Γιατί χρειάζεστε VPN για να παραμείνετε ασφαλείς στο δημόσιο WiFI (το HTTPS δεν είναι αρκετό)

Οι περισσότεροι ιστότοποι χρησιμοποιούν τώρα HTTPS για να κρυπτογραφήσουν τη σύνδεσή σας και να προσθέσουν ένα επιπλέον επίπεδο προστασίας στα δεδομένα σας. Αλλά εάν χρησιμοποιείτε δημόσιο WiFi, η χρήση HTTPS χωρίς VPN σημαίνει ότι ορισμένα από τα δεδομένα σας θα εξακολουθούν να είναι ευάλωτα.


Επεξεργασία: Μια προηγούμενη έκδοση αυτής της ανάρτησης ιστολογίου θα μπορούσε να παρεξηγηθεί ως υπονοώντας ότι το TLS 1.2 έχει παραβιαστεί. Καταργήσαμε την ενότητα που μπορεί να προκαλέσει σύγχυση.

Το Hypertext Transfer Protocol Secure, ή HTTPS, κρυπτογραφεί την κίνηση μεταξύ της συσκευής σας και ενός ιστότοπου, καθιστώντας δύσκολο για τους εισβολείς να παρατηρούν τις πληροφορίες που κοινοποιούνται. Παρέχει επίσης υπογραφές, ή πιστοποιητικά HTTPS, που σας επιτρέπουν να επαληθεύσετε ότι ο ιστότοπος στον οποίο βρίσκεστε εκτελείται από τον οποίο ισχυρίζεται ότι είναι. Το HTTPS έχει γίνει μια τυπική λειτουργία ασφαλείας για σχεδόν όλους τους ιστότοπους.

Εάν το HTTPS κρυπτογραφεί τη σύνδεσή σας με έναν ιστότοπο, τότε δεν είναι ασφαλές το δημόσιο WiFi; Δυστυχώς, το HTTPS δεν κρυπτογραφεί όλα τα δεδομένα σας, όπως ερωτήματα DNS. Εάν χρησιμοποιείτε δημόσιο WiFi χωρίς VPN, κινδυνεύετε.

Πώς λειτουργεί το HTTPS

Το HTTPS χρησιμοποιεί το πρωτόκολλο Transport Layer Security (TLS) για να εξασφαλίσει τη σύνδεση μεταξύ ενός προγράμματος περιήγησης ιστού και ενός ιστότοπου. Ένα πρωτόκολλο είναι απλώς ένα σύνολο κανόνων και οδηγιών που διέπουν τον τρόπο επικοινωνίας των υπολογιστών μεταξύ τους. Το πρωτόκολλο TLS είναι η ραχοκοκαλιά της διασφάλισης διαδικτυακών συνδέσεων. Αυτό σας επιτρέπει να εισαγάγετε τα διαπιστευτήρια σύνδεσης, να περιηγηθείτε σε ιστότοπους ή να εκτελέσετε διαδικτυακές τραπεζικές συναλλαγές χωρίς να βλέπουν οι άλλοι το περιεχόμενο.

Το TLS χρησιμοποιεί κρυπτογραφία ιδιωτικού κλειδιού. Ένα κλειδί είναι απλώς ένας κωδικός για υπολογιστές που εμπλέκονται στη μετάδοση μηνυμάτων και ένα ιδιωτικό κλειδί είναι ένας κωδικός που δεν είναι ανοιχτός στο κοινό. Για να διασφαλιστεί η ακεραιότητα της σύνδεσής τους, το πρόγραμμα περιήγησής σας και ο διακομιστής Διαδικτύου ξεκινούν μια «χειραψία» μοιράζοντας ένα δημόσιο κλειδί. Μόλις δημιουργηθεί η χειραψία, ο διακομιστής και το πρόγραμμα περιήγησης διαπραγματεύονται ιδιωτικά κλειδιά για την κρυπτογράφηση της σύνδεσής σας. Κάθε σύνδεση δημιουργεί το δικό της, μοναδικό ιδιωτικό κλειδί και η σύνδεση κρυπτογραφείται πριν από τη μετάδοση ενός byte δεδομένων. Μόλις εφαρμοστεί η κρυπτογράφηση, οι εισβολείς δεν μπορούν να παρακολουθούν ή να τροποποιούν τις επικοινωνίες μεταξύ του προγράμματος περιήγησης και του ιστότοπου χωρίς να εντοπίζονται.

Η TLS παρέχει επίσης ψηφιακά πιστοποιητικά που πιστοποιούν τα διαπιστευτήρια των ιστότοπων και σας ενημερώνουν ότι τα δεδομένα προέρχονται από μια αξιόπιστη πηγή (ή από έναν ιστότοπο που ισχυρίζεται ότι είναι ένα). Ένα ψηφιακό πιστοποιητικό εκδίδεται από μια αρχή πιστοποίησης.

Αυτό το σύστημα εξακολουθεί να έχει ορισμένες ευπάθειες, όπως θα συζητήσουμε παρακάτω, αλλά θεωρείται ασφαλές. Η πρώτη ευπάθεια που σας εκθέτει το δημόσιο WiFi χωρίς VPN είναι το γεγονός ότι το TLS δεν προστατεύει τα ερωτήματα του συστήματος ονομάτων τομέα (DNS) (ακόμη).

Τι είναι ένα ερώτημα DNS?

Το σύστημα ονόματος τομέα μεταφράζει τις φιλικές προς τον άνθρωπο διευθύνσεις URL σε αριθμητικές διευθύνσεις IP που μπορούν να κατανοήσουν οι υπολογιστές. Για παράδειγμα, για να επισκεφθείτε τον ιστότοπό μας, πληκτρολογείτε τη διεύθυνση URL www.protonvpn.com, αλλά ο υπολογιστής σας το βλέπει ως [185.70.40.231]. Για να βρει αυτόν τον αριθμό, το πρόγραμμα περιήγησής σας web χρησιμοποιεί αυτό που ονομάζεται πρόγραμμα επίλυσης DNS, το οποίο συνήθως παρέχεται από τον πάροχο υπηρεσιών Διαδικτύου. Σκεφτείτε αυτό το πρόγραμμα επίλυσης ως δευτερεύον μέλος που προσπαθεί να μεταφράσει τη διεύθυνση URL του ιστότοπου που θέλετε να επισκεφθείτε στη διεύθυνση IP του.

Το αίτημά σας DNS δεν είναι κρυπτογραφημένο. Ένας εισβολέας μπορεί να παρατηρήσει τα ερωτήματά σας DNS και τις απαντήσεις του προγράμματος επίλυσης DNS σε αυτά. Αυτό μας οδηγεί στην πρώτη επίθεση που θα μπορούσατε να υποφέρετε εάν χρησιμοποιείτε δημόσιο WiFi χωρίς VPN: Διαρροές DNS.

Διαρροή DNS

Εάν κάποιος παρακολουθούσε τα ερωτήματά σας DNS, θα είχε μια λίστα με όλους τους ιστότοπους που επισκεφτήκατε μαζί με τη διεύθυνση IP της συσκευής σας. Δεδομένης της χαμηλής ασφάλειας των περισσότερων δημόσιων σημείων πρόσβασης WiFi, θα ήταν σχετικά απλό για έναν εισβολέα να αποκτήσει πρόσβαση στο δίκτυο και, στη συνέχεια, να καταγράψει τα ερωτήματά σας DNS. Τα δεδομένα σας θα μπορούσαν να διατρέχουν κίνδυνο ακόμα και αν δεν υπάρχει εισβολέας, επειδή το πρόγραμμα επίλυσης στο δημόσιο WiFi θα μπορούσε να συλλέξει τα δεδομένα σας.

Πλαστογράφηση DNS

Η διαρροή DNS επιτρέπει στον εισβολέα να παρακολουθεί τη δραστηριότητά σας, αλλά εάν ένας εισβολέας πλαστογραφήσει τα αιτήματά σας DNS, μπορεί να σας ανακατευθύνει σε έναν κακόβουλο ιστότοπο που ελέγχει. Επίσης γνωστό ως δηλητηρίαση DNS, αυτό συμβαίνει όταν ένας εισβολέας προσποιείται ότι είναι το πρόγραμμα επίλυσης DNS. Στη συνέχεια, ο εισβολέας πλαστογραφεί τη διεύθυνση IP για έναν ιστότοπο προορισμού και την αντικαθιστά με τη διεύθυνση IP ενός ιστότοπου υπό τον έλεγχό του. Το URL θα είναι το ίδιο με τον ιστότοπο που σκοπεύατε να επισκεφτείτε, αλλά ο ιστότοπος θα ήταν υπό τον έλεγχο του εισβολέα. Τα σύγχρονα προγράμματα περιήγησης θα ειδοποιούν γενικά τους χρήστες ότι βρίσκονται σε ιστότοπο χωρίς HTTPS και αυτή η επίθεση δεν θα λειτουργεί για ιστότοπους HTTPS που διαθέτουν πιστοποιητικό.

Ωστόσο, με μια παραλλαγή της πλαστογράφησης DNS, ένας εισβολέας θα μπορούσε να σας στείλει σε έναν ιστότοπο με ελαφρώς διαφορετική διεύθυνση URL από αυτήν που σκοπεύατε να επισκεφτείτε. Σκεφτείτε “protomvpn.com” αντί για “protonvpn.com”. Επιπλέον, αυτός ο τύπος ψεύτικου ιστότοπου μπορεί να χρησιμοποιεί HTTPS και να έχει έγκυρο πιστοποιητικό. Το πρόγραμμα περιήγησής σας θα εμφανίζει ένα πράσινο κλείδωμα δίπλα στη διεύθυνση, καθιστώντας πιο δύσκολο να εντοπιστεί.

Κωδικός Puny

Δυστυχώς, με πρόσφατες επιθέσεις Punycode, οι χάκερ έχουν βρει έναν τρόπο να δημιουργήσουν δύο ιστότοπους με την ίδια διεύθυνση URL και ένα έγκυρο πιστοποιητικό HTTPS. Ο κωδικός Puny είναι ένας τύπος κωδικοποίησης που χρησιμοποιείται από προγράμματα περιήγησης ιστού για τη μετατροπή όλων των διαφορετικών χαρακτήρων Unicode (όπως ß, 竹 ή Ж) σε περιορισμένο σύνολο χαρακτήρων (A-Z, 0-9) που υποστηρίζεται από το διεθνές σύστημα ονομάτων τομέα. Για παράδειγμα, εάν ένας κινεζικός ιστότοπος χρησιμοποιούσε τον τομέα “竹 .com”, στο Punycode, αυτός θα εκπροσωπείται από το “xn--2uz.com”.

Οι εισβολείς ανακάλυψαν ότι αν αντιστρέψετε τη διαδικασία και εισαγάγετε χαρακτήρες Punycode ως τομέα, αρκεί όλοι οι χαρακτήρες να προέρχονται από ένα σύνολο χαρακτήρων ξένης γλώσσας και ο τομέας Punycode αντιστοιχεί ακριβώς στον τομέα στόχευσης, τότε τα προγράμματα περιήγησης θα το αποδώσουν στο κανονική γλώσσα του στοχευμένου τομέα. Στο παράδειγμα που χρησιμοποιήθηκε στο άρθρο The Hacker News που συνδέεται παραπάνω, ένας ερευνητής κατέγραψε τον τομέα “xn-80ak6aa92e.com” που εμφανίστηκε ως “apple.com”. Ο ερευνητής δημιούργησε ακόμη και αυτόν τον ψεύτικο ιστότοπο μήλων για να δείξει πόσο δύσκολο είναι να ξεχωρίσει τους ιστότοπους χρησιμοποιώντας μόνο τις πληροφορίες URL και HTTPS.

Όπως δείχνει το παράδειγμα του ερευνητή, ένας ιστότοπος Punycode μπορεί να εφαρμόσει HTTPS και να λάβει ένα έγκυρο πιστοποιητικό, καθιστώντας πολύ δύσκολο για εσάς να εντοπίσετε ότι βρίσκεστε σε έναν ψεύτικο ιστότοπο. Μόνο εξετάζοντας τις πραγματικές λεπτομέρειες στο πιστοποιητικό HTTPS μπορείτε να κάνετε διάκριση μεταξύ “xn-80ak6aa92e.com” και “apple.com”.

Ευτυχώς, πολλά προγράμματα περιήγησης έχουν ήδη αντιμετωπίσει αυτήν την ευπάθεια και τα περισσότερα θα εμφανίζουν τώρα τη διεύθυνση ως xn-80ak6aa92e.com

Χρησιμοποιήστε ένα VPN σε δημόσιο WiFi

Αυτές είναι μόνο μερικές από τις ευπάθειες που αντιμετωπίζετε όταν χρησιμοποιείτε ένα μη ασφαλές δημόσιο δίκτυο WiFi. Ακόμα κι αν επισκεφτείτε έναν νόμιμο ιστότοπο με σωστά εφαρμοσμένο HTTPS, μπορεί να περιέχει εικόνες ή σενάρια από ιστότοπους που δεν προστατεύονται από HTTPS. Ένας εισβολέας θα μπορούσε στη συνέχεια να χρησιμοποιήσει αυτά τα σενάρια και εικόνες για να παραδώσει κακόβουλο λογισμικό στη συσκευή σας.

Ένα αξιόπιστο VPN μπορεί να σας προστατεύσει από όλες αυτές τις ευπάθειες. Ένα VPN κρυπτογραφεί την κυκλοφορία σας και το δρομολογεί μέσω ενός διακομιστή VPN, πράγμα που σημαίνει ότι ο πάροχος υπηρεσιών Διαδικτύου (ή ο κάτοχος ενός κακόβουλου σημείου πρόσβασης WiFi) δεν μπορεί να παρακολουθεί τη διαδικτυακή σας δραστηριότητα. Αυτή η επιπλέον κρυπτογράφηση θα προστατεύσει τη σύνδεσή σας από μια επίθεση υποβάθμισης TLS.  

Οι διεξοδικές υπηρεσίες VPN, όπως το ProtonVPN, εκτελούν επίσης τους δικούς τους διακομιστές DNS, ώστε να μπορούν να κρυπτογραφούν και να επεξεργάζονται τα ερωτήματά σας DNS. Οι εφαρμογές του ProtonVPN σάς προστατεύουν από διαρροή DNS αναγκάζοντας το πρόγραμμα περιήγησής σας να επιλύει ερωτήματα DNS μέσω των διακομιστών DNS. Προστατεύουμε ακόμη και τα ερωτήματά σας DNS εάν είστε αποσυνδεδεμένοι. Η λειτουργία Kill Switch αποκλείει άμεσα όλες τις συνδέσεις δικτύου εάν αποσυνδεθείτε από το διακομιστή VPN, διατηρώντας τα δεδομένα σας από την έκθεση.  

Το δωρεάν πρόγραμμα VPN της ProtonVPN προσφέρει σε όλους έναν δωρεάν, απλό τρόπο προστασίας της σύνδεσής τους στο Διαδίκτυο από αυτές τις επιθέσεις. Με την δωρεάν υπηρεσία VPN, δεν χρειάζεται ποτέ να χρησιμοποιείτε ξανά δημόσιο WiFi χωρίς VPN.

Τις καλύτερες ευχές,
Η ομάδα ProtonVPN

Twitter | Facebook | Reddit

Για να αποκτήσετε έναν δωρεάν κρυπτογραφημένο λογαριασμό email ProtonMail, επισκεφθείτε: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me