Software

Tunnelbear VPN – Recensione

Viviamo in un’epoca in cui la competizione è selvaggia e in cui ogni azienda ha ameno una dozzina di competitor, qualunque sia il settore in cui opera. Qualcuno cerca di prevalere con il servizio, altri con le tariffe, altri ancora con le promozioni e poi c’è qualcuno che tenta di buttarla in caciara, come dicono a Roma, ovverosia tenta di gettare fumo negli occhi dei consumatori, sperando che questi ultimi si lascino influenzare da un approccio commerciale particolarmente aggressivo. A quanto pare il mercato delle VPN (Virtual Private Network) non fa eccezione e Tunnelbear è il perfetto rappresentante di un approccio di marketing basato sul principio secondo cui l’attacco (dei servizi altrui) sarebbe la miglior difesa.

Sì, perché, come avremo modo di vedere nel corso di questa recensione, Tunnelbear non eccelle in nessun ambito, rispetto ai prodotti rivali, ma cerca di farlo con stile, vantandosi di aver effettuato rigorosi crash test delle proprie app e ai propri plugin, affidandosi a una terza parte, la teutonica Cure 53, che ne avrebbe certificato l’affidabilità.

A questo punto della narrativa, il sito di Tunnelbear inserisce una provocazione: perché anche le altre aziende del settore non fanno altrettanto? Non è forse importante garantire sicurezza ai propri utenti? La risposta è sì, ovviamente, ma c’è da capire se poi questa presunta sicurezza ci sia tutta, o solo in parte (come per ogni altro servizio del genere, del resto). Per ora lasciamo la questione in sospeso, riservandoci di riprenderla più avanti.

Piani e prezzi e TunnelBear

Come già detto, i prezzi NON sono uno dei punti di forza di Tunnelbear, che sotto questo profilo si adagia in un’aurea mediocritas rispetto alla media del mercato. Se volete un mese soltanto pagate 9.99 dollari americani (con rinnovo automatico a fine mese, salvo disdetta), per un anno la tariffa si dimezza, scendendo a 4,99 dollari, come sempre fatturati in anticipo (in pratica si paga poco meno di 60 dollari all’anno), se invece comprate tre anni, risparmiate un’ulteriore 33%, facendo scendere la quota mensile a 3,33 dollari (ma dovete scucire 120 dollari sull’unghia). In quest’ultimo caso vi regalano anche una licenza triennale del password manager RememBear, un software di buon livello, ma anch’esso con numerose valide alternative sul mercato (alcune delle quali gratuite).

Tutte le offerte sono più o meno in linea con il mercato. Express VPN, per esempio, è sicuramente più costoso (6,35 €/mese) , ma il periodo di impegno massimo richiesto sono 15 mesi e quindi gli utenti finiscono per sborsare ben 30 euro in meno. Il servizio sul mese singolo, l’unico raffrontabile, costa più o meno la stessa cifra. Di contro Cyberghost VPN costa sempre 30 euro in meno, ma addirittura sui tre anni.

» Clicca qui per controllare tutte le offerte VPN

Una cosa interessante comunque c’è: Tunnelbear offre un piano multiutente che, a un prezzo superiore alla media (5.75 dollari/mese per singolo utente) consente di moltiplicare le connessioni disponibili, che altrimenti sarebbero una delle note dolenti di questo prodotto.

» Clicca qui per sottoscrivere TunnelBear VPN «

Privacy

Di tutte le voci, questa sinceramente è quella che mi ha lasciato più perplesso. Tunnelbear, infatti, è un’azienda canadese, quindi creata in uno dei paesi fondatori del gruppo 5 Eyes (che hanno accettato di condividere, tra le altre cose, dati sul traffico Internet dei propri cittadini), partecipata dalla multinazionale britannico/statunitense McCafee (il cui fondatore ha avuto varie traversie legali, poi per sua fortuna risoltesi, tanto da consentirgli di partecipare alle primarie statunitensi nel 2015).

Ovviamente anche Tunnelbear pratica una politica No Log, ma un po’ sui generis. Tanto per cominciare l’anonimato totale non è previsto: si può pagare solo con carta di credito e dati come la mail, il cognome, e il termine di validità della vostra carta vengono memorizzati (per finalità antifrode), mentre altri possono essere ottenuti dal team in qualunque momento interrogando servzi di terzi e tra questi ci sono l’indirizzo fisico del possessore della carta e addirittura l’indirizzo IP da cui è stato effettuato il pagamento. Essendo che la sede legale dell’azienda è in Canada, ciò significa che questi dati sono potenzialmente dati in pasto ai servizi di sicurezza canadesi e ai loro consorziati 5-Eye (USA, UK, Australia e Nuova Zelanda) in automatico, a prescindere dalla sussistenza di eventuali notizie di reato. Vero che, come si dice, “male non fare/paura non avere”, ma siccome uno in teoria si avvale di una VPN proprio per mantenere l’anonimato, non si capisce più che senso abbia pagare per mantenere un livello di anonimato solo leggermente superiore a quello dell’open browsing. Anche perché Tunnelbear conserva anche altri dati operativi (che includono per esempio la versione del vostro sistema operativo, l’informazione sulle vostre connessioni e il quantitativo di GB scaricati) per 30 giorni, mentre i metadati sulle vostre navigazioni vengono conservati addirittura per 60 giorni.

Ad ogni buon conto, se avete curiosità di conoscere quello che Tunnelbear traccia di voi, potete sempre aprire la tab Privacy, all’interno della app.

Quanto al resto, Tunnelbear utilizza un algoritmo di crittazione AES a 256-bit (lo stesso di Whatsapp, per intenderci), ma non vengono menzionati altri protocolli di sicurezza, laddove alcuni competitor vantano oltre al su citato algoritmo anche protocolli di livello militare.

Tunnelbear, comunque, utilizza un sistema di autenticazione dei dati che dovrebbe prevenire gli attacchi “man-in-the-middle” e, in caso di necessità particolari (vedi: censura di alcuni stati o di alcune organizzazioni), mette a disposizione una versione potenziata della sua app definita Ghostbear, disponibile su Windows, macOS e Android. Anche se, su quest’ultimo aspetto, pesa comunque quanto detto in apertura di questa sezione: non c’è anonimato che tenga, se è il gestore stesso a fornire i dati che conserva ai richiedenti (e se si è soggetti a una particolare giurisdizione, è impossibile opporsi alle leggi a essa relative), anche se immaginiamo che probabilmente Tunnelbear potrebbe opporsi a richieste in tal senso provenienti dal governo cinese o russo.

E chiudiamo con il famoso Audit di Cure 53, che Tunnelbear fa effettuare a partire dal 2017 e i cui risultati sono pubblicati sul sito ufficiale dell’azienda esaminante (un team di white hat tedeschi che lavorano per certificare grandi aziende nell’ambito della sicurezza informatica, sono diventati famosi dopo aver fatto chiudere una app del governo coreano, in quanto a detta loro assolutamente non sicura). Il report in apertura recita quanto segue: “Nel giugno 2018, otto membri di Cure53 hanno passato trentaquattro giorni sui target del test (n.d.r.: falle di sicurezza già emerse nell’indagine del 2017) rilevando 22 punti rilevanti per la sicurezza”. Ometto di entrare qui nel dettaglio, rimandando chi è interessato alla lettura del report, mi limito a sottolineare che, nei ventidue punti ci sono 2 falle definite “critiche” dagli esaminatori, che riguardano il client OSX e Windows, che potrebbero consentire a un hacker di diventare amministratore del computer degli utenti.

Un’altra falla “grave” su OSX consentirebbe a un hacker di sfruttare le chiamate tra un processo e un altro (XPC calls) per autenticarsi come guest del sistema e, in un secondo momento, tentare una scalata all’autenticazione da amministratore. E di queste falle gravi ce ne sono altre quattro. Tra le falle di media entità, poi, è certificato il leaking della VPN (non proprio una robetta da nulla) e persino le falle di bassa gravità non sono bazzecole (per esempio un hacker potrebbe “hostare contenuto arbitrario su un sottodominio di TunnelBear”). E, dulcis in fundo, dal momento che Tunnelbear utilizza cookie per gestire informazioni (più o meno anonime) dei suoi clienti, anche questi ultimi hanno dimostrato vari tipi di vulnerabilità (dalla intercettabilità delle informazioni alla possibilità di attacchi basati su cookie di dimensioni anomale…).

Insomma: il tanto sbandierato report che dovrebbe certificare la bontà di Tunnelbear, a leggerlo bene, sembra piuttosto un bollettino di guerra.

Valeva la pena di farsi certificare, se questi sono i risultati?

Prestazioni

Anche sotto il profilo delle prestazioni Tunnelbear risulta molto al di sotto della media. Anzitutto si può scegliere la location, ma non il server, quindi non è nemmeno dato sapere di quanti server l’azienda disponga effettivamente.

In seconda battuta le location sono soltanto 23, contro i numeri ben maggiori che possono vantare altri servizi analoghi, per esempio Express VPN ha server in più di 90 nazioni, SurfShark dispone di 1.040 Server in oltre 60 nazioni, Cyberghost ha più di 6.100 server in 89 paesi… insomma, sotto questo profilo è davvero meglio non fare paragoni.

Ma le cattive notizie non finiscono qui: Tunnelbear infatti, non offre nessun servizio per “sbloccare” contenuti dalle streaming tv. Nemmeno da quelle principali. Per quanto attiene al torrenting, invece, l’azienda si limita a indicare che “dovrebbe” funzionare e che, nel caso non funzionasse, è meglio connettersi ai server di alcune nazioni particolari, ma anche in questo caso, senza nessuna garanzia. Non è poi prevista nessuna opzione di configurazione per modem/router o piattaforme NAS, né alcuna opzione per l’acquisto di un IP statico.

Anche la velocità di connessione è una nota dolente. Le velocità rilevate su Tunnelbear sono tra le più basse del mercato, anche considerando i server geograficamente più vicini (che l’azienda raccomanda vivamente di usare, visto che non garantisce le prestazioni su quelli più lontani). Si scende dalla vetta dei 39 Mbps in download/8 Mbps in upload dei server svizzeri (probabilmente tra i più scarichi) ai 5 Mbps in download/8 Mbps in upload dei server più lontani come US, ma anche UK che tutto sommato tanto lontana non è. Anche i tempi di latenza, pur essendo vicini alla media, triplicano quasi sui server più lontani. D’altro canto è pur vero che la velocità può anche non servire, se tanto non puoi usare servizi di streaming o di torrenting…

Chiude questa sequela di contro il numero di device contemporaneamente collegabili: soltanto 5, valore che si attesta sulla media più bassa del mercato. Per esempio per Cyberghost sono 7, illimitati per Surfshark, 6 per NordVPN, 10 per PrivateInternetAccess. Anche ExpressVPN si attesta sul limite dei 5, ma con un servizio che non è neanche lontanamente paragonabile, sia in termini di velocità (mediamente quasi il doppio di quella di Tunnelbear) che di opzioni aggiuntive (già solo per dirne un paio: servizi di streaming dedicati, anche per eventi sportivi e “live” e configurazioni dedicate per router e per server).

È pur vero che Tunnelbear è una delle poche aziende a offrire un servizio multiutente, ma attenzione, perché non è particolarmente economico e, impedendo di configurare i settaggi direttamente su un router (cosa che ovviamente moltiplicherebbe le possibilità di connessione), di fatto rende questa opzione indispensabile in un ambito di domotica spinta o di utenza aziendale.

App e Installazione

Uno dei pro di Tunnelbear è la semplicità delle interfacce delle proprie App, anche perché non è che ci sia molto da scegliere quando ci si collega: compare una mappa abbastanza stilizzata e “fumettosa” del mondo, con rappresentati dei tunnel nelle località in cui Tunnelbear è presente con dei server. Per collegarsi si sceglie il tunnel preferito e si aspetta di sentire un ruggito e vedere l’orso (che rappresenta l’utente) sbucare dall’uscita corrispondente. A quel punto è tutto fatto: il nostro traffico ha l’IP selezionato.

Il più grosso vantaggio, comunque, è quello della versione gratuita della app: mentre tutti quanti, infatti, utilizzano il principio del periodo di prova, terminato il quale, o si passa alla versione a pagamento, o si rinuncia al servizio, Tunnelbear assegna a ogni utente un tot di traffico (di base 500 MB), rinnovabile di mese in mese. Se poi si aderisce alla promo Twitter una volta ricevuto l’invito via app, tale limite viene addirittura triplicato. Questo onestamente è un unicum nel panorama delle VPN ed è l’unico elemento che veramente possa risultare decisivo per l’adozione di Tunnelbear, soprattutto in ambito mobile.

Verdetto

Da quanto detto finora, è chiaro che il giudizio complessivo su Tunnelbear debba essere alquanto articolato: da un lato il servizio a pagamento si attesta sulla media inferiore di quanto attualmente presente sul mercato, pur mantenendo alcuni indubbi punti di forza (la facilità di utilizzo primo fra tutti), dall’altro il servizio gratuito rappresenta sicuramente un unicum: 500 MB di traffico gratuito mensile, che possono anche diventare 1,5 GB (con l’unico obbligo di ritweettare un post) in questo momento non li offre nessun altro servizio VPN . Questa tra l’altro può costituire un’ottima introduzione al mondo delle VPN per tutti i neofiti, dimostrando come questo genere di prodotti non debbano per forza essere riservati solo al pubblico degli “smanettoni“, anche perché qualsiasi VPN, persino la meno blindata dal punto di vista della politica dei log, rappresenta un notevole passo avanti sul fronte privacy (almeno finché non ci si logga a qualche servizio). Perciò, se vi serve una intro soft per capire come una Virtual Private Network possa migliorare la vostra vita in navigazione, potrebbe valer la pena di dare un occhio alla app di TunnelBear per il vostro smartphone, che sia un Android o un iPhone.

» Clicca qui per sottoscrivere TunnelBear VPN