TunnelVision: comunicato e analisi del problema da parte di ExpressVPN

È probabile che abbiate sentito parlare di una nuova vulnerabilità, chiamata TunnelVision, che può consentire a un malintenzionato di aggirare la protezione VPN in determinate circostanze. Vorremmo prenderci un attimo per spiegare questa notizia e rassicurarvi sulla sicurezza delle applicazioni e dei servizi offerti da ExpressVPN.

Il 6 maggio 2024, un documento intitolato “TunnelVision – How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak” ha messo in evidenza una tecnica che consentirebbe a un utente malintenzionato di aggirare la protezione delle VPN in alcune situazioni specifiche. I ricercatori ci hanno contattato prima della pubblicazione dell’articolo e noi abbiamo avuto il tempo di effettuare test approfonditi.

Dopo un’attenta valutazione, possiamo confermare che la tecnica descritta nel documento ha un impatto minimo sugli utenti di ExpressVPN, grazie al design efficace del nostro kill switch, Network Lock. Di seguito riportiamo i dettagli della nostra indagine e come questa sia correlata alle app di ExpressVPN su ogni piattaforma da noi supportata.

Ma prima di entrare nei dettagli tecnici, vorremmo sottolineare che questo problema può verificarsi solo se sono soddisfatte diverse condizioni specifiche.

Se siete a casa e nessuno ha violato il vostro router, siete al sicuro. Se vi state connettendo tramite la rete del cellulare e non tramite il Wi-Fi di qualcun altro, siete al sicuro. Se la rete Wi-Fi a cui vi state collegando non è controllata da un soggetto malintenzionato, siete al sicuro. Se siete su un computer portatile e il vostro kill switch è attivo, siete al sicuro. E così via. In pratica, è necessaria una combinazione di fattori, tutti simultanei, perché questo problema rappresenti un rischio.

Che cos’è TunnelVision?

Il problema sollevato dai ricercatori deriva dal protocollo DHCP (Dynamic Host Configuration Protocol), una funzione insita nei dispositivi di rete come i router. Questo protocollo viene utilizzato per configurare automaticamente il dispositivo in modo che possa connettersi alla rete e a Internet.

Parte di questa configurazione consiste nell’indicare al dispositivo dove deve inviare il traffico per raggiungere Internet.

Esiste tuttavia una funzione meno nota del DHCP, detta Option 121, che consente di impostare percorsi alternativi per destinazioni specifiche, ad esempio gli indirizzi IP che ospitano www.google.com. Ogni dispositivo che supporta l’Option 121 ha la possibilità di aggiungere questi gateway aggiuntivi, deviando il traffico che altrimenti seguirebbe il percorso predefinito.

Quando ci si connette con ExpressVPN, impostiamo i nostri percorsi per indicare al dispositivo che deve comunicare con Internet attraverso la connessione VPN. Questo funziona perché i nostri percorsi sono più specifici di quello predefinito e quindi hanno la precedenza.

Tuttavia, con Option 121, è possibile che venga impostato un percorso ancora più specifico, più specifico del nostro, facendo sì che il traffico che dovrebbe passare attraverso la VPN passi invece attraverso questo percorso più specifico. È importante notare che questa “preferenza per lo specifico” non è di per sé una vulnerabilità; è fondamentale per il funzionamento della rete. Può causare un comportamento indesiderato, a meno che non siano state messe in atto soluzioni specifiche per prevenirlo. ExpressVPN riconosce da tempo il rischio di un simile problema (sia a causa di un malintenzionato che di una semplice configurazione errata), ed è per questo che le nostre app sono dotate di Network Lock abilitato per impostazione predefinita.

Nel documento di TunnelVision, i ricercatori affermano che è possibile indurre una perdita dei dati del traffico VPN quando si utilizza qualcosa chiamato DHCP Option 121 classless static routes, e che ciò riguarda tutti i provider VPN e i protocolli VPN che supportano tali percorsi.

In parole povere, significa che in determinate circostanze (e solo quando ci si connette a una rete che non si controlla, come il Wi-Fi di un hotel o di un aeroporto), un utente malintenzionato con il controllo del router Wi-Fi potrebbe decidere che il traffico diretto a una determinata destinazione venga deviato al di fuori della VPN.

È necessario che si verifichi una sequenza specifica di condizioni perché chiunque possa essere colpito da questo problema, e i clienti di ExpressVPN sono tra i più protetti, in parte grazie alla forza e alla struttura di Network Lock.

L’impatto di TunnelVision su ExpressVPN

Il potenziale di questa tecnica dipende dal sistema operativo o dal dispositivo utilizzato.

Iniziando dagli utenti desktop: grazie a Network Lock, il kill switch di ExpressVPN su Mac, Windows, Linux e router, la potenziale esposizione è limitata. Sia che si utilizzi Mac o Windows, le nostre indagini hanno rilevato che questa tecnica potrebbe rappresentare una minaccia solo se il nostro kill switch, Network Lock, fosse stato disabilitato manualmente da un utente. Poiché Network Lock è abilitato per impostazione predefinita, gli utenti che non hanno mai modificato le proprie impostazioni non possono essere colpiti.

Quindi se, come molti utenti di ExpressVPN, aprite semplicemente l’applicazione, premete il grande pulsante On e occasionalmente cambiate posizione, non siete mai stati esposti a questo problema. Il modo in cui abbiamo progettato il nostro kill switch assicura che i nostri utenti desktop siano difesi da questa tecnica e da altri attacchi che tentano di indirizzare il traffico al di fuori della VPN.

Quando il Network Lock è attivo, abbiamo constatato che non si verificano perdite dei dati. Il traffico diretto verso la destinazione designata da un utente malintenzionato provocherebbe un “denial of service”: verrebbe semplicemente bloccato, con conseguente visualizzazione di una pagina web vuota o di un messaggio di errore. Il traffico diretto a qualsiasi altra destinazione (in altre parole, ovunque non sia stato specificato dal malintenzionato per il dirottamento) passerebbe normalmente attraverso la VPN. Tuttavia, se un utente ha disattivato manualmente il Network Lock, il traffico potrebbe effettivamente passare attraverso il percorso deviato, causando una perdita dei dati.

Pertanto, consigliamo vivamente a tutti gli utenti di ExpressVPN di attivare sempre il kill switch. Stiamo anche aggiungendo nuovi promemoria nelle nostre app per incoraggiare gli utenti a tenere attivato il kill switch.

Sui router Aircove e Aircove Go, non è possibile creare vulnerabilità in quanto il kill switch è sempre attivo e non può essere disattivato.

Passiamo ora agli utenti mobile. Su Android non è possibile essere esposti, indipendentemente dall’impostazione del kill switch, perché l’opzione DHCP Option 121 non è supportata su questa piattaforma. Su iOS, invece, esiste un certo grado di vulnerabilità, anche con il nostro kill switch attivo. Ciò è dovuto a una limitazione di lunga data imposta da Apple stessa, che rende di fatto impossibile un kill switch a prova di bomba. Tuttavia, l’utilizzo di una connessione cellulare 4G o 5G al posto del Wi-Fi è pienamente efficace nel prevenire questo attacco.

Come abbiamo realizzato e progettato il Network Lock per proteggere gli utenti

Come già detto, il Network Lock è il kill switch di ExpressVPN su Mac, Windows, Linux e router. Protegge i dati degli utenti bloccando tutto il traffico Internet fino al ripristino della protezione. Una funzione simile è disponibile nelle impostazioni di Protezione di rete delle nostre app per iOS e Android. Offriamo queste funzioni perché un kill switch affidabile è una caratteristica essenziale di una VPN, fondamentale per proteggere gli utenti e garantire la loro privacy. Per questo motivo attiviamo il nostro kill switch di default e abbiamo investito molto tempo nella sua affidabilità da quando lo abbiamo introdotto per la prima volta nel 2015.

Per implementare questa funzione, abbiamo anche preso molte decisioni accurate in termini di progettazione e design. Il nostro Network Lock impedisce a tutti i tipi di traffico, compresi IPv4, IPv6 e DNS, di fuoriuscire all’esterno della VPN, ad esempio in caso di interruzione della connessione a Internet dell’utente, durante il passaggio da una rete Wi-Fi all’altra e in altri vari scenari in cui altre VPN potrebbero presentare una perdita dei dati.

La nostra funzionalità di kill switch sul firmware del router e su tutte le piattaforme desktop funziona applicando una regola firewall “blocca tutto” seguita da una regola che autorizza il traffico esclusivamente attraverso il tunnel VPN. Queste regole del kill switch vengono attivate per la prima volta quando la VPN si connette e rimangono attive durante i cicli di riconnessione e le disconnessioni impreviste. Questo è esattamente ciò a cui si riferiscono i ricercatori nella sezione “Industry Impact” del loro report, quando affermano di aver “osservato una mitigazione da parte di alcuni fornitori di VPN che interrompe il traffico verso interfacce non VPN tramite regole del firewall”.

Questa configurazione protegge dall’exploit di TunnelVision e da minacce simili. Blocca il traffico che tenta di aggirare la VPN, compresi i percorsi eventualmente introdotti da TunnelVision.

Cosa significa ciò per il settore delle VPN

Fondamentalmente, la ricerca di TunnelVision sottolinea quanto sia importante per le VPN soddisfare uno standard di eccellenza per quanto riguarda la progettazione della privacy e della sicurezza.

Poiché non esiste un’unica soluzione standard per l’implementazione di un kill switch, il problema sta nei dettagli. Diventa più che mai importante scegliere un provider VPN premium che dia priorità sia alla sicurezza che alla facilità d’uso. Apprezziamo l’impegno dei ricercatori nel sottolineare l’importanza di un kill switch affidabile nella scelta di una VPN.

Li ringraziamo anche per l’impegno profuso in tutto il settore per una divulgazione responsabile di questo problema: la continua ricerca sulla sicurezza, condotta in modo responsabile, è un aspetto importante di un panorama sano della sicurezza informatica. Vogliamo incoraggiare i nostri utenti, i partner industriali e i ricercatori a continuare a spingere per una comprensione più approfondita delle tecnologie alla base delle soluzioni per la privacy e la sicurezza.