TECNOLOGIA E SICUREZZA

Protezione dati online: perché una VPN non basta a tutelare la nostra privacy

Oltre all’encryption, tecnologie come VPN e TOR sono diventate di uso comune tra gli utenti internet anche non esperti di tecnologia. Ma offrono davvero un supporto esaustivo alla privacy? Che limitazioni o considerazioni è opportuno fare? Ecco cosa bisogna sapere sulla privacy dei nostri dati online

24 Gen 2022
I
Antonio Ieranò

Security, Data Protection, Privacy Expert

M
Benito Mirra

Chief Information Security Advisor

Ai nostri giorni esiste un’attenzione molto alta sui temi della privacy online, un’attenzione che è aumentata nel tempo ed è stata amplificata dalla scoperta di fenomeni di monitoraggio massivo della popolazione (si pensi alle rivelazioni di Snowden in merito) e dal proliferare di leggi e regolamenti che in molti paesi hanno osto l’accento sulla protezione del dato e la privacy. Tra questi vale ricordare l’Europa col GDPR, la California, Singapore e persino la Cina che ha recentemente legiferato in merito.

L’approccio alla privacy, e il perimetro stesso di questa, è variabile da paese a paese. Vincoli tecnologici, eccezioni di influenza e accesso (chi può vedere o meno i dati), liceità di trattamento sono elementi estremamente variabili persino nei paesi ove la privacy è soggetto a legislazioni di protezione comparabili.

Semplificando, in estrema sintesi, il problema della privacy su internet consiste nel mantenere riservato il contenuto delle nostre comunicazioni e delle nostre attività online.

Ora, per fare questo, occorre considerare che vi sono almeno tre aree in cui la necessità di intervenire per preservare la privacy è imperativa:

  1. il punto di partenza delle attività, cosa che include device, IP, applicazione;
  2. il trasporto delle informazioni;
  3. la destinazione, che solitamente corrisponde ad un servizio online di qualche tipo.

Questi tre elementi sono tra loro concatenati e su questi insistono diversi componenti delle varie legislazioni. I punti 2 e 3 sono spesso non compresi appieno e spesso l’attenzione è focalizzata solo sul punto 2. Ma anche in questo caso spesso ci sono errori di comprensione di cosa voglia dire rendere sicuro il trasporto dei dati.

Su di tutto si consideri che qualsiasi sistema di protezione a livello di trasporto offre solo un livello di protezione su un contenuto che è stato generato prima del trasporto e viene consegnato dopo il trasporto: se la violazione della privacy avviene in fase di creazione della attività o da parte del servizio di destinazione il supporto a livello di trasporto poco può offrire.

Si pensi, ad esempio, a browser compromessi, trojan di monitoraggio lato partenza, o social media lato destinazione.

Va da sé che, come si diceva prima, il concetto di privacy è variabile, così come l’esposizione dei dati che può avvenire in momenti diversi e da parte di soggetti diversi.

VPN: cos’è, come funziona e a cosa serve una Virtual Private Network

Il trasporto delle informazioni

Quando si naviga online il trasporto delle informazioni è legato al protocollo TCPIP. Gli elementi fondamentali da considerare sono: l’indirizzo di partenza, l’indirizzo di destinazione e il contenuto delle informazioni trasportate.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

La prima operazione cui si pensa è ovviamente intervenire sul contenuto rendendolo non leggibile a terzi che, in qualche maniera, accedano al flusso di informazioni. Occorre però intervenire anche a livello di mascheramento del mittente, in termini di IP sorgente, locazione geografica e altri elementi identificativi, quando si vuole offrire un livello di protezione che preservi la privacy.

Per indirizzare queste problematiche, nel tempo si sono sviluppati servizi e tecnologie che hanno cercato di offrire livelli di protezione nel trasporto che indirizzino le varie esigenze di privacy.

Esiste quindi una correlazione con Le alleanze dei “5 Eyes, 9 Eyes & 14 Eyes” che mettono a rischio la nostra privacy? Dobbiamo preoccuparci? Quando si parla di scambi internazionali di informazioni tra i servizi segreti, le cose possono complicarsi rapidamente.

Esaminiamo le informazioni più importanti sulle alleanze con i “5 eyes, 9 eyes & 14 eyes” e di come queste influenzano un utente che utilizza una VPN.

Cos’è l’Alleanza dei “5 eyes”?

L’Alleanza dei Cinque Occhi è stata costituita durante la Guerra Fredda. A quel tempo c’era un accordo sui servizi segreti chiamato “Accordo UKUSA”.

In origine era unicamente uno scambio di informazioni tra i servizi segreti di USA e UK: obiettivo primario era decifrare informazioni segrete provenienti dalla Russia.

Alla fine degli anni ‘50 si unirono Canada, Australia e Nuova Zelanda. Questi cinque paesi di lingua inglese formano la “Five Eyes Alliance” come la conosciamo oggi. Lo scambio di informazioni classificate tra questi cinque paesi è aumentato nel tempo: con l’avvento cibernetico è stato ampliato il monitoraggio delle attività online.

Per molti anni l’accordo è rimasto segreto e solo le cinque nazioni lo sapevano. Soltanto nel 2003 il mondo ne è venuto a conoscenza per le vie ufficiali. Le cose sono diventate ancora più chiare nel 2012 dopo che Edward Snowden ha pubblicato diversi documenti segreti ottenuti mentre lavorava per la NSA.

I documenti hanno rivelato che i governi monitorano ampiamente le attività online dei cittadini. Ci sono prove che la rete di intelligence è estesa e capillare più di quello che veniva ufficializzato. È emerso che ci sono altri due accordi di servizi di intelligence oltre alla “Five Eyes Alliance”. Sono le“ Nine Eyes e le Fourteen Eyes Alliance”.

Una breve panoramica delle tre alleanze

Quando parliamo delle tre alleanze ci riferiamo a:

  • Five Eyes: USA, Gran Bretagna, Canada, Australia, Nuova Zelanda;
  • Nine Eyes: Five Eyes + Danimarca, Francia, Olanda, Norvegia;
  • Fourteen Eyes: Nine Eyes + Germania, Belgio, Italia, Svezia, Spagna.

I “Nine Eyes e i Fourteen Eyes sono fondamentalmente estensioni della “Five Eyes Alliance”. Questi paesi potrebbero non condividere tra loro tante informazioni quanto la Five Eyes Alliance, ma condividono i dati a livello internazionale su base volontaria.

Oltre alle alleanze confermate, ci sono alcuni paesi sospettati di scambiare informazioni con la Fourteen Eyes Alliance: Israele, Giappone, Singapore, Corea del Sud.

Ma cosa ha a che fare tutto questo con le connessioni VPN degli utenti?

Semplice: lo scambio di informazioni ha conseguenze di vasta portata per gli utenti di Internet e, naturalmente, anche per le VPN. È molto probabile che i 14 paesi accedano ai dati online e possono quindi essere condivisi con gli altri paesi.

Fondamentalmente, si tratta di chi ha giurisdizione sull’attività online quando si utilizza una VPN, ma ci sono diversi fattori da considerare: la posizione fisica; la posizione del server o la sede del provider VPN.

Se vogliamo davvero andare sul sicuro, occorrerebbe conoscere le leggi dei diversi paesi e le eventualità delle risposte di alcune domande.

Sapere è potere?

Purtroppo bisognerebbe conoscere le leggi e i regolamenti online del paese in cui si utilizza la VPN. Ad esempio, è legale utilizzare una VPN nel nostro paese? Nella maggior parte dei casi la risposta è sì, ma non sempre.

L’infografica sottostante offre una panoramica dei quali paesi nei quali le VPN sono illegali o controllate dallo stato e aiutano a comprendere meglio le giurisdizioni di ciascun paese, di come la nostra posizione influisce sulle attività online e sull’utilizzo di una VPN.

VPN e privacy: la situazione in Cina

Solo le VPN certificate dal governo e dal PCC sono legali in Cina.

La Cina è stata ripetutamente identificata come il peggior nemico della libertà di Internet da “Freedom House”. Una legge sulla sicurezza informatica ha persino aumentato le restrizioni alle attività su Internet. Se le società di telecomunicazioni non seguono i regolamenti, devono affrontare multe salate e in molti casi conseguenze molto severe.

Oltre alla pesante censura e sorveglianza, la Cina richiede anche la localizzazione dei dati e le società Internet devono richiedere nomi reali al momento della registrazione.

Le società di telecomunicazioni con sede in Cina sono tenute a inviare tutti i dati nel caso in cui il governo conduca indagini. Anche e soprattutto le aziende tecnologiche estere devono sottostare alle rigide regole per gli utenti cinesi. I provider VPN devono ottenere l’approvazione del governo prima di concedere l’accesso alla rete globale. Se gli utenti di Internet vengono sorpresi a utilizzare una VPN per accedere alla rete internazionale senza l’approvazione del governo, possono essere multati o, a seconda dei casi, essere arrestati.

Un altro punto importante è il paese in cui il tuo provider VPN è registrato come azienda.

È consigliabile utilizzare un provider VPN che non faccia parte della “Fourteen Eyes Alliance” se la tua privacy è importante per te, perché a seconda del paese della sede centrale , il tuo provider VPN potrebbe dover consegnare i dati dei propri utenti al governo quando lo richiedono.

I dati potranno poi essere inviati ai paesi che fanno anch’essi parte dell’alleanza. Potresti anche non sapere che la tua privacy è stata violata, in sintesi dovresti conoscere le pratiche di sorveglianza del paese in cui si trova il server che stai utilizzando, questo ovviamente è indipendente dalla sede del provider VPN.

Perché è importante una politica no-log

Esistono molti modi in cui una VPN può rientrare nella giurisdizione di alcuni governi. Ecco perché le migliori VPN per la protezione della privacy debbono avere una politica di non registrazione . Ciò significa che non hanno informazioni sui loro utenti e sulle loro attività online.

Un ottimo esempio recente è quello della direttiva del provider VPN “ExpressVNP”. Il provider è stato coinvolto in un’indagine della polizia in Turchia. Le autorità hanno cercato di ottenere dati che identificano gli utenti da ExpressVPN. Nonostante tutti i possibili tentativi , le autorità non sono riuscite a trovare alcuna informazione e pare ciò sia dovuto alla rigorosa politica di no-log di ExpressVPN.

La storia pare affidabile, ovviamente, ma ci sono anche altri provider VPN che affermano semplicemente di avere una politica di no-log, malgrado ciò hanno consegnato alle autorità informazioni sensibili sugli utenti. Potrebbe essere quindi non sufficiente per un provider VPN avere una politica di no-log . Ciò è particolarmente vero per i provider VPN che sono sotto la giurisdizione delle alleanze “Five-Eyes, Nine-Eyes e Fourteen-Eyes”.

La situazione in Italia

Ritornando nel nostro Paese, ricordiamo che è membro dell’Alleanza dei Quattordici Occhi e, inoltre, che le VPN sono legali,

L’Italia tutela la libertà di espressione dei cittadini italiani che possono accedere a Internet quasi senza restrizioni. Ci sono, tuttavia, alcune eccezioni. Ad esempio, i filtri vengono utilizzati per i contenuti web che hanno come contenuto la pornografia infantile e il gioco d’azzardo.

L’Italia ha ampliato la propria infrastruttura Internet molto lentamente. Nel 2018, secondo un rapporto di “Freedom House”, poco più del 60% della popolazione aveva accesso permanente a Internet. Ci sono, tuttavia ancora alcuni problemi di privacy in Italia. Le società di telecomunicazioni, ad esempio, devono conservare e archiviare i dati Internet per un massimo di sei anni.

Conclusione

La protezione dei dati online sta diventando sempre più importante per gli utenti di Internet perché il monitoraggio globale è in costante aumento e sta diventando anche più efficiente.

Ci sono molte ragioni per cui i governi non dovrebbero conoscere i tuoi dati e le tue attività online. Ciò è particolarmente vero quando i servizi segreti di tutto il mondo condividono i dati al fine di eludere le proprie leggi sulla protezione dei dati. secondo uno studio della società di ricerca sulla privacy e la sicurezza VPNpro, quasi un terzo (30%) dei principali provider di reti private virtuali (VPN) al mondo sono segretamente di proprietà di sei società cinesi e offrono collettivamente 29 servizi VPN.

Lo studio mostra che le prime 97 VPN sono gestite da sole 23 società madri, molte delle quali hanno sede in paesi con leggi sulla privacy lassista e in molti casi le informazioni sulla società madre sono nascoste ai consumatori.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA