Чому вам потрібен VPN, щоб зберігати безпеку на загальнодоступній WiFI (HTTPS недостатньо)

Більшість веб-сайтів зараз використовують HTTPS для шифрування зв’язку та додавання додаткового рівня захисту вашим даним. Але якщо ви перебуваєте на загальнодоступному Wi-Fi, використання HTTPS без VPN означає, що частина ваших даних все ще буде вразливою.


Редагувати: Ранішу версію цього допису в блозі можна було зрозуміти неправильно, оскільки це означає, що TLS 1.2 був порушений. Ми видалили розділ, який може спричинити заплутаність.

Захищений протокол передачі гіпертексту або HTTPS шифрує трафік між вашим пристроєм та веб-сайтом, утруднюючи зловмисників важко спостерігати за обмінюваною інформацією. Він також надає підписи або сертифікати HTTPS, які дозволяють вам переконатися, що сайт, на якому ви перебуваєте, керує той, хто заявляє, що це. HTTPS став стандартною функцією безпеки майже для всіх веб-сайтів.

Якщо HTTPS шифрує ваше з’єднання із сайтом, то чи не є безпечним Wi-Fi? На жаль, HTTPS не шифрує всі ваші дані, як-от запити DNS. Якщо ви користуєтесь загальнодоступним Wi-Fi без VPN, ви піддаєте себе ризику.

Як працює HTTPS

HTTPS використовує протокол безпеки транспортного рівня (TLS) для забезпечення зв’язку між веб-браузером та веб-сайтом. Протокол – це просто набір правил та інструкцій, які регулюють, як комп’ютери спілкуються один з одним. Протокол TLS є основою забезпечення онлайн-з’єднань. Саме це дозволяє вводити дані для входу, переглядати веб-сайти чи здійснювати Інтернет-банкінг, не бачивши вмісту інших.

TLS використовує криптографію приватного ключа. Ключ – це просто код для комп’ютерів, які беруть участь у передачі повідомлень, а приватний ключ – той, який не відкритий для загального користування. Щоб забезпечити цілісність їх з’єднання, ваш веб-переглядач та Інтернет-сервер ініціюють «рукостискання», поділившись відкритим ключем. Як тільки рукостискання встановлено, сервер і браузер узгоджують приватні ключі для шифрування вашого з’єднання. Кожне з’єднання генерує власний унікальний приватний ключ, і з’єднання шифрується до передачі єдиного байту даних. Після шифрування зловмисники не можуть контролювати або змінювати зв’язок між веб-браузером та веб-сайтом, не виявляючи їх.

TLS також постачає цифрові сертифікати, що підтверджують автентифікацію веб-сайтів і повідомляють вам, що дані надходять із надійного джерела (або з сайту, який претендує на їх наявність). Цифровий сертифікат видається органом із сертифікації.

Ця система все ще має певні вразливості, про що ми поговоримо нижче, але вона вважається безпечною. Перша вразливість, яку використовує загальнодоступний WiFi без VPN, – це те, що TLS не захищає запити системи доменних імен (DNS) (поки що).

Що таке запит DNS?

Система доменних імен перетворює зручні для людини URL-адреси на числові IP-адреси, які комп’ютери можуть зрозуміти. Наприклад, щоб відвідати наш сайт, ви вводите URL-адресу www.protonvpn.com, але ваш комп’ютер сприймає це як [185.70.40.231]. Щоб знайти цей номер, ваш веб-браузер використовує дозвіл DNS, який зазвичай постачається постачальником послуг Інтернет. Подумайте про це рішення, як про побіжний засіб, який не поспішає перекласти URL-адресу веб-сайту, який ви хочете відвідати, на його IP-адресу..

Ваш запит DNS не шифрується. Зловмисник може спостерігати ваші запити DNS та відповіді вашої DNS-відповіді на них. Це призводить нас до першої атаки, яку ви можете зазнати, якщо ви користуєтесь загальнодоступним Wi-Fi без VPN: витоків DNS.

Витік DNS

Якщо хтось слідкував за вашими запитами DNS, у них з’явиться список усіх відвідуваних вами веб-сайтів, а також IP-адреса вашого пристрою. Зважаючи на слабку безпеку більшості загальнодоступних точок доступу до Wi-Fi, зловмисник буде досить просто отримати доступ до мережі та потім ввійти в систему DNS-запитів. Ваші дані все ще можуть опинитися під загрозою, навіть якщо немає зловмисника, оскільки дозвіл на загальнодоступний WiFi може зібрати ваші дані.

DNS підробка

Витік DNS дозволяє зловмиснику стежити за вашою діяльністю, але якщо зловмисник підробляє ваші запити DNS, він може перенаправити вас на шкідливий веб-сайт, який вони контролюють. Також відоме як отруєння DNS, це трапляється, коли зловмисник претендує на вашу рішучість DNS. Потім зловмисник підробляє IP-адресу для цільового веб-сайту та замінює його IP-адресою веб-сайту, який знаходиться під їх контролем. URL-адреса буде такою ж, як веб-сайт, який ви мали намір відвідати, але сайт буде під контролем зловмисника. Сучасні браузери, як правило, попереджають користувачів про те, що вони перебувають на сайті без HTTPS, і ця атака не працюватиме для сайтів HTTPS, які мають сертифікат.

Однак, залежно від підробки DNS, зловмисник може відправити вас на сайт з дещо іншою URL-адресою від тієї, яку ви мали намір відвідати. Подумайте “protomvpn.com” замість “protonvpn.com”. Більше того, цей тип підроблених сайтів може використовувати HTTPS і мати дійсний сертифікат. Поруч із адресою ваш веб-переглядач відображатиме зелений замок, що ускладнює його виявлення.

Пунікод

На жаль, останніми атаками на Punycode хакери знайшли спосіб зробити два веб-сайти з однаковою URL-адресою та дійсним сертифікатом HTTPS. Punycode – це тип кодування, який використовується веб-браузерами для перетворення всіх різних символів Unicode (наприклад, ß, 竹 або Ж) в обмежений набір символів (A-Z, 0-9), підтримуваний міжнародною системою доменних імен. Наприклад, якщо китайський веб-сайт використовував домен “竹 .com” в Punycode, він буде представлений “xn--2uz.com”.

Зловмисники виявили, що якщо ви скасуєте процес і введете символи Punycode як домен, якщо всі символи є з одного набору символів іноземної мови, а домен Punycode точно відповідає цільовому домену, то браузери відображатимуть його у Нормальна мова орієнтованого домену. У прикладі, використаному в статті Hacker News, зв’язаній вище, дослідник зареєстрував домен “xn--80ak6aa92e.com”, який з’явився як “apple.com”. Дослідник навіть створив цей підроблений яблучний сайт, щоб продемонструвати, як важко розповісти сайти, використовуючи лише URL-адресу та інформацію HTTPS.

Як показує приклад дослідника, сайт Punycode може реалізувати HTTPS і отримати дійсний сертифікат, що дуже важко виявить, що ви знаходитесь на підробленому сайті. Тільки досліджуючи фактичні деталі сертифіката HTTPS, ви можете розмежовувати “xn--80ak6aa92e.com” та “apple.com”.

На щастя, багато браузерів вже вирішили цю вразливість, і більшість тепер адресуватиме цю адресу як xn--80ak6aa92e.com

Використовуйте VPN на загальнодоступному Wi-Fi

Це лише деякі вразливості, з якими ви стикаєтесь під час використання незахищеної загальнодоступної мережі WiFi. Навіть якщо ви відвідуєте законний сайт із належним чином застосованим HTTPS, він може містити зображення чи сценарії з сайтів, не захищених HTTPS. Потім зловмисник може використовувати ці сценарії та зображення, щоб доставити зловмисне програмне забезпечення на ваш пристрій.

Надійний VPN може захистити вас від усіх цих вразливих місць. VPN шифрує ваш трафік і здійснює маршрутизацію через VPN-сервер, тобто ваш постачальник послуг Інтернету (або власник шкідливої ​​точки доступу Wi-Fi) не може контролювати вашу активність в Інтернеті. Це додаткове шифрування захистить ваше з’єднання від атаки пониження TLS.  

Ретельні VPN-сервіси, як-от ProtonVPN, також запускають власні DNS-сервери, щоб вони могли шифрувати та обробляти ваші запити DNS. Програми ProtonVPN захищають вас від витоку DNS, змушуючи ваш браузер вирішувати запити DNS через наші DNS-сервери. Ми навіть захищаємо ваші запити DNS, якщо ви відключені. Наша функція перемикання миттєво блокує всі мережеві з’єднання, якщо ви від’єднані від VPN-сервера, не даючи вашим даним піддаватися.  

Безкоштовний VPN-план ProtonVPN пропонує кожному безкоштовний, простий спосіб захистити своє Інтернет-з’єднання від цих атак. З нашим безкоштовним сервісом VPN вам більше не доведеться використовувати загальнодоступний Wi-Fi без VPN.

З повагою,
Команда ProtonVPN

Twitter | Facebook | Reddit

Щоб отримати безкоштовний обліковий запис електронної пошти ProtonMail, відвідайте: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map