Per chi è attento VPN di oggi, molto dipende da una promessa di privacy, fatta, troppo spesso, da un'azienda senza alcuna prova.
Le politiche di non registrazione dei dati, i moderni algoritmi di crittografia, il rifiuto di conservare informazioni sensibili sui clienti e la piena proprietà dei server sono solo alcune delle caratteristiche che contribuiscono a rendere VPN affidabile. Eppure sono proprio queste caratteristiche che spesso unsingolo cliente non è in gradodi verificare.
Ecco perché è così importante che VPN si sottopongano a una verifica indipendente, che consente a esperti di sicurezza esterni di esaminare il software e l’hardware sviluppati e implementati dall’azienda per gestire VPN proprio VPN . Proprio come un’ispezione immobiliare che mette in luce eventuali segni di deterioramento, una verificaVPN rivela le vulnerabilità di sicurezza che potrebbero essere presenti in una delle tecnologie più importanti oggi disponibili per la tutela della privacy.
Siamo quindi orgogliosi di aver partecipato alla nostra prima verifica indipendente in assoluto perl'infrastruttura che ora supporta siaMalwarebytes Privacy VPN AzireVPN, i due VPN che gestiamo e manteniamo. Questa struttura duale è il risultatodell'acquisizione di AzireVPN avvenuta alla fine del 2024. Entrambi i prodotti utilizzano lo stesso software e hardware server per fornire ai clienti VPN e servizi di crittografia.
La verifica del softwareVPN Malwarebytes Privacy VPNha rilevato quanto segue:
- 2 problemi contrassegnati come «Critici»
- 0 problemi contrassegnati come «Elevato»
- 2 problemi contrassegnati come «Medio»
- 2 problemi contrassegnati come «Basso»
L'audit ha determinato il livello di gravità dei problemi — da "Critico" a "Basso" — assegnando punteggi tecnici in linea con Standard CVSS Standard Common Vulnerability Scoring Standard ). Questo sistema, adottato a livello settoriale, è utilizzato dai ricercatori di sicurezza di tutto il mondo per misurare la gravità delle vulnerabilità individuate in software, hardware e firmware. Più alto è il punteggio, maggiore è la gravità della vulnerabilità.
Secondo il rapporto finale:
«Nel complesso, i sistemi dimostrano un elevato livello di sicurezza e sono ben strutturati per tutelare la privacy degli utenti, risultando a un buon livello di sicurezza rispetto a sistemi di dimensioni e complessità simili. Nel corso della nostra valutazione, non abbiamo riscontrato alcuna traccia di registrazione delle attività degli utenti e l'accesso ai sistemi è rigorosamente controllato, senza che siano esposti accessi remoti, locali o SSH non necessari. Sebbene siano state individuate alcune vulnerabilità, la maggior parte di esse è già stata risolta, compresa una criticità, mentre le restanti sono in fase di risoluzione.»
Come rilevato dai revisori, i nostri ingegneri hanno già risolto una vulnerabilità «critica», due vulnerabilità «medie» e una vulnerabilità «bassa». Il nostro team sta inoltre lavorando attivamente per risolvere l'ultima vulnerabilità critica e l'ultima vulnerabilità bassa presenti nello stack software.
Le questioni
X41 D-Sec ha individuato due problemi critici.
Il primo problema critico, a cui è stato assegnato un punteggio CVSS di 9,4, riguarda la configurazione iniziale e il funzionamento dei server che Malwarebytes per VPN propria VPN.
Quando si collega un nuovo server alla rete, Malwarebytes tale server di download installare quella che viene definita una «immagine Debian». Si tratta semplicemente di un file scaricabile che installa il sistema operativo Debian su un dispositivo hardware fisico. È una procedura che viene ripetuta innumerevoli volte ogni giorno nel mondo dell'informatica per consentire l'implementazione rapida, affidabile e distribuita di macchine all'interno di una rete.
I ricercatori hanno scoperto che, sebbene l'immagine Debian fosse stata scaricata da un URL sicuro, la firma di un piccolo frammento di dati verificati — chiamato checksum — non era stata convalidata utilizzando la chiave di firma del CD Debian.
Le firme sono fondamentali nel mondo del software, poiché dimostrano che un programma scaricato su un dispositivo è effettivamente quello pubblicato dal suo sviluppatore. Senza un adeguato controllo delle firme, un hacker potrebbe distribuire una versione modificata di un programma e comunque indurre il computer a credere che sia legittima.
Siamo consapevoli della gravità di questa vulnerabilità e abbiamo già implementato una correzione.
Il secondo problema critico, a cui è stato assegnato un punteggio CVSS di 9,3, riguarda anch’esso il comportamento dei VPN Malwarebytesall’avvio.
Per connettersi, VPN Malwarebytesutilizzano l'ambiente di esecuzione pre-avvio (PXE) per Linux, che consente la distribuzione e l'installazione dei file di avvio attraverso una rete, anziché l'avvio da file locali. I ricercatori di sicurezza hanno avvertito che questo processo “è privo di qualsiasi forma di firma crittografica, pertanto un attacco ‘Man in the Middle’ potrebbe portare all’esecuzione del codice di un aggressore sul sistema client”.
Un attacco di questo tipo richiederebbe un accesso fisico diretto ai server nei nostri data center. Ciononostante, siamo consapevoli dell'importanza di questa vulnerabilità e stiamo lavorando per risolverla.
Le altre quattro vulnerabilità hanno evidenziato il rischio di attacchi di replay, l'uso improprio del port relay, la visibilità del traffico e un "padding oracle" che può essere sfruttato con sufficiente perseveranza. Tre di queste vulnerabilità — relative agli attacchi di replay, alla visibilità del traffico e al "padding oracle" — sono già state risolte, e il nostro team sta lavorando anche a una soluzione per l'ultima vulnerabilità.
Trasparentemente privato
C'è un mito secondo cui garantire la propria privacy online significherebbe avere qualcosa da nascondere. Per un VPN come Malwarebytes, la realtà è esattamente l'opposto: aiutiamo le persone a proteggere la loro privacy online indicando loro dove possiamo migliorare.
Non tutte le aziende ricorrono a una verifica indipendente, né tutte sarebbero disposte a renderne pubblici i risultati. Infatti, secondo quanto riportato, il 77% delle Android presentava gravi carenze in termini di trasparenza e responsabilità, un dato che raramente viene comunicato dalle stesse VPN.
Ma ciò che conta di più in questo contesto, e per noi, non è l'ego. Ciò che conta di più è la tua privacy. Grazie a questi risultati, speriamo che tu possa prendere una decisione più consapevole e informata su chi affidare il tuo traffico Internet e la tua attività online.
Malwarebytes la società di penetration testing X41 D-Sec per aver condotto la verifica, nonché i ricercatori di sicurezza coinvolti: Djamal Touazi, JM, Markus Vervier, Robert Femmer ed Eric Sesterhenn.
Di seguito è possibile leggere la relazione di revisione completa.
Naviga come se nessuno ti guardasse.
Malwarebytes Privacy VPN la tua connessione e non registra mai le tue attività, così la prossima notizia che leggerai non ti sembrerà una questione personale.Provalo gratis →
