מדוע אתה זקוק ל- VPN כדי להישאר בטוח ב- WiFI ציבורי (HTTPS לא מספיק)

רוב האתרים משתמשים כעת ב- HTTPS כדי להצפין את החיבור שלך ולהוסיף שכבת הגנה נוספת לנתונים שלך. אבל אם אתה נמצא ב- WiFi ציבורי, השימוש ב- HTTPS ללא VPN פירושו שחלק מהנתונים שלך עדיין יהיו פגיעים.


עריכה: ניתן היה להבין את הגרסה הקודמת של פוסט בלוג זה כשהיא רומזת כי TLS 1.2 נשבר. הסרנו את הקטע שעלול לגרום לבלבול זה.

פרוטוקול ה- Hypertext Transfer Proture, או HTTPS, מצפין את התעבורה בין המכשיר לאתר שלך, ומקשה על פורצים לצפות במידע המשותף. הוא גם מספק חתימות, או תעודות HTTPS, המאפשרות לך לאמת שהאתר שאתה נמצא בו מנוהל על ידי מי שהוא טוען שהוא. HTTPS הפך למאפיין אבטחה רגיל כמעט לכל אתרי האינטרנט.

אם HTTPS מצפין את החיבור שלך לאתר, האם אינך בטוח ב- WiFi ציבורי? לרוע המזל, HTTPS לא מצפין את כל הנתונים שלך, כמו שאילתות DNS. אם אתה משתמש ב- WiFi ציבורי ללא VPN, אתה מסכן את עצמך.

כיצד עובד HTTPS

HTTPS משתמש בפרוטוקול Transport Layer Security (TLS) כדי לאבטח את החיבור בין דפדפן אינטרנט לאתר. פרוטוקול הוא פשוט מערכת של כללים והוראות שקובעים כיצד מחשבים מתקשרים זה עם זה. פרוטוקול TLS הוא עמוד השדרה של אבטחת חיבורים מקוונים. זה מה שמאפשר לך להזין את פרטי הכניסה שלך, לגלוש באתרים או לבצע בנקאות מקוונת מבלי שאחרים יראו את התוכן.

TLS משתמש בקריפטוגרפיה עם מפתח פרטי. מפתח הוא פשוט קוד למחשבים המעורבים בהעברת הודעות, ומפתח פרטי הוא כזה שאינו פתוח לקהל. כדי להבטיח את שלמות החיבור שלהם, הדפדפן שלך ושרת האינטרנט יוזמים “לחיצת יד” על ידי שיתוף מפתח ציבורי. לאחר הקמת לחיצת היד, השרת והדפדפן משא ומתן על מפתחות פרטיים להצפנת החיבור שלך. כל חיבור מייצר מפתח פרטי משלו, ייחודי, והחיבור מוצפן לפני העברת יחיד של נתונים. ברגע שההצפנה קיימת, פורצים אינם יכולים לפקח או לשנות את התקשורת בין דפדפן האינטרנט ואתר מבלי שאותרו.

TLS מספקת גם תעודות דיגיטליות המאמתות את אישורי האתרים ומודיעות לך שהנתונים הם ממקור מהימן (או אתר שטוען שהוא אחד). אישור דיגיטלי מונפק על ידי רשות אישורים.

למערכת זו עדיין יש פגיעויות מסוימות, כפי שנדון בהמשך, אך היא נחשבת מאובטחת. הפגיעות הראשונה ששימוש ב- WiFi ציבורי ללא VPN חושף אותך היא העובדה TLS אינה מגנה על שאילתות מערכת שמות תחום (DNS) (עדיין).

מהי שאילתת DNS?

מערכת שמות הדומיינים מתרגמת כתובות URL ידידותיות לבני אדם לכתובות IP מספריות שמחשבים יכולים להבין. לדוגמה, כדי לבקר באתר שלנו, הקלד את כתובת האתר www.protonvpn.com, אך המחשב שלך רואה את זה כ [185.70.40.231]. כדי למצוא מספר זה, דפדפן האינטרנט שלך משתמש במה שמכונה פותר DNS, אשר בדרך כלל מסופק על ידי ספק שירותי האינטרנט שלך. חשבו על רזולוציה זו כאל צדדי שמתרוצץ סביב לתרגם את כתובת האתר של האתר בו תרצו לבקר לכתובת ה- IP שלו.

בקשת ה- DNS שלך אינה מוצפנת. פורץ יכול לצפות בשאילתות ה- DNS שלך ובתגובות של פותר ה- DNS שלך להן. זה מוביל אותנו להתקפה הראשונה שעלולה להיפגע אם תשתמש ב- WiFi ציבורי ללא VPN: דליפות DNS.

דליפת DNS

אם מישהו היה עוקב אחר שאילתות ה- DNS שלך, הייתה לו רשימה של כל האתרים שבהם ביקרת יחד עם כתובת ה- IP של המכשיר שלך. בהתחשב בביטחון החלש של מרבית נקודות ה- WiFi הציבוריות הציבוריות, זה יכול להיות פשוט יחסית לפורץ לקבל גישה לרשת ואז לרשום את שאילתות ה- DNS שלך. הנתונים שלך עדיין עשויים להיות בסיכון גם אם אין פורץ מכיוון שהפתרון ב- WiFi הציבורי יכול לקצור את הנתונים שלך בעצמו.

זיוף DNS

דליפת DNS מאפשרת לפורץ לפקח על הפעילות שלך, אך אם תוקף מזייף את בקשות ה- DNS שלך, הוא יכול להפנות אותך לאתר זדוני בו הוא שולט. ידוע גם בשם הרעלת DNS, זה קורה כאשר תוקף מעמיד פנים שהוא פותר ה- DNS שלך. לאחר מכן, התוקף מזייף את כתובת ה- IP של אתר יעד ומחליף אותה בכתובת ה- IP של אתר הנמצא בשליטתם. כתובת האתר תהיה זהה לאתר בו התכוונתם לבקר, אך האתר יהיה בשליטתו של התוקף. דפדפנים מודרניים בדרך כלל יתריעו בפני המשתמשים כי הם נמצאים באתר ללא HTTPS, והתקפה זו לא תעבוד לאתרי HTTPS שיש להם אישור..

עם זאת, עם וריאציה של זיוף DNS, תוקף יכול לשלוח אותך לאתר עם כתובת אתר שונה במקצת מזו שהתכוונת לבקר. חשוב “protomvpn.com” במקום “protonvpn.com”. יתר על כן, אתר מזויף מסוג זה יכול להשתמש ב- HTTPS ולהיות בעל אישור תקף. הדפדפן שלך יציג מנעול ירוק לצד הכתובת, מה שמקשה על איתורו.

Punycode

לרוע המזל, עם התקפות Punycode האחרונות, האקרים מצאו דרך ליצור שני אתרים עם אותה כתובת אתר ותעודת HTTPS תקפה. Punycode הוא סוג קידוד המשמש את דפדפני האינטרנט כדי להמיר את כל תווי Unicode השונים (כמו ß, 竹 או Ж) למערכת התווים המוגבלת (A-Z, 0-9) הנתמכת על ידי מערכת שמות הדומיינים הבינלאומיים. כדוגמה, אם אתר סיני השתמש בדומיין “竹. Com” בפוניקוד, זה ייצג על ידי “xn--2uz.com”.

פורצים גילו כי אם תשנה את התהליך ותזין תווי Punycode כתחום, כל עוד כל התווים הם מתוך ערכת תווים יחידה אחת והדומיין של Punycode הוא התאמה מדויקת לתחום הממוקד, אז הדפדפנים יציגו אותו ב השפה הרגילה של הדומיין הממוקד. בדוגמה ששימשה במאמר The Hacker News המקושר למעלה, חוקר רשם את התחום “xn--80ak6aa92e.com” שהופיע כ” apple.com “. החוקר אפילו יצר את אתר התפוחים המזויף הזה כדי להדגים עד כמה קשה להבדיל באתרים זה מזה תוך שימוש במידע URL ו- HTTPS בלבד.

כפי שמדגימה הדוגמא של החוקר, אתר Punycode יכול ליישם HTTPS ולקבל אישור תקף, מה שמקשה עליכם לגלות שאתה נמצא באתר מזויף. רק על ידי בחינת הפרטים בפועל בתעודת HTTPS אתה יכול להבדיל בין “xn--80ak6aa92e.com” ל “apple.com”.

למרבה המזל דפדפנים רבים כבר התייחסו לפגיעות זו ורובם כעת יציגו את הכתובת כ- xn--80ak6aa92e.com

השתמש ב- VPN ב- WiFi ציבורי

אלה רק חלק מהפגיעויות העומדות בפניך כשאתה משתמש ברשת WiFi ציבורית לא מאובטחת. גם אם אתה מבקר באתר לגיטימי עם HTTPS נאכף כהלכה, הוא יכול להכיל תמונות או סקריפטים מאתרים שאינם מוגנים על ידי HTTPS. לאחר מכן, תוקף יכול להשתמש בסקריפטים ובתמונות אלה בכדי לספק תוכנות זדוניות למכשיר שלך.

VPN אמין יכול להגן עליך מפני כל הפגיעויות הללו. VPN מצפין את התנועה שלך ומנתב אותה דרך שרת VPN, כלומר ספק שירותי האינטרנט שלך (או הבעלים של נקודה חמה זדונית WiFi) לא יכול לפקח על הפעילות המקוונת שלך. קידוד נוסף זה יגן על החיבור שלך מהתקף שדרוג לאחור של TLS.  

שירותי VPN יסודיים, כמו ProtonVPN, מנהלים גם שרתי DNS משלהם, כך שהם יכולים להצפין ולעבד את שאילתות ה- DNS שלך. האפליקציות של ProtonVPN מגנות עליך מפני דליפת DNS על ידי אילוץ הדפדפן שלך לפתור שאילתות DNS דרך שרתי ה- DNS שלנו. אנו אפילו מגנים על שאילתות ה- DNS שלך אם אתה מנותק. תכונת ה- Kill Switch שלנו חוסמת באופן מיידי את כל חיבורי הרשת אם אתה מנותק משרת ה- VPN שלך, ומונע מהנתונים שלך להיחשף.  

תוכנית VPN בחינם של ProtonVPN מציעה לכל אחד דרך בחינם ופשוטה להגן על חיבור האינטרנט שלהם מפני התקפות אלה. עם שירות ה- VPN החינמי שלנו, לעולם אינך צריך להשתמש ב- WiFi ציבורי ללא VPN שוב.

כל טוב,
צוות ProtonVPN

טוויטר | פייסבוק | Reddit

כדי לקבל חשבון דוא”ל מוצפן בחינם של ProtonMail, בקר ב: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map