VPN sì, VPN no: è davvero così necessaria?

Crystal

Apro un altro thread legato alla questione "sicurezza-privacy" sperando di non suscitare polemiche e/o diatribe.
Quando si parla di cybersicurezza sempre più divulgatori mettono l'utilizzo di VPN come tocco finale di un sistema di protezione software.
Personalmente ho i miei dubbi, o meglio: se effettivamente la VPN riuscisse a "creare" uno strato in più di protezione tra noi e gli attacchi esterni allora perchè no, ma se si tratta di un escamotage per vedere serie Netflix di altri Paesi, tanto per fare qualche esempio, il suo utilizzo sarebbe in un certo senso un po' "sopravvalutato".
Ho abbastanza dubbi a riguardo quindi, anche della sicurezza e della privacy all'interno della VPN stessa, ma sono miei dubbi assolutamente personali almeno per quanto riguarda l'utilizzo ad uso domestico.
Che opinione avete a riguardo?

[cancellato]

Crystal

Dipende di che VPN stiamo parlando. Ad esempio accedere alla propria LAN da remoto via VPN incrementa grandemente la sicurezza rispetto a pubblicare quei servizi. Usare una VPN su reti poco sicure (WiFi pubblici, alberghi, ecc.) per assicurarsi che tutto il traffico sia protetto è una buona idea. Usare una VPN dalla LAN di casa in Italia è praticamente inutile dal punto di vista della sicurezza. Non protegge comunque da una larga fetta di attacchi che non sono diretti al perimetro (essenzialmente, tutti i tipi di trojan), e non fa nulla che non si può fare con un firewall decente, o usando un ISP in qualche forma di CG-NAT.

Certamente, in certi paesi è uno dei pochi metodi per bypassare varie forme di censura. O bypassare il geoblocking.

Dal punto di vista della privacy nascondere l'IP al destinatario , e la destinazione al proprio ISP, oggi serve a poco, a meno di non avere motivi speciali per farlo. Il tracciamento viene fatto per la maggior parte in altro modo. Leggevo giusto un paio di giorni fa quanto è diventato efficace il metodo dei 'link decoration'. E se Chrome 'vende' la profilazione basata sulla vostra history locale (ironia della "Privacy" Sandbox), o Microsoft vuole 'sincronizzare' tutti i vostri account mail con il suo cloud (Outlook for Windows), se Amazon vi promette un milione di dollari se installate Ring e inquadra un alieno (è più probabile che Amazon paghi le tasse), da cosa volete veramente proteggervi?

Marco25

Le VPN commerciali dove fai passare tutto il tuo traffico internet sono utili per:

1) Aggirare la censura della rete locale / ISP.
2) Aggirare geo-blocking.
3) Nascondere metadati di navigazione alla rete locale / ISP.
4) Ottenere un IP condiviso da un gran numero di utenti in modo che questo non possa essere utilizzato per tracciamento cross-site (sebbene al momento serva a poco in quanto esistono altri metodi più efficaci non rimediati per tracciare comunque).

La VPN non aumenta la confidenzialità delle connessioni che puoi effettuare sul web o tramite app. Se la connessione a forum.fibra.click è criptata e autenticata la VPN è inutile, mentre se non è criptata né autenticata la VPN protegge i dati solo nel tratto tra te e la VPN, cioè li nasconde alla rete locale / ISP, da lì in poi dati escono su internet non protetti.

metalxenon

Marco25 Se la connessione a forum.fibra.click è criptata e autenticata la VPN è inutile

Però il provider può sempre vedere su quali siti navighi tramite SNI, anche se non può sapere cosa fai su quel sito grazie a HTTPS.

In ogni caso bisogna tener conto, in questo caso, che si passa la "fiducia" dal proprio provider al gestore della VPN, pertanto è importante evitare fornitori sospetti o VPN gratuite. Come dicevi tu, infatti, c'è da interrogarsi sulla sicurezza e la privacy durante l'uso stesso di una VPN, anche se alcune hanno privacy policy stringenti e hanno ricevuto audit indipendenti esterni.

Molti dei claim pubblicitari delle VPN, comunque, sono in realtà tarati sul mercato americano, in cui gli operatori sono autorizzati a monitorare la navigazione degli utenti e a rivenderla. Altri posti in cui sono diffuse sono i paesi restrittivi, come la Turchia, in cui una VPN può aiutare ad accedere al web senza censura. In Europa la loro utilità davvero si limita all'aggirare restrizioni geografiche ed eventualmente a nascondere il nome dei siti web che visiti al tuo provider, se la tua idea di privacy o il tuo threat model spingano a questo (anche se, nell'ultimo caso, sarebbe più utile Tor).

Marco25

metalxenon Però il provider può sempre vedere su quali siti navighi tramite SNI, anche se non può sapere cosa fai su quel sito grazie a HTTPS.

È inutile per la confidenzialità dei dati. Per i metadati punto 3). SNI verrà mitigato da Encrypted Client Hello comunque.

Verzo80

Marco25 Se volete controllare se il vostro Browser supporta già ECH.
https://www.cloudflare.com/it-it/ssl/encrypted-sni/

Crystal

[cancellato] Assolutamente mi riferivo ad un utilizzo prettamente domestico e personale. Chiaro che se siamo persone che viaggiano molto, che utilizzano PC o connessione altrui o altro allora in questo caso la VPN è un aiuto enorme.
Io però mi concentro più sull'utilizzo ad uso personale, oassia a casa.
In quel caso, a cosa serve la VPN? Ho letto che molti praticamente la fanno partire in aumatico appena accedono ad internet proprio come se fosse un antivirus.
In Italia abbiamo tanti problemi ma per il momento nessuno è a rischio persecuzione da parte dello Stato, non ci sono blocchi o censure da raggirare, anzi, forse abbiamo il problema opposto dove la gente è fin troppo libera di fare e dire ciò che vuole passando impunita.
Comunque è vero, la VPN non protegge da attacchi hacker (che a quanto pare possono comunque risalire al nostro vero IP), malware, intrusioni nella rete domestica e altre situazioni che abbiamo già discusso.

Anche io penso che a livello di privacy sia abbastanza relativo. Inutile mettere una VPN se poi abbiamo i social in cui inseriamo tutti i dati tra cui il nostro numero di cellulare, o se come hai detto tu Microsoft sincronizza tutti gli account senza il nostro permesso (io me ne sono accorto pochi giorni fa e nonostante abbia seguito tutte le procedure non so se effettivamente posso sentirmi "al sicuro").

Le VPN poi davvero garantiscono la privacy e l'anonimato al 100%? Non credo proprio, altrimenti chiunque si metterebbe a fare azioni illecite restando impunito.
Io poi ho altri due dubbi a riguardo:
1) Utilizzare la VPN accedendo ai vari account, tra cui conti bancari, è davvero sicuro?
2) Utilizzare un IP condiviso da migliaia di altre persone che potrebbero fare la qualsiasi, anche in questo caso, è davvero sicuro?

Giann

Imho hanno solo 3 usi:

Connetterti dall'esterno alla tua rete di casa/aziendale per una VPN DIY
aggirare censura/ geoblocking per le VPN commerciali/DIY
ingrossare le tasche dello youtuber di turno per le VPN commerciali

Il resto è tutta fuffa che non serve a nulla

robbyfifi

Verzo80 Ho controllato il mio browser e mi da la voce Secure SNI con cerchio e x interna rossi, cosa significa? gli altri parametri tutto ok

[cancellato]

Crystal mi riferivo ad un utilizzo prettamente domestico e personale

Anch'io - proprio nei casi che hai citato, che sono quelli IMHO dove una VPN è indispensabile o quasi. Da casa verso l'esterno l'utilità è molto ridotta - a meno di non temere di essere bersaglio di sorveglianza specifica e di voler nascondere destinazione e origine del traffico. Certo se sei un whistleblower che fa da fonte per un giornalista vuoi magari nasconderti il più possibile, però non ti connetti nemmeno da casa, se devi trasmettere qualcosa.

Crystal Le VPN poi davvero garantiscono la privacy e l'anonimato al 100%?

No, altrimenti non ci sarebbe bisogno di Tor e altri sistemi ancora più sofisticati - tra l'altro Tor ha anche il suo browser per impedire che sia quello a leakare informazioni. Perché per essere anonimo deve essere anche i dati nel traffico che entra ed esce dalla VPN.

E rimane il fatto che bisogna fidarsi del provider VPN - che vede tutto quello che facciamo. Sono più affidabili degli ISP? Da chi ci si vuole veramente proteggere?

Poi ripeto, l'IP assegnato al router è irrilevante per molti tipi di attacco. E comunque anche se instaurate una VPN, il router ha comunque il suo IP pubblico visibile su Internet (CG-NAT a parte), è rilevabile dagli scan, e se è vulnerabile è comunque attaccabile. Gli attacchi mirati in genere sono fatti su un sottoinsieme di bersagli paganti, il resto è in gran parte automatizzato. E in caso di attacco mirato, l'attaccante cercherà il miglior angolo di attacco, mica si fossilizza sull'IP - che può anche essere dinamico o in CG-NAT. Per questo è essenziale la "difesa in profondità" - anche casalinga, adottando quelle pratiche standard che riducono i rischi a vari livelli.

Poi vedere l'IP di un utente non è nemmeno così semplice, certo, se hostate un server di gioco vedete chi è connesso. Se litigate con qualcuno su Facebook l'IP non lo vedete - ma con un po' di OSINT si riescono a raccogliere molte informazioni per delimitare un perimetro di attacco.

Crystal 1) Utilizzare la VPN accedendo ai vari account, tra cui conti bancari, è davvero sicuro?

Sinceramente se accedo al sito della banca vorrei che passasse da meno intermediari possibile. La protezione della connessione qui è data da TLS e dalla 2FA, magari su canale separato. Poi se si accede da reti considerate insicure si può anche valutare di accedere via VPN, ma se considerate il vostro ISP così insicuro forse è il caso di cambiarlo.

Crystal 2) Utilizzare un IP condiviso da migliaia di altre persone che potrebbero fare la qualsiasi, anche in questo caso, è davvero sicuro?

Vedi quanto detto sopra a proposito dell'IP - se lo scopo è non far vedere alla Lega Calcio che stai guardando una partita a sbafo, probabilmente è ragionevolmente sicuro - se però per accedere hai fornito dati che ti rendono tracciabile (es. il metodo di pagamento) e mettono mano sui quei dati, aver protetto l'IP può essere servito a poco. Idem se il traffico è per qualche motivo monitorato dall'altra parte, o usi anche un browser (e ogni altra applicazione necessaria) molto sicuro o finisci per spedire una gran quantità di dati dall'altra parte. Se accedi ad un sito "compromesso" (da criminali o forze dell'ordine, a seconda di chi hai più paura...) aver protetto l'IP può servire a ben poco - e non è detto che per continuare ad operare un provider VPN non sia pronto a esaudire le richieste della magistratura.

Verzo80

ECH sposta di nuovo semplicemente il trust su un'altra entità. Non è che mi fidi di più di Cloudflare del mio ISP. Anzi, più è accentrato, e peggio è.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile