De ce ai nevoie de VPN pentru a rămâne în siguranță pe WiFI public (HTTPS nu este suficient)

Majoritatea site-urilor web utilizează acum HTTPS pentru a cripta conexiunea dvs. și pentru a adăuga un nivel suplimentar de protecție la datele dvs. Dar dacă sunteți pe WiFi public, utilizarea HTTPS fără VPN înseamnă că unele dintre datele dvs. vor fi în continuare vulnerabile.


Editare: O versiune anterioară a acestui post pe blog ar fi putut fi înțeleasă greșit, ceea ce presupune că TLS 1.2 a fost spart. Am eliminat secțiunea care poate provoca această confuzie.

Hypertext Transfer Protocol Secure, sau HTTPS, criptează traficul între dispozitivul dvs. și un site web, ceea ce îngreunează intrusii să observe informațiile care sunt distribuite. De asemenea, furnizează semnături sau certificate HTTPS, care vă permit să verificați dacă site-ul pe care vă aflați este condus de către cine pretinde că este. HTTPS a devenit o caracteristică de securitate standard pentru aproape toate site-urile web.

Dacă HTTPS vă criptează conexiunea cu un site, atunci WiFi-ul public nu este sigur? Din păcate, HTTPS nu criptează toate datele dvs., cum ar fi întrebările DNS. Dacă utilizați WiFi public fără VPN, vă puneți în pericol.

Cum funcționează HTTPS

HTTPS utilizează protocolul Transport Layer Security (TLS) pentru a asigura conexiunea între un browser web și un site web. Un protocol este pur și simplu un set de reguli și instrucțiuni care guvernează modul în care calculatoarele comunică între ele. Protocolul TLS este coloana vertebrală a securizării conexiunilor online. Este ceea ce vă permite să introduceți datele de autentificare, să navigați pe site-uri sau să efectuați servicii bancare online, fără ca alții să vadă conținutul.

TLS folosește criptografia cu cheie privată. O cheie este pur și simplu un cod pentru computerele implicate în transmiterea mesajelor, iar o cheie privată este una care nu este deschisă publicului. Pentru a asigura integritatea conexiunii lor, browserul și serverul de internet inițiază o „strângere de mână” prin partajarea unei chei publice. După stabilirea strângerii de mână, serverul și browserul negociază chei private pentru a cripta conexiunea. Fiecare conexiune generează propria sa cheie privată unică, iar conexiunea este criptată înainte ca un singur octet de date să fie transmis. Odată ce criptarea este pusă la punct, intrusii nu pot monitoriza sau modifica comunicările dintre browserul web și site-ul web fără a fi detectate.

TLS furnizează, de asemenea, certificate digitale care autentifică datele de acreditare ale site-urilor web și vă anunță că datele provin dintr-o sursă de încredere (sau de pe un site care pretinde a fi unul singur). Un certificat digital este emis de o autoritate de certificare.

Acest sistem are încă anumite vulnerabilități, după cum vom discuta mai jos, dar este considerat sigur. Prima vulnerabilitate la care utilizează WiFi public fără VPN te expune este faptul că TLS nu protejează interogările sistemului de nume de domeniu (DNS) (încă).

Ce este o interogare DNS?

Sistemul de nume de domeniu traduce adresele URL prietenoase pentru oameni în adrese IP numerice pe care calculatoarele le pot înțelege. De exemplu, pentru a vizita site-ul nostru, introduceți adresa URL www.protonvpn.com, dar computerul îl vede ca [185.70.40.231]. Pentru a găsi acest număr, browserul dvs. web folosește ceea ce se numește rezolvator DNS, care este furnizat de obicei de furnizorul de servicii Internet. Gândiți-vă la această rezolvare ca la un sidekick care intervine în traducerea adresei URL a site-ului pe care doriți să îl vizitați pe adresa sa IP.

Cererea dvs. DNS nu este criptată. Un intrus poate observa întrebările DNS și răspunsurile rezolvatorului DNS la acestea. Acest lucru ne conduce la primul atac pe care l-ai putea suferi dacă folosești WiFi public fără VPN: scurgeri DNS.

Scurgere DNS

Dacă cineva ar monitoriza întrebările DNS, ar avea o listă cu toate site-urile pe care le-ați vizitat împreună cu adresa IP a dispozitivului. Având în vedere slaba securitate a majorității hotspoturilor publice publice, ar fi relativ simplu pentru un intrus să obțină acces la rețea și apoi să își înregistreze interogările DNS. Datele dvs. ar putea fi în continuare în pericol, chiar dacă nu există un intrus, deoarece rezolvarea de pe WiFi-ul public ar putea să recolteze datele în sine.

Spargere DNS

O scurgere DNS permite unui intrus să vă monitorizeze activitatea, dar dacă un atacator vă strică solicitările DNS, vă poate redirecționa către un site dăunător pe care îl controlează. Cunoscută și sub denumirea de intoxicații DNS, acest lucru se întâmplă atunci când un atacator pretinde a fi rezolvatorul dvs. DNS. Atacatorul apoi strică adresa IP a unui site web țintă și o înlocuiește cu adresa IP a unui site sub controlul lor. Adresa URL ar fi aceeași cu site-ul pe care intenționați să îl vizitați, dar site-ul ar fi sub controlul atacatorului. Navigatoarele moderne vor avertiza, în general, utilizatorii că se află pe un site fără HTTPS și acest atac nu va funcționa pentru site-urile HTTPS care au certificat.

Cu toate acestea, cu o variantă de difuzare DNS, un atacator vă poate trimite pe un site cu o adresă URL ușor diferită de cea pe care intenționați să o vizitați. Gândiți-vă la „protomvpn.com” în loc de „protonvpn.com”. Mai mult, acest tip de site fals poate folosi HTTPS și are un certificat valid. Browserul dvs. va afișa o blocare verde lângă adresă, ceea ce îngreunează detectarea.

punycode

Din păcate, cu atacurile Punycode recente, hackerii au găsit o modalitate de a realiza două site-uri web cu aceeași adresă URL și un certificat HTTPS valid. Punycode este un tip de codificare folosit de browserele web pentru a converti toate caracterele Unicode diferite (cum ar fi ß, 竹 sau Ж) în setul de caractere limitat (A-Z, 0-9) acceptat de sistemul internațional de nume de domeniu. De exemplu, dacă un site web chinez a folosit domeniul „竹 .com”, în Punycode, acesta ar fi reprezentat de „xn--2uz.com”.

Intrușii au descoperit că dacă inversați procesul și introduceți caractere Punycode ca domeniu, atât timp cât toate caracterele provin dintr-un singur set de caractere în limbi străine, iar domeniul Punycode este o potrivire exactă ca domeniu vizat, atunci browserele îl vor reda în Limbajul normal al domeniului vizat. În exemplul folosit în articolul The Hacker News, legat mai sus, un cercetător a înregistrat domeniul „xn--80ak6aa92e.com” care a apărut ca „apple.com”. Cercetătorul a creat chiar și acest site de măr fals pentru a demonstra cât de greu este de a spune site-urile în afară folosind informații URL și HTTPS singure.

După cum arată exemplul cercetătorului, un site Punycode poate implementa HTTPS și poate primi un certificat valid, ceea ce face foarte greu pentru tine să detectezi că te afli pe un site fals. Doar examinând detaliile reale din certificatul HTTPS puteți face diferența între „xn--80ak6aa92e.com” și „apple.com”.

Din fericire, multe browsere au abordat deja această vulnerabilitate și majoritatea ar arăta acum adresa ca xn--80ak6aa92e.com

Utilizați un VPN pe WiFi public

Acestea sunt doar câteva dintre vulnerabilitățile cu care vă confruntați atunci când utilizați o rețea WiFi publică nesigură. Chiar dacă vizitați un site legitim cu HTTPS aplicat în mod corespunzător, acesta ar putea conține imagini sau scripturi de pe site-uri care nu sunt protejate de HTTPS. Un atacator ar putea folosi apoi aceste scripturi și imagini pentru a livra malware pe dispozitivul dvs..

Un VPN de încredere vă poate proteja de toate aceste vulnerabilități. Un VPN criptează traficul dvs. și îl direcționează printr-un server VPN, ceea ce înseamnă că furnizorul dvs. de servicii Internet (sau proprietarul unui hotspot WiFi rău intenționat) nu vă poate monitoriza activitatea online. Această criptare suplimentară vă va proteja conexiunea de un atac de downgrade TLS.  

Serviciile VPN minuțioase, precum ProtonVPN, rulează și propriile servere DNS, astfel încât acestea să poată cripta și prelucra interogările DNS. Aplicațiile ProtonVPN vă protejează de o scurgere DNS, forțând browserul dvs. să rezolve întrebările DNS prin serverele noastre DNS. Vă protejăm chiar întrebările DNS dacă sunteți deconectat. Funcția noastră Kill Switch blochează instantaneu toate conexiunile de rețea dacă sunteți deconectat de la serverul dvs. VPN, astfel încât datele dvs. să nu fie expuse.  

Planul gratuit de VPN al ProtonVPN oferă tuturor un mod gratuit și simplu de a-și proteja conexiunea la Internet împotriva acestor atacuri. Cu serviciul nostru VPN gratuit, nu trebuie să utilizați niciodată WiFi public fără VPN.

Toate cele bune,
Echipa ProtonVPN

Twitter | Facebook | Reddit

Pentru a obține un cont de e-mail criptat ProtonMail gratuit, accesați: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map