Organizzazione
Le false promesse delle VPN, per consumatori e aziende
La VPN consumer non vi rende anonimi. Il concentratore VPN aziendale posizionato al confine di Internet è diventato uno dei dispositivi più attaccati in assoluto. Una messa a punto su due malintesi diffusi.
Ultima revisione:
Una VPN non elimina il rischio. Decide solo a chi affidarlo.
La VPNTunnel cifrato tra il dispositivo e un server, che nasconde l'IP e il traffico al proprio ISP. viene venduta come soluzione di sicurezza universale. In realtà sono due prodotti molto diversi sotto lo stesso nome, ed entrambi si basano su un malinteso. Sul lato consumer, vi viene venduto un anonimato che la tecnologia non può offrire. Sul lato aziendale, per vent’anni è stata posizionata una scatola ad alti privilegi al confine di Internet — ed è oggi uno dei dispositivi più attaccati in circolazione.
Cosa fa una VPN consumer, e cosa non fa
«Crittografia di livello militare.» La formula compare in ogni pubblicità. Si riferisce ad AES-256 — uno standard pubblico, gratuito, vecchio di venticinque anni, già utilizzato dalla vostra banca e dalle vostre app di messaggistica. Non è un difetto; è una buona crittografia. Ma come argomento di vendita, la frase è priva di significato. Il vostro tostapane connesso potrebbe rivendicare lo stesso.
Cosa fa davvero una VPN: cripta il traffico tra il vostro dispositivo e il server del fornitore, e nasconde il vostro indirizzo IP al vostro provider. Utile su reti Wi-Fi pubbliche, per aggirare restrizioni geografiche, o per mantenere il vostro traffico riservato rispetto al vostro ISP.
Cosa non fa: rendervi anonimi. Cookie, impronta digitale del browserIdentificazione di un dispositivo tramite le caratteristiche uniche del suo browser e del suo sistema. e i vostri account connessi continuano a tracciarvi. E il fornitore di VPN stesso vede il vostro indirizzo IP reale e il vostro traffico. Non avete eliminato il testimone della vostra navigazione — l’avete spostato dal vostro ISP, al quale siete legati, a un’azienda che avete scelto senza poterne verificare le promesse.
«Nessun registro di connessione» è una promessa, non una prova. Ciò che conta è un audit indipendente pubblicato, o un ordine giudiziario che confermi che non c’era davvero nulla da consegnare. Diversi fornitori che giuravano di non conservare nulla sono stati colti a registrare i dati. La proprietà dei marchi aggiunge confusione: decine di VPN apparentemente concorrenti condividono la stessa società madre, a volte la stessa dietro il sito di comparazione che le raccomanda.
Il concentratore VPN — il dispositivo più esposto dell’azienda
La VPN aziendale è una bestia diversa. Un concentratore SSL-VPNGateway per l'accesso remoto esposto permanentemente su Internet, punto di ingresso unico ad alti privilegi., come i dispositivi Fortinet, è una scatola posizionata al confine di Internet. Espone un servizio in ascolto permanente che tutti gli scanner del pianeta conoscono: Shodan indicizza continuamente i dispositivi FortiGate esposti. Termina il TLS, conserva in memoria credenziali e token di sessione, e una volta autenticato l’utente, spesso apre l’accesso a una rete piatta.
Questo è il profilo ideale del bersaglio: esposto, ad alti privilegi, unico punto di transito. Fortinet è il più attaccato perché è il più diffuso, non perché sia l’unico colpevole. Citrix e Ivanti affrontano esattamente lo stesso problema sui propri gateway.
Il dossier è documentato e si estende su anni. Nel 2020, lo sfruttamento di massa della falla CVE-2018-13379 ha fatto trapelare le credenziali VPN di circa 50.000 dispositivi Fortinet. Sono seguite una serie di falle critiche di esecuzione remota di codice nel SSL-VPN di FortiOS — CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 — tutte attivamente sfruttate e inserite nel catalogo delle vulnerabilità sfruttate note della CISA. Queste falle non restano teoriche: intrusioni reali iniziano sul dispositivo VPN e si propagano tramite movimento lateraleProgressione di un attaccante da un punto di ingresso compromesso verso altri sistemi della stessa rete. nella rete. Il pattern si è ripetuto all’inizio del 2026, con una fuga massiccia di credenziali Fortinet e alertes congiunte di CISA e NCSC.
Non avete eliminato il rischio. Lo avete spostato su una scatola che tutto il mondo può raggiungere.
Cosa riduce davvero il rischio
Sul lato consumer, scegliete in base a criteri verificabili: un audit indipendente pubblicato, una giurisdizione chiara, proprietà trasparente e un protocollo aperto come WireGuard o OpenVPN. Non uno slogan. E tenete a mente cosa non fa una VPN: per il Wi-Fi pubblico, l’HTTPS generalizzato protegge già la sostanza della maggior parte del traffico.
Sul lato aziendale, la soluzione viene prima dalla disciplina, poi dall’architettura. L’interfaccia di gestione di un dispositivo perimetrale non ha nulla da fare su Internet. L’autenticazione a più fattori è ovunque. I dispositivi esposti vengono patchati al ritmo del catalogo CISA, non trimestralmente. E poiché le credenziali potrebbero già essere trapelate silenziosamente, tratatele come compromesse e ruotatele.
Il modello di fondo — un login apre l’intera rete — ha fatto il suo tempo. La direzione è l’accesso per applicazione, dove ogni risorsa è raggiungibile in base all’identità e allo stato del dispositivo, senza un unico ascoltatore piazzato al confine che qualsiasi scanner possa trovare.
Angle de lecture
La VPN che avete pagato per «essere anonimi» sposta soprattutto la vostra fiducia dal vostro ISP a un’azienda le cui promesse non potete verificare. I suoi usi legittimi esistono: Wi-Fi pubblico, aggirare restrizioni geografiche, riservatezza rispetto al vostro ISP. L’anonimato non è tra questi. Scegliete in base a un audit indipendente pubblicato e una proprietà trasparente — mai in base a «militare».
Il vostro concentratore VPN è il vostro dispositivo più esposto e più privilegiato. Inventariate tutte le interfacce VPN e di gestione raggiungibili da Internet, rimuovete la gestione dal lato pubblico, imponete MFA e applicate patch al ritmo del KEV della CISA. Partite dal presupposto che le credenziali siano già trapelate e ruotatele. In parallelo, deliberate il passaggio da un accesso di rete piatto a un accesso per applicazione.
«Abbiamo una VPN» non è una risposta a «siamo protetti». La scatola che tutti possono raggiungere è un singolo punto di guasto al confine della vostra rete. Le due domande che contano: con quale velocità patchate quella scatola, e un singolo login apre ancora l’intera rete? Tutto il resto è una questione di architettura che dovete mandatare e finanziare, non delegare alla speranza.
Da mettere in pratica
- N1 Nessuna interfaccia di gestione di un dispositivo VPN è raggiungibile da Internet.
- N1 L'autenticazione a più fattori copre tutti gli accessi VPN e di gestione.
- N1 I dispositivi perimetrali vengono patchati al ritmo del catalogo KEV della CISA, non trimestralmente.
- N2 Le credenziali VPN e di gestione sono trattate come potenzialmente trapelate e vengono ruotate periodicamente.
- N2 Il passaggio dall'accesso di rete piatto all'accesso per applicazione è deliberato e inserito in budget.
- N3 La scelta di una VPN consumer si basa su un audit indipendente pubblicato, non su uno slogan pubblicitario.
Fonti
- Consumer Reports, sulle promesse esagerate delle VPN e il «livello militare» (opens in a new tab)
- TechRadar, «non esiste la crittografia di livello militare» (opens in a new tab)
- Engadget, quello che una VPN non può fare nonostante la pubblicità (opens in a new tab)
- CISA, falle SSL-VPN FortiOS attivamente sfruttate (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762) (opens in a new tab)
- Darktrace, un’intrusione reale iniziata da un SSL-VPN Fortinet fino al movimento laterale (opens in a new tab)