vpn

Mullvad è sicuro? Analisi di sicurezza, privacy e audit

Mullvad è sicuro? Risultati degli audit indipendenti, protocolli di crittografia, analisi della giurisdizione, test del kill switch e verifica della politica no-log.

VPN.com Editorial Team · ·9 min di lettura

Mullvad è sicuro? Una valutazione diretta

Mullvad ottiene 86/100 nel nostro indice di fiducia. Opera sotto la giurisdizione svedese, applica una tariffa fissa di €5/mese senza account, e garantisce una politica no-log verificata. Audit indipendenti condotti da Cure53 e Assured AB hanno confermato vulnerabilità minime. Mullvad non conserva alcun log di connessione, dato sul traffico o informazione personalmente identificabile sui suoi 700+ server in oltre 50 paesi.

Giurisdizione svedese e richieste legali di dati

La Svezia fa parte dell’alleanza di condivisione di intelligence dei 14 Eyes. A prima vista, ciò può sembrare preoccupante. In pratica, il quadro giuridico racconta una storia più sfumata per i provider VPN.

La legge svedese non obbliga le aziende VPN a conservare i dati degli utenti. Mullvad non ha alcun obbligo obbligatorio di conservazione dei dati ai sensi delle attuali normative svedesi sulle telecomunicazioni. Ciò significa che le autorità possono emettere richieste, ma Mullvad non ha nulla di memorizzato da consegnare.

Nell’aprile 2023, la polizia svedese ha fatto irruzione fisicamente nell’ufficio di Mullvad a Göteborg con un mandato di perquisizione. Gli agenti intendevano sequestrare computer contenenti dati dei clienti. Il personale di Mullvad ha spiegato che nessun dato dei clienti esisteva su nessuna macchina, e la polizia se ne è andata a mani vuote. Quel test nel mondo reale ha dimostrato che la politica no-log regge anche sotto pressione legale.

Storia degli audit indipendenti

Mullvad ha completato più audit di sicurezza condotti da terze parti. Ogni audit ha esaminato parti diverse dell’infrastruttura e delle applicazioni client.

Audit Cure53 (2020)

Cure53, una società di penetration testing con sede a Berlino, ha condotto un audit delle app VPN di Mullvad nel 2020. Il team ha identificato 7 vulnerabilità in totale: 2 valutate con gravità media, 5 con gravità bassa. Mullvad ha corretto tutti i 7 problemi prima di pubblicare il rapporto completo dell’audit pubblicamente sul suo sito web.

Audit Assured AB (2023)

Assured AB ha condotto un audit dell’infrastruttura dei server e dei sistemi interni di Mullvad nel 2023. La valutazione ha riguardato le configurazioni dei server, l’implementazione della crittografia e le procedure di gestione dei dati. I risultati hanno confermato che l’infrastruttura di Mullvad corrispondeva alle sue dichiarazioni pubbliche di no-log. Nessuna vulnerabilità critica è stata scoperta durante questo incarico.

Audit app Cure53 (2023)

Cure53 è tornata per un secondo ciclo nel 2023, concentrandosi sul codice aggiornato delle app. Questo follow-up ha trovato meno problemi rispetto all’audit del 2020. Mullvad ha affrontato tutte le scoperte e ha nuovamente rilasciato il rapporto completo per la revisione pubblica.

La pubblicazione di rapporti di audit completi è insolita nel settore VPN. Mullvad non oscura i risultati né seleziona solo quelli favorevoli. Questa trasparenza aggiunge un peso significativo alle sue dichiarazioni di sicurezza.

Politica di logging: cosa conserva e cosa non conserva Mullvad

Dati che Mullvad non raccoglie

Mullvad non registra dati sul traffico, timestamp di connessione, durata delle sessioni o indirizzi IP. Non conserva query DNS, record di utilizzo della larghezza di banda o assegnazioni di server VPN. L’attività dell’account rimane completamente scollegata dal comportamento di navigazione o dai metadati di connessione.

Dati che Mullvad elabora

Mullvad elabora il numero totale di connessioni simultanee per account (limitato a 5). Questo contatore esiste in tempo reale e non viene scritto in nessuna memoria persistente. Nel momento in cui ci si disconnette, il contatore si decrementa. Non persiste alcuna registrazione storica.

Mullvad elabora anche dati aggregati a breve termine sul carico dei server per l’ottimizzazione delle prestazioni. Questi dati non contengono alcuna informazione identificabile dall’utente e ruotano automaticamente.

Il sistema degli account

Mullvad genera un numero di account casuale a 16 cifre. Non è richiesta email, nome o password. Si può pagare con contanti inviati in una busta, Bitcoin o Monero. Questo design elimina completamente le informazioni personalmente identificabili dal processo di registrazione.

Standard di crittografia e protocolli

Mullvad supporta due protocolli: WireGuard e OpenVPN. Entrambe le implementazioni utilizzano standard crittografici robusti e ben esaminati.

Implementazione WireGuard

WireGuard utilizza ChaCha20 per la crittografia simmetrica, Curve25519 per lo scambio di chiavi e BLAKE2s per l’hashing. Mullvad utilizza WireGuard come impostazione predefinita su tutte le piattaforme. Gli handshake di connessione si completano in meno di 100 millisecondi sulla maggior parte delle reti.

Implementazione OpenVPN

Le connessioni OpenVPN utilizzano AES-256-GCM per la crittografia del canale dati. Lo scambio di chiavi si basa su certificati RSA-4096 con autenticazione SHA-512. Mullvad configura OpenVPN con tls-auth per prevenire il fingerprinting e gli attacchi DDoS al tunnel VPN.

Tunnel resistenti al quantum computing

Mullvad ha aggiunto lo scambio di chiavi post-quantum ai tunnel WireGuard nel 2023. Questa funzionalità sovrappone la key encapsulation di Classic McEliece e Kyber alla crittografia WireGuard standard. Mullvad è stato il primo VPN commerciale a distribuire questa funzionalità su tutte le piattaforme desktop.

Kill switch e protezione dai DNS leak

Comportamento del kill switch

Il kill switch di Mullvad si attiva per impostazione predefinita su tutte le piattaforme. Blocca tutto il traffico internet quando il tunnel VPN cade inaspettatamente. L’implementazione opera a livello di firewall, non a livello applicativo. Questo previene le fughe anche se l’app Mullvad si blocca completamente.

Su Linux, Mullvad utilizza regole nftables per imporre il blocco del traffico. Su Windows, modifica la Windows Filtering Platform. Su macOS, utilizza regole di packet filter. Ogni implementazione previene simultaneamente le fughe sia IPv4 che IPv6.

Protezione dai DNS leak

Mullvad instrada tutte le query DNS attraverso i propri server DNS crittografati. L’app blocca le richieste DNS di sistema che tentano di bypassare il tunnel. Mullvad gestisce server DNS in ogni posizione del server VPN, risolvendo le query localmente senza inoltrarle a terze parti.

Gli utenti possono anche configurare DNS personalizzati all’interno dell’app. Anche con DNS personalizzato, le query viaggiano comunque all’interno del tunnel crittografato. I test di leak indipendenti mostrano costantemente zero fughe DNS, WebRTC o IPv6 su tutti i client Mullvad.

Incidenti di sicurezza passati

Irruzione della polizia (aprile 2023)

Sei agenti della Polizia Nazionale Svedese sono entrati nell’ufficio di Mullvad a Göteborg. Disponevano di un mandato di perquisizione del tribunale distrettuale in cerca di informazioni sui clienti. Il CEO di Mullvad ha spiegato che l’azienda non conserva dati sui clienti. La polizia non ha sequestrato nessuna apparecchiatura ed è andata via dopo che il team legale di Mullvad ha contestato l’applicabilità del mandato.

Nessuna violazione dei dati nota

Fino all’ultimo ciclo di audit, Mullvad non ha segnalato alcuna violazione dei dati. Nessun dato utente è apparso in database trapelati. Nessun attacco di credential stuffing è applicabile perché Mullvad non utilizza password o indirizzi email. Il sistema di numero account a 16 cifre riduce sostanzialmente la superficie di attacco.

Divulgazioni di vulnerabilità

Mullvad mantiene un approccio attivo al bug bounty e pubblica avvisi di sicurezza sul suo blog. Tutte le vulnerabilità trovate durante gli audit hanno ricevuto patch entro settimane dalla scoperta. L’azienda non ha subito alcuno sfruttamento zero-day della sua infrastruttura di produzione.

Funzionalità di sicurezza uniche

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad ha sviluppato DAITA per contrastare gli attacchi di analisi del traffico. Questa funzionalità imbottisce i pacchetti a dimensioni uniformi e inietta pattern di traffico fittizi. Impedisce agli avversari di identificare quali siti web visitano gli utenti basandosi sulle impronte del traffico.

DNS cifrato Over HTTPS (DoH)

Mullvad offre un servizio DoH pubblico su dns.mullvad.net. Gli utenti possono crittografare le query DNS anche senza VPN attiva. Il servizio include profili DNS opzionali per il blocco di annunci e tracker.

Server diskless solo RAM

Mullvad gestisce l’intera flotta di server in modalità solo RAM. Nei server non esistono hard disk. Ogni riavvio cancella completamente tutti i dati. Questa architettura garantisce che i sequestri fisici dei server non producano informazioni utilizzabili.

Routing multihop

Gli utenti possono instradare il traffico attraverso 2 server VPN separati in paesi diversi. Questo aggiunge un secondo livello di crittografia e separa il punto di ingresso dal punto di uscita. Il multihop è configurabile direttamente all’interno dell’app senza configurazione manuale.

Domande frequenti

Mullvad conserva i log?

Mullvad non conserva log persistenti. Nessun log di traffico, timestamp di connessione, indirizzo IP o dato di sessione tocca la memoria su disco. Due audit indipendenti hanno verificato questa affermazione. L’infrastruttura di server solo RAM garantisce che anche i dati temporanei scompaiano al riavvio. L’irruzione della polizia del 2023 ha confermato che non esistevano dati utente da sequestrare.

Mullvad è mai stato violato?

Mullvad non è mai stato violato. Nessuna violazione dei dati o evento di accesso non autorizzato è stato segnalato pubblicamente o scoperto durante gli audit. Il sistema di account senza password e i server solo RAM riducono la superficie di attacco al di sotto dei tipici provider VPN. Cure53 non ha trovato vulnerabilità critiche né durante l’audit del 2020 né durante quello del 2023.

Mullvad è affidabile?

Mullvad dimostra affidabilità attraverso audit indipendenti ripetuti, piena trasparenza dei rapporti e un test legale nel mondo reale. L’azienda pubblica apertamente il suo codice sorgente su GitHub. Accetta pagamenti anonimi in contanti. Ha superato una perquisizione della polizia senza cedere alcun dato. Queste azioni verificate hanno un peso maggiore rispetto alle promesse di marketing.

Mullvad può vedere i miei dati?

Mullvad non può vedere i tuoi dati di navigazione. Il traffico all’interno del tunnel VPN utilizza la crittografia AES-256 o ChaCha20. I server di Mullvad elaborano pacchetti crittografati ma non ispezionano, registrano o conservano contenuti. L’architettura solo RAM impedisce che qualsiasi dato di elaborazione temporanea persista oltre la sessione attiva.

Considerazioni finali sulla sicurezza di Mullvad

Mullvad guadagna il suo punteggio di fiducia di 86/100 attraverso l’architettura, non le promesse. Server solo RAM, anonimato degli account, rapporti di audit pubblicati e un esito verificato di un’irruzione della polizia lo distinguono dalla concorrenza. La tariffa fissa di €5/mese senza prove o sconti riflette un’azienda focalizzata sul servizio piuttosto che sul volume di abbonati. Per gli utenti che privilegiano la verifica della privacy rispetto al numero di funzionalità, Mullvad rimane una delle opzioni più solide disponibili sui suoi 700+ server in oltre 50 paesi.