La digital transformation obbligata dalla pandemia di coronavirus ha imposto a tutti lo smart working e, di fatto, ad adottare soluzioni valide per mettere insicurezza il cosiddetto lavoro agile: una su tutte, l’uso di una VPN.
Le VPN o Virtual private networks, lo ricordiamo, aiutano ad aggirare le restrizioni geografiche imposte ma, soprattutto, a mantenere privata la navigazione sul web e di conseguenza sono sempre più cruciali in un periodo dove centinaia di migliaia di lavoratori sono costretti ad accedere a network aziendali da remoto, magari limitati da firewall restrittivi.
Indice degli argomenti
Smart working con una VPN: problematiche di sicurezza
L’adozione di una VPN rappresenta dunque un layer di sicurezza e privacy imprescindibile e invalicabile?
Non sempre, perché anche se le migliori VPN aggiungono un gradito livello di sicurezza alle nostre configurazioni web, ci sono altrettante applicazioni VPN che espongono i loro utenti ai cyber attacchi.
Molte VPN gratuite e mobile friendly presenti sul mercato, ad esempio, utilizzano protocolli non sicuri e registrano le attività degli utenti, mentre anche quelle più quotate non sempre possono garantire di proteggere i propri utenti dagli sguardi indiscreti delle agenzie governative.
Ecco perché è di vitale importanza non solo scegliere le VPN più affidabili e robuste disponibili, ma anche imparare a configurarle ed eseguirle al massimo delle loro potenzialità. Altrimenti, potremmo trovarci in una situazione simile a quella degli utenti di Fortigate o Pulse Secure, due VPN che recentemente sono state prese di mira dai criminal hacker.
Un recente studio su 150 applicazioni gratuite VPN per Android ha rivelato che molte di esse presentavano gravi difetti di sicurezza e problemi di prestazioni. Il 18% di queste conteneva potenziali malware o virus, l’85% presentava autorizzazioni o funzioni eccessive che potevano mettere a rischio la privacy di un utente e il 25% esponeva il traffico di un utente a perdite DNS e simili.
E non è Android ad avere problemi, perché uno studio parallelo che ha esaminato le prime 20 applicazioni VPN per iPhone ha prodotto simili risultati.
Ancora più inquietante è il fatto che oltre il 50% delle applicazioni era in qualche modo collegabile a società localizzate in Cina, nonostante il suo rigoroso divieto di usare VPN e il suo famigerato regime di sorveglianza di Internet.
Molti di questi dati, quindi, sono stati esplicitamente condivisi con Pechino.
Sicurezza delle VPN: un problema diffuso
Alcune delle più note VPN trattate nei due studi comprendono applicazioni che sono state scaricate oltre 50 milioni di volte, come Hotspot Shield Free, SuperVPN, Hi VPN, Turbo VPN, Snap VPN, X-VPN e VPN Proxy Master.
Solo per citarne una, Ultrasurf è risultata positiva per potenziali malware, oltre che per funzioni rischiose, come il rilevamento dell’ultima posizione nota del dispositivo host (sebbene gli sviluppatori di Ultrasurf abbiano negato la validità di questi rilevamenti).
In altre parole:
- un gran numero di VPN gratuite o a basso costo potrebbe fare l’esatto contrario di quello che ci aspettiamo da loro;
- le VPN più note potrebbero non essere configurate correttamente.
Il pericolo delle fake VPN
In alcuni casi, una VPN non è semplicemente inadeguata, ma piuttosto attivamente dannosa. I falsi servizi VPN, soprattutto quelli gratuiti, possono anche essere impostati come honeypot per raccogliere tutti i dati di un utente, per fornire malware e per spiare le persone.
Ricordate: una VPN, in molti casi, è solo un ISP (Internet Service Provider) che si sceglie. Fatto questo, gli sviluppatori hanno accesso a tutti i vostri dati online.
Naturalmente, sarebbe già abbastanza brutto se solo le VPN gratuite e non testate avessero gravi problemi di privacy. Ma il fatto è che, anche quando utilizziamo una VPN altamente affidabile e ben sviluppata, non siamo ancora del tutto al sicuro da intrusioni nella nostra privacy virtuale.
Sarebbe sciocco non pensare che il nostro ISP possa vedere che ci stiamo connettendo a un indirizzo IP di proprietà di un servizio VPN e il fatto che il nostro software si sta connettendo a porte associate all’attività VPN.
La prospettiva cyber security
Se la privacy garantita dalle VPN può essere messa in dubbio, cosa portano come vantaggio dal punto di vista della cyber security?
La risposta a questa domanda è sfumata e dipende in realtà dal tipo di attacco che viene eseguito. In generale, le VPN affrontano molti punti deboli che i criminal hacker utilizzano per violare le reti.
Ma in modo granulare, alcuni vettori di attacco possono facilmente bypassare una VPN, soprattutto se hanno origine internamente.
Mentre i popolari servizi VPN come Surfshark, NordVPN, e Express VPN hanno tutti protocolli di crittografia e funzioni di sicurezza incorporati, non possono proteggere contro i malware. Gli utenti dovrebbero invece affidarsi a programmi dedicati regolarmente aggiornati, rispettati e affidabili.
È importante notare che anche le VPN stesse possono essere soggette a malware e trojan.
Soprattutto per coloro che utilizzano le VPN gratuite su un server affollato, queste soluzioni possono in realtà creare ulteriori problemi di sicurezza – non aiutano a prevenirli.
Poiché questi grandi server sono un grande bersaglio per i criminal hacker, è importante utilizzare solo VPN affidabili che offrano un supporto e uno spazio sul server in abbondanza (nota: si tratta quasi sempre di un servizio pay-to-use).
Un vantaggio delle VPN è però la loro funzione di sicurezza preventiva.
Gli aggressori che tentano di rubare informazioni durante il trasferimento (cioè, attraverso la nostra connessione) avranno un compito incredibilmente difficile per farlo con una VPN attiva.
Alcune VPN – come quelle che criptano i dati utilizzando tecnologie di crittografia di livello militare – possono fungere da barriera significativa per i criminal hacker che tentano di rubare informazioni in movimento.
Così, quando una persona con una VPN si connette a un hotspot Wi-Fi locale non deve preoccuparsi di individui malintenzionati che rubano le informazioni della carta di credito, le password, i file o qualsiasi altra cosa. Il traffico viene instradato attraverso una connessione sicura e criptata verso un server esterno.
Ma questi sistemi non sono una panacea universale, le VPN non possono impedire a qualcuno di hackerare fisicamente un computer. Sono utili solo per proteggere le connessioni, non per la sicurezza “fisica”. Le password, i protocolli di autenticazione a 2 fattori e i solidi controlli di identità sono i metodi principali utilizzati per salvaguardare i server fisici, i computer e i telefoni cellulari e tali devono rimanere.
Smart working con una VPN: consigli pratici
Alla luce di quanto detto finora, possiamo elencare alcuni utili consigli da mettere in pratica per lavorare in smart working usando una VPN:
- informarsi e scegliere con cura il prodotto più adatto alle nostre esigenze;
- non dimenticarsi mai di mettere in pratica le best practice di cyber security;
- effettuare una attenta e scrupolosa attività di security testing;
- adottare soluzioni di sicurezza proattiva.
Non dobbiamo e possiamo abbassare l’attenzione sui temi di cyber security.
Lo smart working ha di fatto cambiato i digital framework aziendali. I nostri device sono usciti dal perimetro aziendale. Il rischio cyber è aumentato in maniera direttamente esponenziale al numero dei device esposti.
Una opportunità che i criminal hacker possono sfruttare.