Il principale strumento che, in questo periodo di emergenza sanitaria, ha reso possibile il lavoro da casa a imprese private e pubbliche è la VPN (Virtual Private Network), originariamente create per aggirare le restrizioni geografiche imposte sulla rete e soprattutto per mantenere privata la navigazione sul web. Oggi impiegate come soluzioni per lo smart working, le VPN proteggono sempre le informazioni online scambiate all’interno del network aziendale, consentendo l’accesso ai server aziendali unicamente da device configurati e con credenziali personalizzate. In questo modo ogni dipendente è in grado di accedere ai documenti di cui necessita in qualunque luogo e momento.
Ma se ogni lavoratore in ufficio dispone di una postazione collegata alla rete aziendale protetta da una serie di strumenti e soluzioni – software e hardware specifici, firewall, proxy, limitazione della navigazione web, messaggistica ed e-mail sicure e perfino controlli tramite sistemi antintrusione – è possibile garantire la stessa protezione lavorando da casa propria?
Il moltiplicarsi di connessioni da server diversi, da pc non protetti e mai aggiornati porta ad aumentare il rischio di leaks della VPN e di perdita di informazioni. Per questo motivo Panda Security consiglia, durante un momento di utilizzo straordinario della VPN come questo, di controllare regolarmente la presenza di possibili leak di rete alle proprie VPN.
Prima, però, è bene fare chiarezza sulle tre tipologie di perdite dati legati all’utilizzo di VPN:
- IP Leak: il primo vantaggio nell’utilizzare una VPN è nascondere il proprio indirizzo IP così da evitare ad esempio bombardamenti di pubblicità, servizi non richiesti e rischi di attacchi. Oggi esistono due tipi di indirizzi IP: il protocollo originale IPv4 ed il protocollo più recente IPv6. Attualmente, molti provider di servizi VPN offrono supporto solo per gli indirizzi IPv4, il che causa perdite per i sistemi più aggiornati che utilizzano indirizzi IPv6.
- DNS Leak: DNS, o Domain Name Systems, convertono gli indirizzi IP in URL con nomi di dominii familiari e viceversa. Il sistema operativo invia una richiesta DNS per ottenere l’indirizzo IP associato al dominio. La richiesta viene inviata attraverso il tunnel creato dalla VPN fino ai server DNS della vostra VPN, anziché quelli del vostro provider; in questo modo, rimarrete anonimi e protetti durante la navigazione in internet. Tuttavia, se la vostra VPN dovesse riscontrare un DNS leak, non potrete più godere dell’anonimato e sareste esposti alla perdita dati.
- WebRTC Leak: La Web Real-Time Communication consente essenzialmente la condivisione istantanea di video, voce e messaggi all’interno del browser. Questo è molto utile per la comunicazione peer-to-peer, basata sul browser, ma sono state rivelate delle vulnerabilità, come l’esposizione dell’indirizzo IP e della posizione nella VPN aperte dalla WebRTC.
Panda Security ha elaborato alcuni semplici consigli per verificare la sicurezza delle vostre VPN durante lo smart working:
- Verificare che il provider supporti gli indirizzi IPv6 in modo che non si verifichino perdite di IP.Per fugare eventuali dubbi scollegate la VPN è cercate il vostro indirizzo IP (digitando la richiesta anche sulla barra di ricerche di Google). Una volta trovato ripetete il processo ma connettendovi prima alla VPN: se i due IP corrispondono potreste subire perdite di dati
- Verificare con il provider VPN che il servizio non consenta perdite di DNS. Se utilizzate una VPN non per lo smart working potete scegliere un server al quale agganciarvi. Se selezionate un server di un altro paese provate a visitare un sito web geo-limitato, ad esempio un servizio di streaming di contenuti per il paese selezionato. Se vi è impossibile accedere al sito avete probabilmente un DNS Leak.
- Per scongiurare un WebRTC leak basterà disattivare questa funzione nelle impostazioni del browser utilizzato oppure aggiungere un’estensione per evitare leak.
- Se volete evitare di effettuare procedure manuali con il pc aziendale esistono diversi tool gratuiti, scaricabili dagli store ufficiali, o siti internet che eseguono test di IP e DNS. Se avete dubbi sulla tenuta della VPN potete utilizzarli a patto di verificare sempre il produttore e l’affidabilità.
Se durante lo smart working rilevate o pensate di essere vittime di leak della VPN, Panda Security consiglia innanzitutto di segnalarli ai datori di lavoro e alle unità di IT della propria azienda per limitare il rischio di dispersione di dati e di proprietà intellettuali della stessa. Se risultano perdite frequenti ad una VPN aziendale andrebbe preso in considerazione il cambio di fornitore del servizio.