Securitywatch: pugnalate alle spalle, disinformazione e cattivo giornalismo: lo stato dell'industria della VPN

Esamino le VPN per PCMag e ciò significa che passo molto tempo a spiegare alle persone che in realtà non sono uno scellino pagato o che lavoro attivamente contro la sicurezza degli altri. Perché? Perché la cultura delle VPN e il modo in cui alcuni di questi prodotti sono commercializzati è diventato incredibilmente tossico.

Consentitemi innanzitutto di dire che, a grandi linee, le mie interazioni con i fornitori di VPN sono state positive. Sono sinceramente convinto che la maggior parte dei venditori nello spazio VPN stiano davvero realizzando il miglior prodotto possibile e stanno provando a fare bene i propri clienti. Eppure ho visto lampi di cattivi comportamenti, grandi e piccoli, in tutto il settore.

Combattere sporco

Dalla mia esperienza di lavoro con le VPN, posso affermare con certezza che esiste una cultura di sabotaggio e paranoia tra alcuni venditori. Dump anonimi di informazioni dannose su un fornitore VPN vengono incolpati di un altro fornitore VPN. Vengono forniti suggerimenti, suggerendo che la proprietà dell'azienda è legata alla mafia russa o ad altre operazioni criminali. I commentatori sostengono un sito di revisione VPN come esempio di rettitudine, mentre altri affermano che lo stesso sito è gestito segretamente da un fornitore VPN con un ordine del giorno. Quando c'è così tanta disinformazione e contro-disinformazione (che può anche essere disinformazione) è impossibile dire chi sta dicendo la verità.

Neil Rubenking lavora per PCMag da quando sono vivo e gli ho chiesto se avesse visto qualcosa di simile sui prodotti antivirus. Non ha. Quelle aziende occasionalmente si aggirano a vicenda, e talvolta sono accusate di barare, ma i principali attori sono abbastanza intelligenti da rendersi conto che la stabilità del loro mercato nel suo insieme dipende dalla loro percezione di giocatori affidabili.

Inoltre, esiste un'intera industria in cui i fornitori di antivirus sono responsabili. L'AMTSO (Anti-Malware Testing Standards Organization), di cui Rubenking è membro dell'Advisory Board, ha stabilito linee guida e rilasciato strumenti in modo che chiunque possa verificare che il proprio software antivirus faccia qualcosa . Esiste anche un settore di tester antivirus come AV-Test, AV Comparatives e altri che non solo verificano che questi prodotti funzionino, ma quantificano effettivamente il loro funzionamento. Altri ricercatori forniscono feed dal vivo di malware che Rubenking può utilizzare per verificare da solo che il software antivirus fa effettivamente ciò che promette.

Questo tipo di comunità non esiste ancora per le VPN. Né è particolarmente facile verificare se le VPN stiano effettivamente facendo qualcosa. Come possiamo dire che una VPN sta effettivamente impedendo a un ISP o a un hacker di capire chi sei o intercettare il tuo traffico? Come possiamo verificare che tutti i server e le app dell'azienda siano configurati correttamente? Come possiamo essere sicuri che l'azienda non venda i nostri dati o non stia inserendo annunci nel nostro traffico web? Anche verificare che un determinato prodotto VPN stia effettivamente crittografando il tuo traffico è difficile e richiede tempo.

Ecco un altro esempio: a fine aprile, il Registro ha pubblicato una storia sul traffico insolito proveniente da NordVPN che sembrava traffico botnet. La società ha fornito varie spiegazioni, principalmente in base al comportamento atteso progettato per nascondere le attività degli utenti. Ciò ha senso, ma le opzioni per verificare tale affermazione sono limitate. Inoltre, come faccio a sapere che le accuse stesse non provengono da un'altra società VPN con un'agenda? Quando la fiducia viene erosa, anche le ipotesi di base vengono messe in discussione.

Come è successo?

Le VPN non sono affatto nuove, ma per la maggior parte della storia registrata sono state utilizzate in un contesto aziendale, non in quello consumer. La grande eccezione erano i dissidenti politici che operavano in paesi con politiche restrittive su Internet. Poi all'improvviso sono apparse decine di nuovi giocatori che hanno spinto i loro prodotti più forte che mai. Questa proliferazione di massa e le pratiche discutibili che ne sono seguite sono il risultato dell'allineamento di forze uniche.

In primo luogo, i servizi di streaming come Netflix hanno offerto un'alternativa interessante ai film piratati e ai programmi TV. Una volta che le persone hanno scoperto che potevano usare una VPN per sbloccare ancora più contenuti legali falsificando la loro posizione, tutti ne volevano uno. In realtà ho dei dati per il backup. Secondo i sondaggi di PCMag, la maggior parte delle persone utilizza una VPN per accedere ai contenuti in streaming online. Secondo alcuni nel settore VPN, questo potrebbe essere il vero motivo per cui le persone acquistano VPN e tutto il resto è solo una vetrina per dargli un'aria di legittimità.

In secondo luogo, l'ascesa globale della politica di estrema destra ha stimolato l'interesse per le VPN. Le persone in luoghi che di solito non erano preoccupati per la privacy o la censura improvvisamente avevano motivo di ottenere una VPN. Negli Stati Uniti, in particolare, il crollo delle nostre regole sulla neutralità della rete, gli ISP che monetizzano l'attività degli utenti e una preoccupazione generalizzata per la sorveglianza in un mondo post Snowden non hanno aiutato.

Terzo, e infine, è denaro. L'avvio di una piccola azienda VPN è relativamente economico. Grazie ai server cloud e ai protocolli VPN open source, è facile creare alcuni server. Diavolo, ho creato la mia VPN ed è stato il lavoro di forse 30 minuti. Ora, il mio aveva un solo server e non le migliaia di server in più posizioni offerti dai principali attori, ma la bassa barriera all'ingresso ha sicuramente reso più facile l'ingresso nel mercato degli attori cattivi.

Il problema per gli imprenditori VPN non sta costruendo il prodotto, ma sta spingendo le persone a comprarlo. È qui che entra in gioco il marketing di affiliazione. Wikipedia definisce il marketing di affiliazione il migliore: "in cui un'azienda premia uno o più affiliati per ogni visitatore o cliente portato dagli sforzi di marketing dell'affiliato". Se ti sei mai chiesto perché ci sono 10 milioni di siti con URL che sono una combinazione di "VPN" e "Revisione" o perché ogni sito da CNet a Wirecutter ha iniziato a rivedere le VPN, è a causa del marketing di affiliazione.

Come accennato in precedenza, la società madre di PCMag j2 Global ha appena stabilito una connessione al mercato VPN con l'acquisto di IPVanish e StrongVPN il mese scorso. E come CNET, Wirecutter, Tech Radar, The Verge e molti altri, anche PCMag partecipa a un programma di affiliazione. Ma i nostri analisti (sono io) sono stipendiati e non ricevono un taglio di denaro generato dalle nostre recensioni. Inoltre, siamo intenzionalmente ignorati dagli accordi commerciali tra i nostri datori di lavoro e fornitori e abbiamo una rigorosa politica di integrità editoriale. Ciò significa che collaudo ampiamente le VPN, pubblico recensioni con valutazioni basate sui risultati dei test effettivi e che i miei editori sostengono le mie scoperte e le difendono, indipendentemente dall'influenza del fornitore. A volte le aziende non sono d'accordo con le nostre recensioni, spesso è un catalizzatore per migliorare i loro prodotti.

Ciò non è necessariamente vero per altri siti e una buona parte dei siti di recensioni VPN sembrano essere aziende di marketing di affiliazione con dubbi dubbi sull'integrità editoriale. Pubblicando contenuti ottimizzati per la SEO, questi siti trasferiscono i bulbi oculari alle pagine e raccolgono i soldi degli affiliati.

Per essere chiari: ci sono buone recensioni VPN là fuori da siti come PCMag che si affidano alla loro reputazione di autorità. Altri sono solo post vuoti che vendono analisi sciatte, o, peggio ancora, forse puramente pay-per-play. I programmi di affiliazione possono consentire comportamenti scorretti. Nel caso delle VPN, ciò rende ancora più difficile setacciare le informazioni contrastanti su un determinato prodotto.

Di recente abbiamo avuto un soffio della putrefazione all'interno di questo settore quando il mio collega Michael Kan ha indagato su TheBestVPN.com. Quel sito, guidato da un individuo con un set di nomi sempre mutevole, ha cercato in modo aggressivo backlink da altri siti per aumentare le classifiche di ricerca, che a sua volta hanno ottenuto il sito più visitatori e più dollari di affiliazione. I suoi sforzi ebbero un enorme successo, scalando i risultati della ricerca e guadagnando collegamenti anche da PCMag. Ora, non sappiamo se il contenuto prodotto su TheBestVPN (o una qualsiasi delle sue altre incarnazioni) è falso, ma non sembra buono se il proprietario (e forse l'unico dipendente) non può mettere il suo nome sul lavoro o difenderlo quando facciamo domande.

Fidarsi ma verificare

Il giornalismo di consumo affronta continuamente questo problema. Solo il fornitore sa quali sono i loro processi e ciò rimane vero a meno che non vengano divulgate informazioni, le forze dell'ordine vengano coinvolte o verificate da terze parti intelligenti e affidabili. Penso che le aziende VPN lo sappiano e questo ha aiutato la proliferazione di prodotti VPN legittimi e fasulli.

Nel mio lavoro, la mia soluzione è stata quella di chiedere direttamente alle aziende VPN le loro pratiche e politiche. Certo, possono mentirmi (e alcuni probabilmente lo fanno), ma se devono mentire, possono essere catturati mentendo. Ciò di cui abbiamo bisogno ora è un mezzo per farlo.

• I migliori servizi VPN per il 2019 I migliori servizi VPN per il 2019
• Difetti della privacy sopracitati nelle app VPN gratuite su Google Play Difetti della privacy sopracitati nelle app VPN gratuiti su Google Play
• Come un sito di revisione VPN domina la ricerca di Google con una truffa Come un sito di revisione VPN domina la ricerca di Google con una truffa

C'è un'opportunità qui per le aziende VPN per riparare il proprio settore. Se i principali attori si unissero, accettassero una serie di principi tecnici ed etici e fornissero metodologie per verificare tali principi, quasi tutti questi problemi sparirebbero. Penso che l'industria si stia avvicinando a questo futuro, dal momento che sempre più aziende impiegano tester di terze parti per controllare i propri prodotti e rilasciare pubblicamente i risultati.

È tempo di ripulire l'industria

Temo che la confusione e il vetriolo che circonda le VPN renderanno il mercato insostenibile. Tutte le società, ma soprattutto le società di sicurezza, devono fare affidamento sui clienti che credono di essere buoni attori. La loro reputazione è affar loro. Quando i clienti non si fidano più di un prodotto, non lo usano e quando non si fidano di un settore, lo abbandonano. Considera di nuovo le aziende antivirus. Pratiche abusive e ingegneria sciatta negli anni '90 hanno portato a un pubblico sospettoso di questa intera categoria di prodotti - e giustamente. Quando il pubblico aveva più bisogno di protezione, l'industria non è riuscita a soddisfare tali aspettative e ha pagato un prezzo elevato. Ci sono ancora persone là fuori che acquistano la scuola di cospirazione "Le società antivirus realizzano effettivamente i virus".

Allo stesso modo, quando le società VPN finanziano direttamente o indirettamente siti di recensioni fasulle, generano disinformazione e fanno affidamento sull'opacità per vendere i loro prodotti, avvelenano il bene della fiducia dei consumatori. Man mano che l'atmosfera attorno alle VPN diventa più tossica, sempre più clienti si sentiranno frustrati e si arrenderanno del tutto. E questo è un peccato, perché nell'era di Internet, tutti hanno bisogno di una VPN. Piuttosto che correre verso il basso, l'industria deve ora essere saggia, prima che sia troppo tardi.