Le VPN possono essere hackerate? Un esame approfondito
Che cosa è una VPN?
Una Virtual Private Network (VPN) ossia una rete privata virtuale consente di creare un tunnel virtuale protetto tramite Internet in un’altra rete o dispositivo. Se si accede a Internet attraverso questo tunnel virtuale, è difficile per chiunque, incluso il tuo ISP, spiare le tue attività di navigazione.
Inoltre, le VPN ti aiutano a mascherare la tua posizione geografica ovunque tu sia nel mondo e a sbloccare servizi geograficamente limitati. Una VPN protegge la riservatezza (i dati rimangono segreti) e l’integrità (i dati rimangono inalterati) dei messaggi mentre si naviga su Internet.
La creazione di una di queste connessioni sicure è relativamente semplice. L’utente si connette prima a Internet tramite un ISP e successivamente inizia una connessione della VPN con il server VPN utilizzando un software client (installato localmente). Il server della VPN recupera le pagine web richieste e ritorna all’utente tramite il tunnel protetto; quindi, mantenendo i dati utente protetti e privati su Internet.
Come funziona la crittografia della VPN?
Il protocollo della VPN è un insieme di regole concordate per la trasmissione di dati e per la crittografia. La maggior parte dei fornitori di VPN consente agli utenti di scegliere tra diversi protocolli VPN. Tra i protocolli più utilizzati rientrano: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) e OpenVPN (SSL/TLS).
Per comprendere appieno in che modo una VPN protegga la tua privacy, dobbiamo scavare un po’ più a fondo nella scienza della crittografia. Una VPN utilizza una tecnica conosciuta come "crittografia” per rendere il testo leggibile (plaintext) completamente illeggibile (testo di cifratura) da parte di chiunque lo intercetti durante l’esplorazione su Internet. Un algoritmo o un codice decidono in che modo avviene il processo di crittografia e de-crittografia all’interno dei protocolli VPN. I protocolli VPN utilizzano questi algoritmi crittografici per oscurare i tuoi dati e per mantenere le attività di navigazione private.
Ognuno di questi protocolli VPN ha i suoi punti di forza e debolezza a seconda dell’algoritmo crittografico implementato all’interno. Alcuni provider di VPN consentono agli utenti di scegliere tra diverse cifrature. L’algoritmo o la cifratura possono essere basati su una di queste tre classificazioni: simmetrica, asimmetrica e algoritmo di hashing.
La crittografia simmetrica utilizza una chiave per bloccare (crittografare) e un’altra per sbloccare (de-crittografare) i dati. La crittografia asimmetrica utilizza due chiavi, una per il blocco (crittografia) e l’altra per sbloccare (de-crittografare) i dati. La tabella seguente è un confronto sommario tra la crittografia simmetrica e quella asimmetrica.
Caratteristica | Simmetrica | Asimmetrica |
Chiavi | Una chiave è condivisa tra più entità | Un’entità ha la chiave pubblica, l’altra ha la chiave privata |
Scambio di chiavi | Richiede un meccanismo sicuro per l’invio e la ricezione delle chiavi | La chiave privata è tenuta segreta dal titolare mentre la chiave pubblica è disponibile per chiunque |
Velocità | Meno complesso e più veloce | Più complesso e più lento |
Forza | Meno difficile da violare | Difficile da violare |
Scalabilità | Buona scalabilità | Migliore scalabilità |
Uso | Crittografia di massa, cioè tutto | Solo le firme per la distribuzione delle chiavi e digitali |
Servizio di sicurezza offerto | Confidenzialità | Confidenzialità, autenticazione e non disconoscibilità |
Esempi | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 e RC6 | RSA, ECC, DSA, e Diffie-Hellman |
La crittografia asimmetrica è la soluzione alle limitazioni inerenti alla crittografia simmetrica (come mostrato nella tabella precedente). Whitfield Diffie e Martin Hellman sono stati tra i primi gruppi che hanno deciso di affrontare queste pecche per sviluppare un algoritmo asimmetrico chiamato Diffie-Hellman.
È un algoritmo crittografico popolare che è fondamentale per molti protocolli VPN, tra cui HTTPS, SSH, IPsec e OpenVPN. L’algoritmo consente a due parti che non si sono mai incontrate prima di negoziare una chiave segreta anche quando si comunica su un canale pubblico non garantito come Internet.
L’Hashing è una crittografia unidirezionale (irreversibile) utilizzata per proteggere l’integrità dei dati trasmessi. La maggior parte dei protocolli VPN utilizzano algoritmi di hashing per verificare l’autenticità dei messaggi inviati tramite VPN. Alcuni esempi includono MD5, SHA-1 e SHA-2. Sia MD5 che SHA-1 non sono più considerati sicuri.
Le VPN possono essere attaccate virtualmente ma è difficile farlo. Le probabilità di essere attaccati senza una VPN sono notevolmente più elevate dell’essere attaccati utilizzandone una.
È davvero possibile violare una VPN?
Le VPN rimangono uno dei mezzi più efficaci per preservare la privacy online. Tuttavia, è importante notare che praticamente tutto può essere attaccato soprattutto se sei un valido bersaglio e se il tuo avversario ha tempo, fondi e risorse sufficienti. La buona notizia è che la maggior parte degli utenti non rientra nella categoria "di alto valore” e pertanto non è probabile che si venga identificati.
Accedere a una connessione VPN comporta la rottura della crittografia utilizzando accessi vulnerabili già noti o rubando la chiave con mezzi illegali. Gli attacchi crittografici vengono utilizzati da hacker e cripto-analisti per estrapolare il testo normale dalle loro versioni crittografate senza chiave. Tuttavia accedere alla crittografia è computazionalmente impegnativo e richiede tempo, potrebbero volerci anni per farlo.
La maggior parte dei tentativi solitamente comporta il furto delle chiavi che è molto più facile della violazione della crittografia. Questo è ciò che tipicamente le agenzie di spionaggio fanno quando si trovano a dover affrontare queste sfide. Il loro successo nel fare queste azioni non deriva dalla matematica, ma da una combinazione di tecnica, potenza nell’elaborazione dei dati, frodi, ingiunzioni e persuasioni dietro le quinte (backdoors). La matematica alla base della crittografia è incredibilmente forte e computazionalmente complessa.
Vulnerabilità esistenti delle VPN e utilizzi
Le rivelazioni precedenti da parte dell’informatore americano Edward Snowden e dei ricercatori sulla sicurezza hanno dimostrato che l’agenzia delle spie americane (NSA) ha craccato la crittografia di un traffico internet potenzialmente enorme, tra cui le VPN. I documenti di Snowden mostrano che l'infrastruttura di decodifica delle VPN dell’NSA implica l’intercettazione del traffico crittografato e la trasmissione di alcuni dati a computer potenti, che poi restituiscono la chiave.
I ricercatori sulla sicurezza, Alex Halderman e Nadia Heninger, hanno anche presentato una ricerca convincente che suggerisce che l’NSA ha sviluppato la capacità di decifrare un gran numero di traffico HTTPS, SSH e VPN in un attacco noto come Logjam sulle implementazioni comuni dell’algoritmo Diffie-Hellman.
Il loro successo era basato sullo sfruttamento di una debolezza nell’applicazione dell’algoritmo Diffie-Hellman. La causa principale di questa debolezza è che il software di crittografia utilizza un numero primario standardizzato nella sua applicazione. I ricercatori hanno stimato che ci vorranno circa un anno e pochi milioni di dollari per costruire un computer potente che possa irrompere in un singolo bit di un Diffie-Hellman da 1024 bit (che andrebbe bene nel bilancio annuale della NSA).
Purtroppo è accaduto che solo pochi numeri primi (meno di 1024 bit) siano comunemente utilizzati nella vita reale in applicazioni di crittografia come le VPN, e ciò rende ancora più facile l’intrusione. Secondo Bruce Schneier, "la matematica è valida, ma non ha modo di agire. Il codice ha un operato ma è stato sovvertito”.
Dovresti comunque utilizzare una VPN?
Per i provider di servizi, il team di ricerca consiglia l’uso di chiavi Diffie-Hellman da 2048 bit o più e ha anche pubblicato una guida per la sua distribuzione per TLS. La Internet Engineering Task Force (IETF) raccomanda inoltre di utilizzare le ultime revisioni dei protocolli che richiedono numeri primari lunghi.
Le spie potrebbero essere in grado di accedere ai numeri primi comunemente utilizzati nelle chiavi di Diffie-Hellman fino a 1024 bit (circa 309 cifre) di lunghezza. I numeri primi nelle chiavi da 2048 bit si riveleranno un bel rompicapo, il che significa che le spie non saranno in grado di decifrare i dati protetti utilizzando queste chiavi per molto tempo.
Per gli utenti, se è vero che le agenzie di spionaggio hanno degli exploit contro le VPN e altri protocolli di crittografia che si utilizzano per il traffico crittografato, sarai comunque molto più protetto rispetto alla comunicazione di testo in chiaro. Anche se il tuo computer può essere compromesso, gli costerebbe tempo e denaro, e questo lo renderebbe costoso. Meno ovvio sarai, più sarai al sicuro.
Secondo Edward Snowden, "La crittografia funziona. I sistemi di crittografia forti correttamente implementati sono una delle poche cose su cui si può fare affidamento”. Per quanto possibile, evita le VPN basate principalmente sugli algoritmi di hashing di MD5 o SHA-1 e i protocolli PPTP o L2TP / IPSec. Scegli quelle che supportano le versioni attuali di OpenVPN (ritenute estremamente sicure) e SHA-2. Se non sei sicuro di quale algoritmo utilizzi la VPN, consulta la documentazione della VPN oppure contatta l’assistenza.
La VPN è tua amica. Fidati della crittografia, fidati della matematica. Massimizzane il suo utilizzo e fai del tuo meglio per assicurarti che l’endpoint sia protetto. Questo è come puoi metterti al sicuro anche in presenza di controlli sulle connessioni crittografate.
Inviaci un commento su come migliorare questo articolo. Il tuo feedback è importante!