Scarica
Torna al blog
Privacy··10 min di lettura

Le policy delle VPN no-log spiegate

Lingua: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa Indonesia日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Una policy VPN no-log e l'impegno da parte di un provider del servizio a non conservare registrazioni dell'attivita degli utenti. L'espressione e diventata comune nel marketing delle VPN, ma il significato concreto varia da provider a provider. Questo articolo spiega cosa copre una policy senza log credibile, come viene implementata a livello di infrastruttura e come valutare se la promessa e sostenuta da prove indipendenti.

Cosa promette una policy no-log

Una policy no-log e una dichiarazione su quali tipi di dati degli utenti il provider registra e conserva. Le policy solide affrontano specificamente i log di connessione, i log di attivita e i metadati identificativi, e descrivono le misure tecniche che fanno rispettare la policy.

La formulazione conta perche “no log” viene a volte usato in modo vago per intendere “nessun log che consideriamo sensibile,” mentre altri dati — uso della banda, conteggio delle connessioni, carico del server — continuano a essere conservati per scopi operativi. Una policy chiara distingue tra i due e spiega la logica di ciascuno.

Tipi di log

I log nel contesto di una VPN ricadono in genere in tre categorie.

Log di attivita

I log di attivita registrano quali siti web, applicazioni o destinazioni il traffico di un utente ha raggiunto durante una sessione. E la categoria piu sensibile. Un provider che conserva i log di attivita puo ricostruire la cronologia di navigazione di un utente. Una policy no-log che non disconosce esplicitamente i log di attivita non e un impegno significativo per la privacy.

Log di connessione

I log di connessione registrano quando un utente si e connesso, quanto e durata la sessione, l'indirizzo IP di origine da cui l'utente si e connesso e il server a cui l'utente si e connesso. Sebbene meno sensibili dei log di attivita, i log di connessione possono essere usati per correlare le sessioni VPN con l'attivita osservata altrove su internet.

Log aggregati o operativi

I log aggregati registrano metriche come la banda totale per server, il numero di sessioni simultanee e il conteggio degli errori. Questi sono in genere necessari per la pianificazione della capacita e la mitigazione degli abusi. Una policy no-log ragionevole distingue tra le metriche operative aggregate e i log relativi al singolo utente.

Come viene implementata

Una policy no-log credibile e fatta rispettare dalla progettazione dell'infrastruttura, non solo dalla policy aziendale. Diverse pratiche sono comunemente usate.

  • Server solo in memoria. I server VPN funzionano interamente dalla RAM, senza alcuno storage persistente collegato. Quando il server viene riavviato, qualsiasi dato in memoria va perso. Questo viene a volte definito configurazione solo-RAM o senza disco.
  • Tunnel stateless. I protocolli moderni come WireGuard mantengono uno stato minimo sul server. Il server sa quali peer sono autorizzati ma non ha bisogno di tracciare lo storico delle sessioni. Al contrario, OpenVPN con autenticazione basata su nome utente conserva uno stato aggiuntivo.
  • Log di sistema soppressi. I server sono configurati in modo che i logger di sistema predefiniti non registrino le informazioni per connessione. Il logging dettagliato viene in genere abilitato solo brevemente durante il debugging.
  • Nessun database di account. I servizi che non richiedono account utente non possono affatto collegare le connessioni alle persone. Snap VPN segue questo approccio: gli abbonamenti vengono elaborati tramite Apple e il servizio non mantiene un database utenti.

Audit indipendenti

Un audit indipendente e la forma di prova piu solida disponibile a dimostrazione del fatto che una policy no-log e implementata come dichiarato. Un tipico incarico di audit prevede che una societa di sicurezza terza esamini le configurazioni dei server del provider, il codice sorgente e le procedure operative nell'arco di diverse settimane.

Il valore di un audit dipende dal suo ambito. Un audit utile specifica quali server, componenti e periodi di tempo sono stati esaminati, e pubblica i risultati — sia positivi sia negativi — in un report che puo essere consultato per intero. Gli audit che producono solo un riassunto di marketing sono considerevolmente piu deboli.

E inoltre importante riconoscere cosa un audit non puo stabilire. Un audit cattura un'istantanea nel tempo. Non garantisce che il provider continuera a operare nello stesso modo dopo la conclusione dell'audit. Audit ripetuti a intervalli regolari forniscono una garanzia continua piu solida.

Richieste legali

Una policy no-log interagisce con i procedimenti legali in modi importanti. Se un provider riceve una subpoena o un ordine del tribunale che richiede dati degli utenti, il provider puo divulgare solo cio che ha. Se i log di attivita e di connessione non vengono conservati, il provider non ha nulla da divulgare sull'attivita specifica di un utente oltre alla registrazione dell'abbonamento.

Diversi provider pubblicano “report di trasparenza” che descrivono le richieste legali ricevute e le risposte date. Un report di trasparenza che elenca le richieste ricevute e dettaglia l'assenza di dati sostanziali da divulgare e coerente con una policy no-log funzionante.

Conta anche la giurisdizione. Il regime giuridico sotto cui opera il provider determina i tipi di richieste a cui puo essere costretto a conformarsi e se gli si puo imporre di iniziare a registrare in prospettiva.

Verificare una promessa

Diversi segnali indicano se una promessa no-log e credibile.

  • Specificita della policy. La policy nomina esplicitamente le categorie di log che non vengono conservate, invece di usare formulazioni vaghe.
  • Storico degli audit.Il provider ha commissionato audit indipendenti, i report completi degli audit sono pubblicamente disponibili e gli audit coprono i componenti che contano di piu — i server e i sistemi di autenticazione.
  • Progettazione operativa. L'infrastruttura e descritta in dettaglio tecnico, incluso l'uso di server solo in memoria, autenticazione senza account e protocolli stateless.
  • Report di trasparenza. Il provider pubblica report ricorrenti che descrivono le richieste legali ricevute e le risposte date.

Errori comuni

Diversi schemi indicano una promessa no-log che potrebbe essere meno solida di quanto appaia.

Linguaggio ambiguo.Le policy che promettono di non conservare “alcuna informazione personale identificabile” senza specificare quali categorie di dati siano escluse possono essere compatibili con la conservazione di metadati di connessione consistenti.

Servizi basati su account. Un servizio che richiede un indirizzo email per un account conserva intrinsecamente alcune informazioni, anche se afferma di non registrare l'attivita. I servizi senza account hanno una posizione strutturale piu solida.

Solo autodichiarazione. Una promessa no-log che non e stata esaminata da una parte indipendente si regge solo sulla dichiarazione del provider.

Snap VPN e strutturata per rendere una promessa no-log meccanicamente credibile: nessun account utente, server solo in memoria e il protocollo WireGuard, che porta con se uno stato di sessione minimo. Per un contesto piu ampio, vedi la nostra introduzione alle VPN e il confronto tra WireGuard e OpenVPN.

The Snap VPN Team
Editorial