Pensate che la vostra privacy sia al sicuro solo perché usate un VPN reputato? Beh, fate un respiro profonda e preparate il caffè, perché questa volta il problema non è un leak di dati, ma un po’ di matematica troppo pigra.
Un ricercatore ha appena messo sotto la lente d’ingrandimento il funzionamento degli IP di uscita di Mullvad e quello che è emerso è da brividi per chiunque mastichi un po’ di codice. Nonostante Mullvad offra una varietà di IP per server per evitare i soliti ban, c’è un piccolo dettaglio: l’IP che vi viene assegnato non è casuale. È deterministico. In pratica, basandosi sulla vostra chiave WireGuard, il sistema vi assegna lo stesso IP ogni volta che vi connettete allo stesso server, finché la chiave non scade.
Ma la vera bomba è il ‘come’. Analizzando i dati, è emerso che gli IP non vengono scelti in modo sparso, ma seguono un pattern quasi matematico. Sembra che Mullvad utilizzi un generatore di numeri pseudo-casuali (RNG) con un seed fisso e che il calcolo dell’IP finale dipenda da un rapporto costante rispetto alla dimensione del pool di IP disponibili. In soldoni: se il server in Germania ti assegna un IP che si trova all’81° percentile del suo range, è molto probabile che anche il server in Australia faccia la stessa identica cosa.
Questo significa che, invece di avere trilioni di combinazioni uniche, ci troviamo di fronte a un numero di pattern estremamente limitato. Per un attaccante che sa dove guardare, questo è oro colato: è un vettore di fingerprinting perfetto. Se riesci a correlare questi pattern tra diversi server, puoi identificare lo stesso utente con una precisione spaventosa, quasi come se avessi un codice a barre invisibile sulla testa.
Da smanettone, trovo la cosa affascinante a livello di debugging, ma un disastro per la sicurezza. È il classico caso in cui un dev, probabilmente concentrato su altro (forse stava scrivendo un altro modulo in Rust, visto che il client lo usa), ha sottovalutato come la gestione dei bound in un modulo RNG possa creare pattern prevedibili. È un errore che capita anche ai migliori, ma quando il tuo prodotto è la privacy, l’imprevisto non è un’opzione.
Cosa possiamo imparare? Se usate Mullvad (o qualsiasi altro servizio), la lezione è semplice: non fidatevi del solo cambio di server. Se non cambiate la vostra identità alla base, il pattern rimane. La soluzione? Rotate le chiavi, cambiate i parametri e, se potete, forzate un reset della sessione che scardini questi pattern prevedibili. La sicurezza non è mai un set-and-forget, è una battaglia costante contro l’entropia (o la sua mancanza).