Oplon Secure Access is out.
Le VPN (Virtual Private Network) sono spesso presentate come strumenti essenziali per garantire sicurezza e anonimato online. Tuttavia, dietro questa promessa si nascondono alcune realtà meno note che vale la pena esplorare. Scopriamo insieme quali sono i reali benefici e i potenziali rischi legati all’uso delle VPN.
Nel 2020 Oplon Networks ha identificato come non affidabile l’utilizzo delle VPN e abbiamo lavorato per offrire una alternativa per accedere in sicurezza ai servizi e dati aziendali o di una organizzazione.
Le tecnologie VPN sono generalmente applicate per i seguenti scopi:
VPN per collegare servizi aziendali: connettere i propri device, Personal Computer, Smartphone, Tablet o simili a servizi, infrastrutture e dati interni di una società o organizzazione
VPN per collegare più datacenter tra loro
VPN domestica utilizzata con lo scopo di mascherare l’indirizzo IP durante la navigazione Internet
Oplon Networks propone l’alternativa alle VPN per connettere i propri device a servizi e infrastrutture aziendali, rispondendo quindi alla prima condizione elencata.
Il documento descrive anche le caratteristiche delle VPN per connettere più datacenter tra loro (come nel caso 2) o quelle comunemente utilizzate per nascondere il proprio indirizzo IP (caso 3) allo scopo di dare una panoramica esaustiva della tecnologia e sfatare alcuni luoghi comuni.
La tecnologia VPN è stata sviluppata nel 1986 per garantire connessioni sicure su reti pubbliche. Con l’introduzione di IPsec, si è cercato di colmare alcune lacune di sicurezza iniziali, migliorando la crittografia e l’autenticazione.
Tuttavia, nonostante questi progressi, le VPN continuano a presentare significativi rischi. Le vulnerabilità persistono e possono esporre i dati aziendali a potenziali attacchi o consentire l’accesso non autorizzato.
La tecnologia VPN permette di costruire un canale criptato tra un device e la rete del datacenter. Formalmente ogni device che utilizza una VPN rende il device “parte” del datacenter assumendo un indirizzo IP (Internet Protocol) che permette di arrivare alle reti del datacenter a cui si connette.
© Oplon Networks S.r.l. – All rights reserved.
Alla domanda: Il canale criptato che viene creato è sicuro da attacchi o intromissioni esterne?
La risposta «sì» è solo una mezza verità.
Infatti il device, Personal Computer o Mobile, ha effettivamente una connessione criptata all’esterno ma crea un canale aperto verso il datacenter per qualsiasi Virus presente nel proprio PC, che è libero di infettare tutti i servizi, archivi, documenti presenti nel datacenter e che riesce a raggiungere o dare a un malintenzionato la facoltà di farlo deliberatamente lasciando poche tracce.
A conferma di ciò, basti pensare al fatto che tutti i produttori VPN esortano ad avere i devices aggiornati con un antivirus attivo, anche quest’ultimo aggiornato.
A volte si propone di aggiungere il doppio fattore di autenticazione (2FA/MFA) alla VPN per aumentare la protezione. In realtà, come si evince dalla spiegazione precedente, quello che succede è che si è solo più sicuri di identificare chi ha infettato il datacenter. In realtà, anche questo non è certo, qualora il malintenzionato avesse deliberatamente infettato e poi eliminato le tracce.
Alla luce di queste evidenze, oggi le VPN utilizzate come collegamento ai servizi aziendali sono il maggior vettore di attacchi Ransomware e di illecite raccolte dati non fornendo adeguate garanzie di sicurezza del device del posto di lavoro e di quanto succede come tracciabilità all’interno della comunicazione criptata.
Anche se si usa come strategia la segmentazione di rete fino a instaurare una connessione estemporanea dal proprio PC al servizio, come fanno molte soluzioni ZTNA basati sul collegamento, il problema permane. Il problema nasce quando si instaura un collegamento diretto tra il proprio device e il datacenter.
In generale, se vi viene chiesto di installare un software sul vostro dispositivo per effettuare il collegamento, si tratta probabilmente di una VPN mascherata. Al contrario, se vi viene chiesto di utilizzare solo il browser per accedere e visualizzare i servizi, significa che state utilizzando un sistema moderno e molto sicuro. Questo perché il browser non crea un collegamento diretto tra voi e il servizio, ma si limita a mostrare ciò che accade nel datacenter.
È proprio su questo principio che è stato sviluppato Oplon Secure Access.
Se il PC è infettato da un virus non rilevato dall’antivirus e utilizza una VPN o una ZTNA basata su collegamenti diretti, il virus può estendersi al servizio accessibile e, successivamente, ad altri sistemi collegati.
Ora che viene esplicitato sembra un ragionamento banale, ma purtroppo è ancora necessario ribadirlo.
© Oplon Networks S.r.l. – All rights reserved.
Per i collegamenti VPN o ZTNA basati sul collegamento ai servizi aziendali possiamo elencare le seguenti caratteristiche:
DISPOSITIVI VULNERABILI = RISCHIO PER LA RETE:
CONSEGUENZE PRINCIPALI:
PARADOSSO DELLE VPN:
L’utilizzo delle VPN per collegare due datacenter attraverso una rete privata è una soluzione comune per migliorare la condivisione o il backup dei dati e la comunicazione tra sedi distribuite. Tuttavia, questa configurazione introduce alcune criticità di sicurezza.
© Oplon Networks S.r.l. – All rights reserved.
La tecnologia VPN, per sua natura, implementa connessioni molti-a-uno (many-to-one), anziché una relazione diretta uno-a-uno (one-to-one)
La tecnologia che è stata studiata per mitigare il problema introdotto dall’utilizzo delle VPN nei collegamenti tra datacenter è IPsec.
Con IPsec, a differenza di una VPN, una volta instaurata la connessione tra due punti, non è più possibile a nessuno collegarsi ulteriormente durante l’utilizzo.
IPsec è una comunicazione one-to-one e non c’è nessuna possibilità di realizzare delle backdoor (porte di servizio) a cui fare dei collegamenti occulti.
Per semplificare, immaginando un tunnel dentro ad una montagna, la tecnologia IPsec costruisce un tunnel che ha un ingresso e un’uscita e non permette di intrufolarsi da porte secondarie perché semplicemente non esistono.
© Oplon Networks S.r.l. – All rights reserved.
IPsec è un unico tunnel blindato che unisce solo due punti e non rende possibile il collegamento fraudolento di terzi.
Per completezza, bisogna ribadire che con IPsec non si impedisce comunque ai virus di migrare da un datacenter ad un altro!
I collegamenti VPN domestici, spesso promossi come strumenti per garantire l’anonimato durante la navigazione al fine di sembrare «un altro», in realtà non assicurano un completo anonimato online.
È importante comprendere che, in Internet, l’anonimato assoluto non esiste; si può al massimo scegliere da chi essere spiati.
© Oplon Networks S.r.l. – All rights reserved.
Attualmente, i browser Internet moderni stabiliscono già connessioni attraverso canali criptati utilizzando i più elevati standard di cifratura disponibili quindi non vi è la necessità di avere una VPN per proteggere le vostre informazioni di navigazione.
I browser negoziano automaticamente il livello di cifratura più sicuro supportato dal servizio con cui si interfacciano e di conseguenza, la trasmissione e la ricezione dei dati durante la navigazione sono intrinsecamente sicure, anche senza ricorrere a una VPN domestica.
Di seguito, il disegno evidenzia che senza una VPN il browser e il servizio colloquiano con un canale criptato e nessuno, oltre al servizio, può intercettare i dati che vengono scambiati. I browser moderni offrono già questa protezione, infatti strumenti come HTTPS criptano automaticamente le connessioni, garantendo un livello di sicurezza elevato anche senza VPN.
© Oplon Networks S.r.l. – All rights reserved.
Nota: Il disegno è semplificato, nella realtà possono esserci diversi HOP (passaggio tra reti differenti) prima di arrivare a destinazione sul servizio. Comunque, la cifratura rimane invariata e senza il rischio che sia violata.
Una VPN domestica incanala il traffico dati nascondendo l’indirizzo IP dell’utente e applica filtri sugli accessi nel proprio Personal Computer. In ogni caso, la crittografia con il servizio è gestita solamente dal browser dell’utente. Di conseguenza, la VPN domestica non garantisce una sicurezza totale né l’anonimato assoluto. Il servizio VPN può monitorare e bloccare le scelte dell’utente proprio perché ne ha visibilità. In pratica, scegliete di farvi spiare dal VPN provider invece che da un Internet provider!
© Oplon Networks S.r.l. – All rights reserved.
Nota: Con la VPN i dati sono comunque criptati dal browser verso il servizio finale, solo il vostro indirizzo IP viene mascherato! Se ci pensate bene non può essere che così, altrimenti il VPN provider potrebbe vedere in chiaro anche i vostri dati e voi non potreste utilizzare ad esempio dei certificati digitali client dal vostro browser
In caso di navigazione senza una VPN domestica, le “entità” che conoscono i vostri interessi sono gli Internet provider che ci forniscono la connettività e coloro che ci forniscono i nomi dei siti che vogliamo visitare (DNS). In ultima analisi, chi conosce le vostre passioni e preferenze in una navigazione normale senza una VPN domestica sono sintetizzate nella tabella sottostante:
| IP Address | Username /Subscription | Server name to which we want to connect | Exchanged contents | PC contents | |
|---|---|---|---|---|---|
|
Connectivity provider |
YES |
YES |
YES |
NO |
NO |
|
The Internet name catalog provider (DNS provider) |
YES |
NO |
YES |
NO |
NO |
|
Each final contacted service |
YES |
No if you have not logged in the website |
YES |
YES |
NO |
Altra nota: con la VPN domestica, normalmente vi chiederanno di installare qualche cosa sul vostro dispositivo che serva a tenere il vostro dispositivo sotto sorveglianza da eventuali Virus, tra I servizi alcuni assicurano che bloccherà accessi che ritiene pericolosi e che vi darà l’anonimato delle vostre navigazioni.
Tutto bello? A metà come al solito.
Intanto per tenere il vostro Personal Computer adeguatamente protetto di solito è sufficiente il potente antivirus già presente in alcune piattaforme come ad esempio Microsoft (Microsoft Defender). Questo vuol dire che installando un altro antivirus di terze parti di solito viene disabilitato l’antivirus di Microsoft a favore di un altro attore.
Altra considerazione è che caricare sul proprio Personal Computer un qualche cosa che blocca e limita la visibilità dei servizi Internet può portare a distorsioni del mercato, chi paga di più sarà visibile, gli altri non saprai nemmeno che esistono o addirittura penserai che sono pericolosi.
Questo un tempo si chiamava “censura” e fatta da interessi privati o istituzioni può essere deviante. Questa non è una ipotesi lontana è un’ipotesi assolutamente reale che succede tutti i giorni.
L’idea che la VPN possa mascherare la navigazione viene meno, poiché il provider VPN conosce tutto di voi specie se installate qualche cosa sul vostro PC: posizione, programmi installati, foto, documenti e altro. Molti software VPN, appena installati, eseguono scansioni dei dispositivi per classificare i contenuti, spesso senza informare adeguatamente l’utente o immersi in fiumi di parole sul contratto.
È lecito fidarsi di software che accedono ai vostri dati personali nel vostro PC in maniera sistematica e continua?
Utilizzando una VPN domestica, il provider della VPN ha accesso completo alle vostre abitudini di navigazione che scegliete online a spesso ha accesso al vostro PC. Questo rappresenta una differenza significativa rispetto a una connessione diretta effettuata con il solo browser verso il servizio.
Quando il provider di una VPN domestica dichiara nei contratti o nelle pagine web di non conservare i dati di navigazione, si tratta già di un’ammissione di rischio, non credete? Questo implica una fiducia cieca, senza alcuna garanzia che i dati non vengano trattati o esfiltrati.
| IP address | Username / Subscription | Server name to which we want to connect | Exchanged contents | PC contents | |
|---|---|---|---|---|---|
|
VPN provider |
YES |
YES |
YES |
NO |
YES, if scanning software is installed |
|
DNS provider (usually the same as VPN provider) |
YES |
NO |
YES |
NO |
YES, if scanning software is installed |
|
Each final contacted service |
YES |
No, if you have not logged in the website |
YES |
YES |
NO |
In pratica quando si usa una VPN domestica potenzialmente vi mettete nelle mani di una società privata, esattamente come un Interner Provider, che sicuramente è seria ma ricordate, le informazioni sono denaro e la vendita delle informazioni spesso non è fatta dalle società in maniera sistematica ma dal personale che si trova nella posizione di poter disporre dei dati! Le società cercano di cautelarsi da questo imponendo specifiche politiche ma la realtà è che è quasi impossibile farlo con la tecnologia attuale.
Quando per esempio non si vuole pagare un abbonamento di servizi, quando si vuole apparire come utente di una nazione diversa al servizio finale, quando si vuole utilizzare un servizio non disponibile dalla nazione da cui ci si collega, quando vuoi sfuggire a dei sistemi autoritari…ma attenzione qualcuno si può vendere i dati e normalmente i sistemi autoritari sono disposti a pagarli molto bene e quando passi per una VPN domestica concentri in un unico operatore tutte le tue scelte e interessi e spesso i contenuti del tuo PC!
Per tutti i motivi elencati, Oplon Networks nel 2020 ha deciso di investire su tecnologia non invasiva che utilizza il solo browser per poter accedere ai propri servizi aziendali senza installare nulla nel proprio device. Oplon Secure Access copre la funzionalità di accesso ai propri servizi aziendali eliminando la VPN.
Per gli altri due scopi in cui oggi viene utilizzata la VPN una soluzione per collegare due datacenter è già presente sul mercato ed è IPsec. Su tutti i sistemi operativi IPsec è presente. Per l’utilizzo di VPN domestiche utilizzate per nascondere il vostro indirizzo IP di partenza, abbiamo solo elencato le criticità e le opportunità, a tutti voi la scelta di utilizzare quelle a pagamento, quelle gratuite o non utilizzarle affatto.
In Internet dimenticate la favola di non essere tracciati, potete solo scegliere da chi essere spiati
Le VPN (Virtual Private Network) sono spesso considerate strumenti essenziali per la sicurezza e l’anonimato online, ma sono davvero la soluzione perfetta? In questo articolo approfondiamo i rischi nascosti e le realtà dell’utilizzo delle VPN. Dall’esposizione dei dati aziendali a potenziali attacchi ransomware, all’illusione dell’anonimato durante la navigazione, la verità
Il design incentrato sull’uomo (HCD) e il design thinking sono fondamentali per creare prodotti che risuonino davvero con gli utenti. Ponendo l’utente finale al centro del processo di progettazione, possiamo scoprire le sue esigenze e preferenze, portando a soluzioni innovative. In Oplon Networks, sfruttiamo questi principi nello sviluppo di Oplon
Il BYOD nello smart working pone problemi di sicurezza e privacy, facendo sentire i dipendenti controllati e mettendo a dura prova l’equilibrio tra conformità (GDPR) e libertà personale. La soluzione Oplon PYOD (Protect Your Own Device) supera questo ostacolo garantendo la sicurezza e la separazione tra vita privata e aziendale
Le VPN (Virtual Private Network) sono spesso considerate strumenti essenziali per la sicurezza e l’anonimato online, ma sono davvero la soluzione perfetta? In questo articolo approfondiamo i rischi nascosti e le realtà dell’utilizzo delle VPN. Dall’esposizione dei dati aziendali a potenziali attacchi ransomware, all’illusione dell’anonimato durante la navigazione, la verità potrebbe sorprendervi. Scopri le tecnologie alternative in grado di fornire connessioni più sicure senza gli svantaggi delle VPN tradizionali. Unisciti a noi mentre esploriamo le complessità delle VPN e ciò che devi sapere per proteggere efficacemente la tua presenza online.
Il design incentrato sull’uomo (HCD) e il design thinking sono fondamentali per creare prodotti che risuonino davvero con gli utenti. Ponendo l’utente finale al centro del processo di progettazione, possiamo scoprire le sue esigenze e preferenze, portando a soluzioni innovative. In Oplon Networks, sfruttiamo questi principi nello sviluppo di Oplon Secure Access, garantendo un’esperienza utente intuitiva e senza interruzioni. Scoprite come metodologie quali User Personas, Root Cause Analysis e il processo iterativo di Pretotyping e Prototyping possono trasformare il vostro approccio alla progettazione e migliorare l’usabilità in un mondo sempre più digitale. Immergetevi nelle nostre intuizioni e migliorate la vostra strategia di progettazione!
