CODEXSPRAWL

sulle tracce della periferia cibernetica

Sicurezza Software e applicazioni

VPN: come scegliere?

DiAnairesis

Ott 7, 2018 #crittografia, #ExpressVPN, #five eyes, #giurisdizione, #MullvadPGP, #NordVPN, #PGP, #privacy, #sicurezza, #UKUSA, #vpn

Scegliere un VPN è semplice: basta andare su un sito qualsiasi che ci indichi quali sono i migliori in circolazione e selezionarne uno a caso. Ma, questo significa anche affidarsi ciecamente al giudizio di altri senza comprendere a fondo perché dovremmo scegliere quel tipo di servizio anziché un altro. Inoltre, non tutti i VPN sono uguali e non tutti servono gli stessi scopi: per fare una scelta oculata, quindi, dovremo prima di tutto comprendere a cosa il VPN ci serve e quali specifiche opzioni ci offre cosa che, nei classici articoli dei “Migliori 10 …” e nel loro formato riassuntivo, non può emergere.

Avevamo visto qui, la scorsa settimana, come generalmente una connessione VPN funziona ed avevamo dato un’occhiata ad alcuni protocolli utilizzati; qui, ci dedicheremo ad altre specifiche che, chi decide di usufruire di tale servizio, deve tenere in conto. Facciamo quindi un elenco veloce per poi vedere, in dettaglio, quali VPN ed in quale grado riescono a soddisfare tali specifiche:

  • La sede di giurisdizione: ovvero quale stato ha la competenza di garantire la corretta applicazione delle norme giuridiche.
  • Registrazione dei dati logs.
  • Metodo di pagamento, ricordandoci che optare per un VPN completamente gratuito significa anche che questi si farà ripagare collezionando i nostri dati.
  • Adesione al PGP (Pretty Good Privacy) e Privacy Tools io criteria: entrambi provvedono alla protezione della privacy dell’utente; nel caso di PGP soprattutto nell’ambito crittografico.
  • Protezione dalla possibile fuoriuscita di dati.
  • Velocità del VPN che, comunque ed in ogni caso, dipenderà ed andrà ad incidere con la velocità della nostra connessione.
  • Uso dell’offuscazione.
  • Tipologia di crittografia utilizzata per proteggere i dati e per l’handshake.

Magari, molti avranno sentito parlare del five eyes (cinque occhi) di cui fanno parte i seguenti Stati: Stati Uniti d’America, Regno Unito, Nuova Zelanda, Australia e Canada. Questi luoghi, in particolare, hanno stretto un accordo, chiamato UKUSA e risalente alla Seconda Guerra Mondiale, che li vede ancora a tutt’oggi cooperare nella raccolta di dati, analisi e condivisione dell’intelligence non più solamente relativa all’impianto militare ma estesa anche alla sorveglianza e comunicazione privata e commerciale globale. Il sistema di controllo adottato da questi Stati, inoltre, obbliga le compagnie a garantire completo accesso ai potenziali dati collezionati rendendole uno strumenti di sorveglianza di massa. Con nine eyes (nove occhi) vengono intesi quegli Stati che si uniscono ai cinque precedenti, ovvero Norvegia, Francia, Danimarca, Paesi Bassi e con fourteen eyes (quattordici occhi) le restanti zone a cui l’accordo UKUSA è stato esteso, cioè Italia, Germania, Belgio, Svezia e Spagna. In alcuni casi, pare abbiano collaborato con l’UKUSA sebbene non ne facciano ufficialmente parte il Sud Corea, Israele, Singapore e Giappone.

Ciò significa che nella nostra scelta del VPN dovremo tener in special modo conto del luogo di giurisdizione, che non necessariamente coincide con la politica della compagnia VPN (ovvero con ciò che nel loro sito pubblicizzano di fare), se il nostro obiettivo sarà quello di mantenere i nostri dati lontani da possibili richieste di controllo degli Stati sopraccitati i quali, in casi limite, potrebbero esigere il rilascio dei logs oppure la visione in tempo reale degli utenti connessi. Da un certo punto di vista, una persona onesta potrebbe dire d’essere tranquilla e non aver nulla da nascondere; al di là della possibile realtà di tale affermazione l’errore è sempre in agguato ed in passato, a causa di ciò, vi sono stati scambi di persona che hanno fatto passare delle ore infernali a gente innocente.

La registrazione dei logs a questo punto diventa altrettanto importante. Alcuni VPN infatti mantengono degli archivi a lungo termine con le varie registrazioni dei movimenti degli utenti; altre, invece, non conservano i dati ma, allo stesso tempo, monitorano in tempo reale i propri clienti. Nel caso delle applicazioni VPN ed in special modo quelle gratuite per Android cerchiamo anche di fare particolare attenzione, durante l’installazione, alle richieste di accesso ai log, alla nostra storia di navigazione, alla nostra identità e dettagli di stato telefonici, alla lettura ed eliminazione di file nel cellulare, alla licenzia Google Play, e ad evitare che il cellulare vada in pausa o modalità “sleep“.

La possibilità di scegliere un metodo di pagamento anonimo è un’altra opzione che, in alcuni casi, possiamo essere interessati a calcolare: il pagamento in contanti, accettato da pochi servizi, e con bitcoin, possibile per quasi tutti i VPN, restano sempre i più anonimi; come sappiamo, infatti, carte di credito/debito et similia sono tra gli strumenti più tracciabili.

L’adesione del VPN ai criteri di Privacy Tools IO ci suggerisce che la compagnia non archivia i nostri dati, non opera all’interno delle zone del five eyes, utilizza un supporto per l’open VPN, accetta vari pagamenti come bitcoin, soldi liquidi, carte di debito o di credito e non vengono richieste informazioni personali per creare un account ma solamente un nome utente, un’e-mail ed una password.

Coloro che fanno uso dello streaming, sicuramente, vorranno evitare i VPN che bloccano il P2P e cercare server che permettono questa pratica. Ed anche la velocità del VPN interesserà un po’ tutti poiché essa andrà ad incidere sulla nostra velocità di navigazione.

Altra questione da calcolare è quale algoritmo di criptaggio viene utilizzato sia per quanto riguarda i dati che l’handshake. Nel primo caso, andremo quindi a controllare che sia presente possibilmente l’AES-256 (oppure può andar bene anche l’AES-128), l’Advanced Encryption Standard, è infatti il modello di cifratura simmetrica a blocchi più utilizzata e, al momento, più sicura.  La crittografia simmetrica implica un mittente ed un destinatario che utilizzano una chiave che ha entrambe le funzioni di criptaggio e decriptaggio. Questo tipo di crittografia è molto veloce a livello computazionale rispetto a quella asimmetrica e può essere difficile da decodificare se la chiave è abbastanza forte (un po’ come accade nel caso delle password). In compenso però richiede un meccanismo sicuro per lo scambio delle chiavi e più utenti avranno accesso a questo tipo di dati più chiavi dovranno essere distribuite. Nel secondo caso, invece, andremo a cercare l’RSA-4096, algoritmo di cifratura asimmetrica cheutilizza per ogni entità una diversa chiave, una per criptare e l’altra per decriptare. Sebbene questo tipo di crittografia sia più lenta e richieda dei processi computazionali più intensivi è più facile da adattare ai vari sistemi e la distribuzioni delle chiavi risulta più semplice.

I VPN qui sotto selezionati presentano tutti degli alti livelli di criptaggio, offuscazione e protezione dati.

ExpressVPN Il VPN che tutti sembrano consigliare in questo periodo, e che possiamo trovare a questo indirizzo: https://www.expressvpn.com/it, risponde alla giurisdizione delle Isole Vergini Britanniche che, sebbene sia un territorio oltremare del Regno Unito, ha una propria legislatura. Questo territorio non è soggetto a quelle leggi che permettono alle agenzie di intelligence di accedere o intercettare dati in modo legale e, medesimamente, non presenta regole relative alla conservazione dei dati. L’unico organo, qui, che può pretendere la rivelazione dei dati è la Corte Suprema delle Isole Vergini Britanniche la quale, nel caso di richiesta da parte di un altro Stato, approverà tale pratica solamente se il crimine perpetrato sarà giudicato punibile dalle proprie leggi con un minimo di un anno di detenzione.

La mancanza totale di collezione dei dati è praticamente impossibile; nel caso di ExpressVPN troviamo gli indirizzi di casella e-mail, le comunicazioni fatte con il centro assistenza (domande, lamentele, complimenti, et similia). Inoltre, per quanto riguarda la sopraccitata corrispondenza questo VPN si appoggia ad altre due compagnie Zendesk (giurisdizione della California) per e-mail e supporto e SnapEngage (giurisdizione degli U.S.) per le live chat che a loro volta archiviano nomi ed e-mail dei clienti. Questo significa che dovremo anche tener conto delle polizze e della privacy che le altre due compagnie, che al contrario di ExpressVPN fanno parte dei five eyes, ci garantiscono. Altre informazioni relative alla raccolta dei dati si possono trovare direttamente nel sito di ExpressVPN a questo indirizzo: https://www.expressvpn.com/it/what-is-vpn/policy-towards-logs.

Il P2P non è bloccato per cui è possibile lo streaming senza problemi e la connessione VPN è considerata una tra le più veloci (sempre nel limite del nostro collegamento). Inoltre, ed importante, è presente un kill switch (chiamato da ExpressVPN network lock) che interrompe tutto il traffico, sia in entrata che in uscita, in caso di disconnessione cosicché questi non venga reindirizzato verso il provider di provenienza utilizzato dall’utente che potrebbe esporne i dati.

Al momento, il piano offerto al prezzo migliore è l’abbonamento a 15 mesi per circa 6 euro al mese e supporta la connessione di 3 dispositivi in contemporanea. Il sistema accetta bitcoin, carte di credito/debito, paypal, ed altri tipi di pagamento meno comuni ma non supporta i contanti.

NORDVPN 

NordVPN segue a ruota ExpressVPN per la qualità del servizio offerto e lo possiamo trovare a questo indirizzo: https://nordvpn.com/it/.Questi si appoggia alla giurisdizione della Repubblica di Panama e non sembra utilizzare delle altre compagnie per trattare con i propri clienti come, invece, avviene con ExpressVPN. L’unica cosa, qui, a cui bisogna fare attenzione è la seguente clausola contenuta nella loro polizza: “if the data is processed by a designated subsidiary in your country, then the domestic law of your country may be applicable at our discretion“, ovvero se i dati vengono processati da una compagnia affiliata e presente nel nostro stato allora la legge, nel nostro caso italiana, potrà essere applicata. Vengono raccolti, come nel caso del VPN precedente, solo i dati necessari a mantenere un rapporto col proprio consumatore che verranno salvati per un periodo massimo di 2 anni dall’eventuale cancellazione del contratto. La connessione rispetto a ExpressVPN è buona ma più lenta, è presente anche qui il kill switch per proteggere i nostri dati in caso di disconnessione ed è possibile anche qui utilizzare lo streaming senza problemi. Ci si può connettere simultaneamente con 6 diversi dispositivi.Il piano più conveniente con NordVPN, così come nel caso di ExpressVPN, è a circa 6 euro al mese per 12 mesi.

MULLVAD VPN Sebbene questo VPN ricada sotto la giurisdizione della Svezia (e quindi dei fourteen eyes), al contrario di molti altri, è meno conosciuto sul mercato e non richiede alcun dato personale per l’accesso: alla richiesta di registrazione, infatti, genera un lungo codice numerico di account che fungerà sia da nome utente che da password, senza obbligarci ad inserire il nostro nome, indirizzo o quant’altro.

Il sito, come i precedenti, supporta la lingua italiana ed è visitabile a questo link: https://mullvad.net/it/; la compagnia VPN ci offre 3 ore di prova gratuita dopodiché è possibile procedere con il pagamento il cui costo è sempre di 5,00 euro al mese (60,00 euro annui); ogni account supporta cinque connessioni simultanee. Per quanto riguarda altre specifiche sulla privacy Mullvad cerca di archiviare meno informazioni possibili e dimostra una particolare trasparenza nel renderlo noto ai propri utenti. Per esempio, e logicamente, è necessario in certi casi, come i pagamenti con carte di debito/credito o possibili richieste di rimborso, mantenere i dati per un certo periodo di tempo. Il pagamento in contanti è sempre il migliore per evitare la tracciabilità e questo VPN ci permette di utilizzarlo assicurandoci che la lettera con cui verrà ricevuto lo stesso sarà prontamente distrutta.

Anche qui troviamo una buona velocità di connessione, il famoso kill switch per proteggerci da disconnessioni e quindi eventuali DNS leaks e la posisbilità di streaming.

Per coloro che quindi mettono la propria privacy al primo posto questo VPN può considerarsi uno dei più interessanti da prendere in considerazione.

E, per concludere consigliamo questo sito https://thatoneprivacysite.net/vpn-comparison-chart/ dove è possibile accedere ad un esteso elenco dei vari VPN esistenti ed alle loro specifiche per aiutarci nella scelta di quello che riterremo più adeguato al nostro utilizzo.

SITOGRAFIA:

https://thatoneprivacysite.net/vpn-comparison-chart/

https://www.privacytools.io/#ukusa

https://technet.microsoft.com/pt-pt/library/cc779919(v=ws.10).aspx

https://thebestvpn.com/what-is-vpn-beginners-guide/

Principi di funzionamento della VPN

Five Eyes, Nine Eyes, 14 Eyes (What to Avoid in 2024)

Is your VPN provider in a “14 Eyes” Country? This is something you should know

Almost Every Major Free VPN Service is a Glorified Data Farm

Don’t ever use a VPN without paying attention to these five things

Di Anairesis

Articoli correlati

Notizie del mondo informatico Software e applicazioni

Come annullare un F24 (o altri tipi di documenti) sul sito dell’Agenzia delle Entrate (Fisconline/Entratel)

Mar 23, 2024 Anairesis
Gestione periferiche e driver Software e applicazioni Windows 10

RELI: come risalire alla cronologia ed ai dettagli degli errori, o eventi critici, del nostro computer

Mar 13, 2024 Anairesis
Sicurezza

E-mail temporanee: cosa sono e perché possono essere utili per la privacy

Mar 11, 2024 Anairesis

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You missed

Notizie del mondo informatico Software e applicazioni

Come annullare un F24 (o altri tipi di documenti) sul sito dell’Agenzia delle Entrate (Fisconline/Entratel)

Marzo 23, 2024 Anairesis
Gestione periferiche e driver Sistema operativo Linux

Linux: “oh no, something has gone wrong!” Ma cosa?

Marzo 19, 2024 Anairesis
Gaming Gestione periferiche e driver

Tastiere meccaniche, Cherry MX switches e scelte

Marzo 15, 2024 Anairesis
Gestione periferiche e driver Software e applicazioni Windows 10

RELI: come risalire alla cronologia ed ai dettagli degli errori, o eventi critici, del nostro computer

Marzo 13, 2024 Anairesis