I servizi VPN commerciali promettono di anonimizzare il traffico di rete e proteggere la privacy degli utenti, ma stando a una ricerca condotta dalla Queen Mary University of London in collaborazione con l’università La Sapienza di Roma si tratta di promesse fallaci. O comunque facilmente bucabili se si conosce il bersaglio.
I ricercatori hanno preso in esame 14 offerte di VPN commerciali, analizzando il traffico di rete su diversi tipi di client aggiornati (Windows, Ubuntu, OS X, iOS 7, Android) e simulando l’ambiente di un network “ostile” come scenario di utilizzo per una connessione su rete anonima al riparo (teorico) da sguardi indiscreti.
Il risultato dello studio, neanche a dirlo, è preoccupante: tutti i provider VPN tranne uno (Astrill) sono risultati vulnerabili ad attacchi di tipo DNS hijacking , solo 4 su 14 non hanno presentato casi di “leaking” di informazioni su protocollo IPv6 e nessuno dei servizi analizzati è stato in grado di fornire protezione contro entrambe le tipologie di minacce telematiche.
La mancata protezione (e quindi la comunicazione “in chiaro” del traffico IPv6 è stata pervasiva, dicono i ricercatori , in molti casi la totalità del traffico di un utente è risultata leggibile tramite interfaccia nativa e il DNS hijacking ha permesso di ottenere l’accesso a tutto il traffico di rete del bersaglio.
Gli autori dello studio forniscono ovviamente indicazioni su come migliorare lo stato della (in)sicurezza dei servizi VPN presi in esame, consigliando in particolare di proteggere anche tutto il traffico IPv6 oltre a quello su IPv4 (una necessità sempre più impellente in un mondo in cui IPv6 non è più una semplice eccezione alla norma) e di non permettere l’accesso ai sistemi DNS al di fuori del tunnel della VPN.
I fornitori di servizi VPN citati nello studio, dal canto loro, tendono a minimizzare: informati mesi or sono dai ricercatori, c’è chi ha già provveduto a risolvere.
Alfonso Maruccia