di sapere dove cercare i log incriminati. L’unica cosa che un utente può fare è decidere di fidarsi del provider VPN che sceglie e credere che rispetterà la politica no-log dichiarata nel contratto.
Per questo motivo, è meglio scegliere VPN a pagamento che applichi una politica di non registrazione chiara e ben definita, per evitare che i propri dati vengano effettivamente stoccati e utilizzati per azioni di tracciamento, o anche solo venduti al miglior offerente.