Che le aziende non stiano lì a lesinare elogi verso i propri prodotti non è un segreto: spesso lo fanno per impressionare il cliente. Ma che dire, al contrario, di alcune funzionalità di altri prodotti tecnologici che vengono spesso sottostimate? È il caso dei servizi VPN, poiché in molti affermano di non conservare i registri di navigazione o di avere una politica di non-logging.
Di fatto, nulla potrebbe essere più lontano dalla realtà di affermazioni di questo tipo.
"No logs", "non-logging" o "zero logs" sono espressioni il cui significato varia moltissimo in materia di sicurezza informatica, poiché dipendono da cosa ogni singola azienda intenda con "log".
Ecco quindi una rapida analisi di come funziona effettivamente la registrazione dei log.
I tipi di registro
Zero logs veri
Come suggerisce il nome, un servizio che adotta davvero una politica di zero logging è il più sicuro possibile. Un servizio di questo tipo non registrerà nessuno dei vostri dati durante l'utilizzo del software, quindi sarete davvero utenti anonimi. Una politica di registrazione di questo tipo è di gran lunga la più efficace, in quanto è impossibile che anche solo una parte dei vostri dati venga venduta agli inserzionisti, o utilizzata contro di voi in caso di indagine giudiziaria. Una VPN famosa per aver sostenuto in tribunale questa politica è Private Internet Access: l'azienda ha ripetutamente negato all'FBI l'accesso ai registri degli utenti, poiché davvero non ne conservano alcuno.
Registri di sessione
I log di sessione sono quelli a cui si riferiscono quasi tutte le VPN che dichiarano di adottare una "politica di no-logs", o "di non registrazione". Un registro di sessione è un registro relativamente semplice che memorizza i metadati durante l'utilizzo della VPN. In genere, i metadati raccolti sono dati metrici quali il tempo di utilizzo, la larghezza di banda e il server VPN utilizzato.
Anche se questi registri contengono alcuni dati di base, nella maggior parte dei casi sono innocui. Tuttavia, gli utenti che esigono che nessun dato venga raccolto dovrebbero orientarsi verso un servizio di zero-log.
Registri delle attività
I registri delle attività inquietano un po' di più, in quanto possono memorizzare una grande quantità di dati relativi a ciò che si fa sul web mentre si utilizza una VPN. I registri delle attività possono raccogliere dati metrici come le ricerche effettuate, i siti web visitati, i file a cui avete fatto accesso o che avete scaricato, e persino i prodotti che avete acquistato. Questi registri spaventano molto, poiché i dati in loro contenuti possono essere venduti dalle aziende che forniscono il servizio VPN ad aziende pubblicitarie terze, o utilizzati in caso di indagini giudiziarie.
Registri degli indirizzi IP
I registri degli indirizzi IP destano minore preoccupazione rispetto ai log delle attività, ma non dovrebbero far scattare l'allarme negli utenti. I log degli indirizzi IP memorizzano la vostra posizione fisica tramite il vostro indirizzo IP Internet, e spesso l'ora in cui avete effettuato l'accesso alla VPN. In questo modo, il servizio tiene una cronologia del vostro indirizzo IP e l'ora di accesso, dati che potrebbero comunque essere sufficienti per identificare l'utente in caso di indagine.
Accordi sui dati e politiche che influenzano la registrazione
I provider VPN solitamente non conservano i registri, a meno che non siano stati costretti a farlo da enti governativi impegnati nel monitoraggio dei cittadini. 5 Eyes, 9 Eyes e 14 Eyes sono gli accordi governativi internazionali più importanti in materia di controllo delle attività degli abitanti di quei Paesi. Se la legge impedisce alle agenzie di controllo dati del Paese di spiare la sua popolazione, questi governi chiederanno semplicemente a uno degli altri di farlo per loro conto. Di seguito, troverete una panoramica sugli accordi e sui Paesi che fanno parte di questi grandi gruppi di spionaggio di dati.
Five Eyes Agreement
Il più importante tra gli accordi governativi per il monitoraggio dei cittadini è il Five Eyes Agreement, un accordo stretto tra Stati Uniti, Regno Unito, Australia, Nuova Zelanda e Canada per condividere i dati sui cittadini di ciascun Paese. L'accordo è stato stipulato nel 1946 tra Stati Uniti e Regno Unito alla fine della Seconda guerra mondiale, come mezzo per monitorare l'attività dell'Unione Sovietica e dei suoi alleati: l'accordo mirava ad intercettare i segnali provenienti dalle forze armate sovietiche. Tuttavia, nel corso degli anni si è trasformato fino a spiare telefoni, computer e fax dei cittadini di queste nazioni. Con una rete di informazioni così ampia, non ci è voluto molto finché altri Paesi aderissero all'accordo, in particolare: Canada, Australia e Nuova Zelanda.
Al giorno d'oggi, il monitoraggio delle informazioni viene gestito da un software noto come ECHELON, che permette ai governi di spiare operazioni commerciali e private e di raccogliere grandi quantità di dati sugli utenti. Queste informazioni possono quindi essere condivise tra tutti i Paesi membri e utilizzate per rintracciare persone sospette. Attualmente, la maggior parte dei dati proviene da telefonate, attività in rete, fax e ogni altro tipo di dispositivo per la comunicazione digitale. Pertanto, se ritenute sospette, le persone che risiedono nei cinque Paesi membri sono soggette a un'intercettazione massiccia di dati. Proprio per questo, i governi di ogni Paese hanno il potere di richiedere alle VPN informazioni sulle attività degli utenti.
Nine Eyes Agreement
Non ci è voluto molto tempo prima che anche altri Paesi saltassero a bordo dell'accordo di condivisione dei dati Five Eyes, uno strumento diventato molto utile ai Paesi membri originari sotto molti punti di vista. I nuovi Paesi sono l'Olanda, la Francia, la Norvegia e la Danimarca. Pur avendo aderito all'accordo, alcuni di questi Paesi hanno le proprie leggi sulla protezione dei dati, come l'Olanda. Alcune delle politiche olandesi in materia di protezione dei dati tutelano rigorosamente la privacy personale, limitando le informazioni che possono essere conservate dalle VPN.
Fourteen Eyes Agreement
L'efficienza dell'accordo Five and Nine Eyes ha attirato l'attenzione di altri cinque Paesi, che hanno aderito anch'essi all'accordo. Parliamo di Spagna, Germania, Belgio, Italia e Svezia. Anche questi Paesi sono diventati oggetto di condivisione dei dati, consentendo ai Paesi originari di spiare efficacemente i cittadini di altri Paesi. L'accordo 14 Eyes costituisce l'accordo finale sullo spionaggio, che ora incide pesantemente sulla validità delle VPN ubicate in quei Paesi.
Casi recenti in materia di registri
Pur affermando di avere una politica di "no logging", in realtà sono poche le aziende che non conservano registri. È il caso di PureVPN, una VPN con sede a Hong Kong che di recente ha ceduto i dati di un utente all'FBI.
A PureVPN è stato chiesto di aiutare l'FBI in un caso di stalking in cui un cliente PureVPN aveva utilizzato il servizio per commettere reati informatici e molestie. Su richiesta, PureVPN ha fornito all'FBI gli orari e le posizioni d'accesso al servizio. Infine, i registri di sessione hanno aiutato l'FBI ad individuare e perseguire l'indagato, ma hanno messo sotto i riflettori anche PureVPN, poiché il servizio fino a quel momento sosteneva di non tenere alcun registro.
Dopo ulteriori verifiche, è risultato evidente che nella politica di riservatezza di PureVPN vi fossero dichiarazioni contraddittorie, le quali permettevano al servizio di conservare i registri di sessione dei suoi utenti.
Nonostante il caso PureVPN sia il caso più "illustre" di cessione di dati degli utenti alle autorità da parte delle VPN, non è certamente l'unico. Questa storia, così come molte altre, dimostra quanto possano essere realmente variabili le politiche di "no logging".
Come proteggersi
Leggere le clausole "scritte in piccolo"
Anche se molte aziende sostengono di non tenere alcun registro, le clausole minori spesso dicono il contrario. Per garantire che nessuna delle vostre informazioni venga registrata a scopo di ricerca, leggete attentamente le clausole di ogni servizio per essere sicuri che nessuna delle vostre informazioni venga registrata.
Evitare i Paesi del 14 Eyes
Nel complesso, le VPN con sede in uno dei quattordici Paesi membri del 14 Eyes sono generalmente meno riservate, a causa delle politiche di conservazione dei dati molto rigide. Tuttavia, alcune VPN di questi Paesi in realtà non rispettano alla lettera le norme stabilite e si rifiutano di conservare i registri degli utenti, rivendicando il diritto ad accedere privatamente alle informazioni come superiore a qualsiasi norma o politica. Inoltre, alcuni dei Paesi hanno leggi di protezione della privacy dei cittadini molto rigide, il che pone una grossa questione sull'obbligo imposto alle VPN di registrare i dati degli utenti.
Utilizzare una VPN con Tor
L'utilizzo di una VPN con Tor, se fatto correttamente, può fornire un livello di privacy massimo, rendendo quasi impossibile che i vostri dati vengano rintracciati, anche nei Paesi più rigidi. Tuttavia, se la vostra VPN non viene utilizzata correttamente con Tor, allora la vostra attività web può essere tracciata attraverso i nodi di Tor, rendendovi ancora meno sicuri di prima.
Conclusioni
In fin dei conti, il livello di privacy desiderato dovrebbe essere il metro con cui stabilire quale sia il tipo di servizio VPN giusto per voi. Fate alcune ricerche prima di iscrivervi a una VPN e assicuratevi che, qualunque sia la vostra scelta, sia esattamente quello che stavate cercando.