Proč potřebujete VPN, abyste zůstali v bezpečí na veřejných WiFI (HTTPS nestačí)

Většina webových stránek nyní používá k šifrování připojení HTTPS a přidává k vašim datům další vrstvu ochrany. Pokud však používáte veřejné WiFi, používání HTTPS bez VPN znamená, že některá vaše data budou stále zranitelná.


Úpravy: Předchozí verze tohoto příspěvku na blogu mohla být nepochopena, což znamená, že TLS 1.2 byl porušen. Odstranili jsme sekci, která může způsobit tento zmatek.

Protokol Hypertext Transfer Protocol Secure (HTTPS) šifruje přenos mezi vaším zařízením a webem, což vetřelcům ztěžuje sledování sdílených informací. Poskytuje také podpisy nebo certifikáty HTTPS, které vám umožňují ověřit, že web, na kterém se nacházíte, je spuštěn, kým jej tvrdí. HTTPS se stal standardní bezpečnostní funkcí pro téměř všechny weby.

Pokud HTTPS šifruje vaše připojení k webu, není veřejné Wi-Fi bezpečné? HTTPS bohužel nešifruje všechna vaše data, například dotazy DNS. Pokud používáte veřejné WiFi bez VPN, vystavujete se riziku.

Jak HTTPS funguje

HTTPS používá protokol Transport Layer Security (TLS) k zabezpečení spojení mezi webovým prohlížečem a webem. Protokol je jednoduše soubor pravidel a pokynů, které určují, jak počítače spolu komunikují. Protokol TLS je páteří zabezpečení online připojení. To vám umožňuje zadat přihlašovací údaje, procházet webové stránky nebo provádět online bankovnictví, aniž by ostatní viděli obsah.

TLS používá kryptografii soukromého klíče. Klíč je jednoduše kód pro počítače zapojené do přenosu zpráv a soukromý klíč je takový, který není otevřený pro veřejnost. Váš prohlížeč a internetový server zahájí „handshake“ sdílením veřejného klíče, aby byla zajištěna integrita jejich připojení. Jakmile je navázáno handshake, server a prohlížeč vyjednají soukromé klíče pro šifrování vašeho připojení. Každé připojení generuje svůj vlastní jedinečný soukromý klíč a připojení je před přenosem jednoho bajtu dat šifrováno. Jakmile je šifrování zavedeno, nemohou vetřelci sledovat nebo upravovat komunikaci mezi webovým prohlížečem a webem, aniž by byli detekováni.

TLS také dodává digitální certifikáty, které ověřují pověření webových stránek a dají vám vědět, že data pocházejí z důvěryhodného zdroje (nebo z webu, který tvrdí, že jsou jedním). Digitální certifikát vydává certifikační úřad.

Tento systém má stále určité chyby zabezpečení, jak budeme diskutovat níže, ale je považováno za bezpečné. První zranitelnost, kterou vám veřejné Wi-Fi bez VPN vystavuje, je skutečnost, že TLS nechrání dotazy systému názvů domén (DNS) (zatím).

Co je dotaz DNS?

Systém názvů domén převádí adresy URL vhodné pro člověka na numerické adresy IP, kterým počítače mohou rozumět. Chcete-li například navštívit naše stránky, zadejte adresu URL www.protonvpn.com, ale váš počítač to vidí jako [185.70.40.231]. K nalezení tohoto čísla používá váš webový prohlížeč tzv. Překladač DNS, který obvykle poskytuje váš poskytovatel internetových služeb. Přemýšlejte o tomto resolveru jako o pomocníkovi, který se zajímá o překlad adresy URL webu, který chcete navštívit, na jeho IP adresu..

Váš požadavek DNS není šifrován. Votřelec může sledovat vaše dotazy DNS a odpovědi překladače DNS na ně. To nás vede k prvnímu útoku, který byste mohli utrpět, pokud používáte veřejné WiFi bez VPN: úniky DNS.

Únik DNS

Pokud by někdo měl sledovat vaše dotazy DNS, měl by mít seznam všech webů, které jste navštívili, spolu s IP adresou vašeho zařízení. Vzhledem k slabé bezpečnosti většiny veřejných WiFi hotspotů by bylo pro vetřelce relativně snadné získat přístup k síti a poté protokolovat vaše DNS dotazy. Vaše data by mohla být stále ohrožena, i když neexistuje žádný vetřelec, protože překladač na veřejné síti Wi-Fi mohl vaše data shromáždit sám.

Spoofing DNS

Únik DNS umožňuje útočníkovi sledovat vaši aktivitu, ale pokud útočník pokazí vaše požadavky DNS, může vás přesměrovat na škodlivý web, který ovládá. Také známý jako otrava DNS, k tomu dochází, když útočník předstírá, že je váš překladač DNS. Útočník pak spoofuje IP adresu cílového webu a nahradí ji IP adresou webu, který má pod kontrolou. Adresa URL by byla stejná jako web, který jste chtěli navštívit, ale web by měl být pod kontrolou útočníka. Moderní prohlížeče obecně upozorní uživatele, že jsou na webu bez HTTPS, a tento útok nebude fungovat pro weby HTTPS, které mají certifikát.

Útočník vám však může s variantou spoofingu DNS poslat na web s mírně odlišnou adresou URL, než jakou jste zamýšleli navštívit. Mysli na „protomvpn.com“ místo na „protonvpn.com“. Navíc tento typ falešné stránky může používat HTTPS a mít platný certifikát. Prohlížeč by vedle adresy zobrazil zelený zámek, což ztěžuje detekci.

Punycode

Bohužel při nedávných útocích Punycode našli hackeři způsob, jak vytvořit dva weby se stejnou adresou URL a platným certifikátem HTTPS. Punycode je typ kódování používaný webovými prohlížeči k převodu všech různých znaků Unicode (jako ß, 竹 nebo Ж) do omezené znakové sady (A-Z, 0-9) podporované mezinárodním systémem názvů domén. Pokud například čínský web používá doménu „竹 .com“ v Punycode, bude to představovat „xn--2uz.com“..

Vetřelci zjistili, že pokud změníte proces a zadáte znaky Punycode jako doménu, pokud jsou všechny znaky z jedné znakové sady cizího jazyka a doména Punycode je přesná shoda jako cílová doména, prohlížeče jej vykreslí v normální jazyk cílené domény. V příkladu použitém ve výše uvedeném článku The Hacker News registroval výzkumný pracovník doménu „xn--80ak6aa92e.com“, která se objevila jako „apple.com“. Výzkumník dokonce vytvořil tento falešný web Apple, aby demonstroval, jak je těžké rozeznat stránky od sebe pomocí adresy URL a pouze HTTPS..

Jak ukazuje příklad výzkumníka, web Punycode může implementovat HTTPS a získat platný certifikát, takže je pro vás velmi obtížné zjistit, že jste na falešném webu. Pouze prozkoumáním skutečných podrobností v certifikátu HTTPS můžete rozlišovat mezi „xn--80ak6aa92e.com“ a „apple.com“..

Naštěstí mnoho prohlížečů tuto chybu zabezpečení již vyřešilo a většina z nich nyní zobrazí adresu jako xn--80ak6aa92e.com

Použijte VPN na veřejné WiFi

Toto jsou jen některé z chyb zabezpečení, kterým čelíte při používání nezabezpečené veřejné sítě WiFi. I když navštívíte legitimní web s řádně vynutitelným protokolem HTTPS, může obsahovat obrázky nebo skripty z webů, které nejsou chráněny protokolem HTTPS. Útočník by pak mohl tyto skripty a obrázky použít k přenosu malwaru do zařízení.

Důvěryhodná VPN vás může ochránit před všemi těmito zranitelnostmi. VPN šifruje váš provoz a směruje jej přes VPN server, což znamená, že váš poskytovatel internetových služeb (nebo vlastník škodlivého hotspotu WiFi) nemůže sledovat vaši online aktivitu. Toto dodatečné šifrování ochrání vaše připojení před útokem downgrade na TLS.  

Důkladné služby VPN, například ProtonVPN, také provozují své vlastní servery DNS, aby mohly šifrovat a zpracovávat vaše dotazy DNS. Aplikace ProtonVPN vás chrání před únikem DNS vynucením vašeho prohlížeče, aby vyřešil dotazy DNS prostřednictvím našich serverů DNS. Vaše dotazy DNS dokonce chráníme, pokud jste odpojeni. Naše funkce zabíjení okamžitě blokuje všechna síťová připojení, pokud jste odpojeni od serveru VPN, čímž se vaše data nebudou zobrazovat.  

Plán VPN zdarma ProtonVPN nabízí každému bezplatný a jednoduchý způsob, jak chránit své internetové připojení před těmito útoky. S naší bezplatnou službou VPN již nikdy nebudete muset používat veřejné WiFi bez VPN.

S pozdravem,
Tým ProtonVPN

Twitter | Facebook | Reddit

Chcete-li získat bezplatný šifrovaný e-mailový účet ProtonMail, navštivte: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me