Servizi VPN: ci sono cattive notizie su tutte quelle buone recensioni

Circa un quarto degli utenti di Internet utilizza una rete privata virtuale, una configurazione software che crea una connessione dati protetta e crittografata tra il proprio computer e un'altra in Internet. Molte persone li usano per proteggere la loro privacy quando utilizzano gli hotspot Wi-Fi o per connettersi in modo sicuro alle reti di lavoro durante il viaggio. Gli altri utenti sono preoccupati per la sorveglianza da parte dei governi e dei provider di Internet.

Molte aziende VPN promettono di utilizzare una crittografia forte per proteggere i dati e affermano che proteggono la privacy degli utenti non memorizzando i record di dove le persone accedono al servizio o cosa fanno mentre sono connessi. Se tutto funzionasse nel modo in cui doveva, qualcuno che curiosasse sul computer della persona non vedrebbe tutta la loro attività su Internet - solo una connessione incomprensibile a quel computer.Qualsiasi azienda, governo o hacker che spiano il traffico globale di Internet potrebbe ancora individuare un computer che trasmette informazioni sensibili o naviga su Facebook in ufficio, ma penserebbe che l'attività stia avvenendo su un computer diverso da quello che la persona sta realmente utilizzando.

Vedi anche: Data Privacy Day: Controlla le tue impostazioni di sicurezza su e-mail, Facebook e Google

Tuttavia, la maggior parte delle persone, inclusi i clienti VPN, non ha la capacità di ricontrollare che stanno ottenendo ciò per cui hanno pagato. Un gruppo di ricercatori di cui facevo parte ha queste competenze e il nostro esame dei servizi forniti da 200 società VPN ha scoperto che molti di loro fuorviano i clienti su aspetti chiave delle loro protezioni utente.

I consumatori sono nell'oscurità

La nostra ricerca ha rilevato che è molto difficile per i clienti VPN ottenere informazioni imparziali. Molti fornitori di servizi VPN pagano siti e blog di recensioni di terze parti per promuovere i propri servizi scrivendo recensioni positive e classificandole in modo molto elevato nei sondaggi del settore. Ciò equivale a pubblicità per le persone che considerano l'acquisto di servizi VPN piuttosto che recensioni indipendenti e imparziali. Abbiamo studiato 26 siti web di recensioni; 24 di loro stavano ricevendo una qualche forma di pagamento della tangente per le recensioni positive.

Un tipico esempio è stato un sito che elenca centinaia di aziende VPN che hanno valutato oltre il 90% di esse come 4 su 5 o superiore. Questo non è illegale, ma distorce le valutazioni che potrebbero essere indipendenti. Inoltre rende la competizione molto più difficile per i nuovi e più piccoli provider di VPN che potrebbero avere un servizio migliore, ma budget inferiori da pagare per una buona pubblicità.

Vaga sulla privacy dei dati

Abbiamo anche imparato che le aziende VPN non sempre fanno molto per proteggere i dati degli utenti, nonostante la pubblicità che fanno. Delle 200 società che abbiamo esaminato, 50 non avevano alcuna politica sulla privacy pubblicata online, nonostante le leggi che richiedessero di farlo.

Le società che hanno pubblicato le politiche sulla privacy variano ampiamente nelle loro descrizioni di come gestiscono i dati degli utenti. Alcune politiche erano brevi come 75 parole, ben lontano dai documenti legali multi-pagina standard sui siti bancari e sui social media. Altri non hanno formalmente confermato ciò che la loro pubblicità suggeriva, lasciando spazio per spiare gli utenti anche dopo aver promesso di non farlo.

Perdita o monitoraggio del traffico

Gran parte della sicurezza di una VPN dipende dal fatto che tutto il traffico Internet dell'utente passa attraverso una connessione crittografata tra il computer dell'utente e il server VPN. Ma il software è scritto dagli umani e gli umani commettono errori. Quando abbiamo testato 61 sistemi VPN, in 13 di essi abbiamo rilevato errori di programmazione e configurazione che hanno consentito al traffico Internet di viaggiare al di fuori della connessione crittografata, vanificando lo scopo dell'utilizzo di una VPN e lasciando l'attività online dell'utente esposta a spie e osservatori esterni.

Inoltre, poiché le aziende VPN possono, se lo desiderano, monitorare tutte le attività online coinvolte dai loro utenti, abbiamo verificato se qualcuno lo stesse facendo. Abbiamo trovato sei dei 200 servizi VPN da noi studiati, che in realtà hanno monitorato il traffico degli utenti stessi. Questo è diverso da perdite accidentali, perché coinvolge attivamente l'attività degli utenti - e possibilmente mantenendo i dati su ciò che gli utenti stanno facendo.

Incoraggiati dagli annunci che si concentrano sulla privacy, gli utenti si fidano di queste aziende a non farlo e di non condividere ciò che trovano con i broker di dati, le società pubblicitarie e la polizia o altre agenzie governative. Eppure queste sei aziende VPN non si impegnano legalmente a proteggere gli utenti, indipendentemente dalle loro promesse.

Mentire sulle posizioni

Un punto di forza per molte VPN è che pretendono di consentire ai clienti di connettersi a Internet come se si trovassero in paesi diversi da quello in cui si trovano realmente. Alcuni utenti fanno questo per evitare restrizioni sul copyright, sia illegalmente che quasi legalmente, come guardare gli show di Netflix negli Stati Uniti mentre sono in vacanza in Europa. Altri lo fanno per evitare la censura o altre norme nazionali che regolano le attività di internet.

Abbiamo scoperto, tuttavia, che le affermazioni sulla presenza internazionale non sono sempre vere. I nostri sospetti sono stati sollevati per la prima volta quando abbiamo visto le VPN dichiarare di consentire alle persone di utilizzare Internet come se fossero in Iran, Corea del Nord e territori insulari più piccoli come Barbados, Bermuda e Capo Verde - luoghi in cui è molto difficile ottenere l'accesso a Internet, se non impossibile per le compagnie straniere.

Quando abbiamo esaminato, abbiamo trovato alcune VPN che affermano di avere un gran numero di connessioni Internet diverse in realtà solo alcuni server raggruppati in un paio di paesi. Il nostro studio ha scoperto che manipolano i record di routing Internet in modo che sembrino fornire servizi in altre posizioni. Abbiamo trovato almeno sei servizi VPN che sostengono di indirizzare il loro traffico attraverso un paese, ma in realtà lo trasmettono attraverso un altro. A seconda dell'attività dell'utente e delle leggi del Paese, questo potrebbe essere illegale o addirittura pericoloso per la vita - ma per lo meno, è fuorviante.

Linee guida per gli utenti VPN

I clienti attenti alla tecnologia che sono ancora interessati alle VPN potrebbero prendere in considerazione la possibilità di configurare i propri server, utilizzando i servizi di cloud computing o la propria connessione Internet domestica. Le persone con un comfort un po 'meno tecnico potrebbero prendere in considerazione l'utilizzo del browser Tor, una rete di computer connessi a Internet che aiutano a proteggere la privacy degli utenti.

Questi metodi sono difficili e possono essere lenti. Quando selezioniamo un servizio VPN commerciale, il nostro miglior consiglio, informato dalla nostra ricerca, è leggere attentamente la politica sulla privacy del sito e acquistare abbonamenti brevi, magari mese per mese piuttosto che più lunghi, quindi è più facile cambiare se trovi qualcosa di meglio.

Questo articolo è stato originariamente pubblicato su The Conversation di Mohammed Taha Khan e Narseo Vallina-Rodriguez. Leggi l'articolo originale qui.