Bakit kailangan mo ng VPN upang manatiling ligtas sa pampublikong WiFI (hindi sapat ang HTTPS)

Karamihan sa mga website ngayon ay gumagamit ng HTTPS upang i-encrypt ang iyong koneksyon at magdagdag ng isang karagdagang layer ng proteksyon sa iyong data. Ngunit kung ikaw ay nasa pampublikong WiFi, ang paggamit ng HTTPS nang walang VPN ay nangangahulugan na ang ilan sa iyong data ay masusugatan pa rin.


I-edit: Ang isang mas maagang bersyon ng post sa blog na ito ay maaaring hindi maunawaan na ipinapahiwatig na ang TLS 1.2 ay nasira. Inalis namin ang seksyon na maaaring maging sanhi ng pagkalito na ito.

Ang Hypertext Transfer Protocol Secure, o HTTPS, ay naka-encrypt ang trapiko sa pagitan ng iyong aparato at isang website, na ginagawang mahirap para sa mga intruder na obserbahan ang impormasyon na ibinahagi. Nagbibigay din ito ng mga lagda, o mga sertipiko ng HTTPS, na nagbibigay-daan sa iyo upang mapatunayan na ang site na iyong pinuntahan ay pinatatakbo ng kung sino ang inaangkin nito. Ang HTTPS ay naging isang standard na tampok sa seguridad para sa halos lahat ng mga website.

Kung na-encrypt ng HTTPS ang iyong koneksyon sa isang site, hindi ba ligtas ang publiko sa WiFi? Sa kasamaang palad, ang HTTPS ay hindi naka-encrypt ang lahat ng iyong data, tulad ng mga query sa DNS. Kung gumagamit ka ng pampublikong WiFi nang walang VPN, inilalagay mo ang iyong sarili sa peligro.

Paano gumagana ang HTTPS

Ginagamit ng HTTPS ang protocol ng Transport Layer Security (TLS) upang ma-secure ang koneksyon sa pagitan ng isang web browser at isang website. Ang isang protocol ay simpleng isang hanay ng mga patakaran at mga tagubilin na namamahala kung paano nakikipag-usap ang mga computer sa bawat isa. Ang protocol ng TLS ay ang gulugod ng pag-secure ng mga online na koneksyon. Ito ang nagpapahintulot sa iyo na ipasok ang iyong mga kredensyal sa pag-login, mag-browse sa mga website, o magsagawa ng online banking nang hindi nakikita ng iba ang mga nilalaman.

Ang TLS ay gumagamit ng pribadong key key na kriptograpiya. Ang isang susi ay isang code lamang para sa mga computer na kasangkot sa paghahatid ng mensahe, at ang isang pribadong susi ay hindi bukas sa publiko. Upang matiyak ang integridad ng kanilang koneksyon, ang iyong browser at ang Internet server ay nagsimula ng isang “gawang kamay” sa pamamagitan ng pagbabahagi ng isang pampublikong susi. Kapag naitatag ang handshake, makipag-usap ang server at browser sa mga pribadong key upang mai-encrypt ang iyong koneksyon. Ang bawat koneksyon ay bumubuo ng kanyang sariling, natatanging pribadong key, at ang koneksyon ay naka-encrypt bago maipadala ang isang solong baitang ng data. Kapag ang pag-encrypt ay nasa lugar, hindi maaaring masubaybayan o baguhin ng mga intruder ang mga komunikasyon sa pagitan ng web browser at website nang hindi napansin.

Nagbibigay din ang TLS ng mga digital na sertipiko na nagpapatunay sa mga kredensyal ng mga website at ipaalam sa iyo na ang data ay mula sa isang mapagkakatiwalaang mapagkukunan (o isang site na nagsasabing isa). Ang isang digital na sertipiko ay inisyu ng isang awtoridad sa sertipikasyon.

Ang sistemang ito ay mayroon pa ring ilang mga kahinaan, dahil tatalakayin natin sa ibaba, ngunit itinuturing itong ligtas. Ang unang kahinaan na gamit ang pampublikong WiFi nang walang VPN ay nagpapalantad sa iyo na ang katunayan na ang TLS ay hindi nagpoprotekta sa mga domain name system (DNS) na mga query (pa).

Ano ang isang query sa DNS?

Isinalin ng system ng domain name ang mga URL ng friendly na tao sa mga bilang ng mga IP address na mauunawaan ng mga computer. Halimbawa, upang bisitahin ang aming site, nagta-type ka sa URL www.protonvpn.com, ngunit nakikita ito ng iyong computer bilang [185.70.40.231]. Upang mahanap ang numerong ito, ginagamit ng iyong web browser ang tinatawag na isang DNS resolver, na karaniwang ibinibigay ng iyong tagapagbigay ng serbisyo sa Internet. Isipin ang resolver na ito bilang isang sidekick na bumabaligtad sa pagsasalin ng URL ng site na nais mong bisitahin sa IP address nito.

Ang iyong kahilingan sa DNS ay hindi naka-encrypt. Ang isang intruder ay maaaring obserbahan ang iyong mga query sa DNS at ang mga tugon ng iyong DNS resolver sa kanila. Ito ang humahantong sa amin sa unang pag-atake na maaari kang magdusa kung gumagamit ka ng pampublikong WiFi nang walang VPN: Tumagas ang DNS.

Tumagas ang DNS

Kung susubaybayan ng isang tao ang iyong mga query sa DNS, magkakaroon sila ng isang listahan ng lahat ng mga site na binisita mo kasama ang IP address ng iyong aparato. Dahil sa mahina na seguridad ng karamihan sa mga pampublikong hotspot ng WiFi, magiging medyo simple para sa isang intruder upang makakuha ng access sa network at pagkatapos ay mai-log ang iyong mga query sa DNS. Ang iyong data ay maaaring mapanganib kahit na walang intruder dahil ang resolver sa pampublikong WiFi ay maaaring mag-ani ng iyong data mismo.

Spoofing ng DNS

Pinapayagan ng isang tumagas na DNS ang isang panghihimasok upang subaybayan ang iyong aktibidad, ngunit kung ang isang mang-atake ay nasisira ang iyong mga kahilingan sa DNS, maaari silang i-redirect ka sa isang nakakahamak na site na kinokontrol nila. Kilala rin bilang pagkalason sa DNS, nangyayari ito kapag ang isang nagsasalakay ay nagpapanggap na iyong resolusyon ng DNS. Ang manlusob pagkatapos ay nasamsam ang IP address para sa isang target na website at pinapalitan ito ng IP address ng isang site sa ilalim ng kanilang kontrol. Ang URL ay magiging pareho sa site na balak mong bisitahin, ngunit ang site ay nasa ilalim ng kontrol ng attacker. Karaniwang alertuhan ng mga modernong browser ang mga gumagamit na sila ay nasa isang site nang walang HTTPS, at ang pag-atake na ito ay hindi gagana para sa mga site ng HTTPS na mayroong sertipiko.

Gayunpaman, sa isang pagkakaiba-iba ng spoofing ng DNS, maaaring ipadala ka ng isang umaatake sa isang site na may isang bahagyang naiibang URL mula sa isang balak mong bisitahin. Isipin ang “protomvpn.com” sa halip na “protonvpn.com”. Bukod dito, ang ganitong uri ng pekeng site ay maaaring gumamit ng HTTPS at magkaroon ng isang wastong sertipiko. Ang iyong browser ay magpapakita ng isang berdeng lock sa tabi ng address, na ginagawang mas mahirap makita.

Punycode

Sa kasamaang palad, sa kamakailang pag-atake ng Punycode, ang mga hacker ay nakahanap ng isang paraan upang makagawa ng dalawang mga website na may parehong URL at isang wastong sertipiko ng HTTPS. Ang Punycode ay isang uri ng pag-encode na ginamit ng mga browser ng web upang mai-convert ang lahat ng iba’t ibang mga character na Unicode (tulad ng ß, 竹, o Ж) sa limitadong set ng character (A-Z, 0-9) na suportado ng internasyonal na sistema ng mga pangalan ng domain. Bilang halimbawa, kung ang isang website ng Tsino ay ginamit ang domain na “竹 .com”, sa Punycode, ay kakatawan ng “xn--2uz.com”.

Natuklasan ng mga Intruders na kung baligtarin mo ang proseso at ipasok ang mga character na Punycode bilang isang domain, hangga’t ang lahat ng mga character ay mula sa isang set na character ng wikang banyaga at ang domain ng Punycode ay isang eksaktong tugma bilang ang target na domain, pagkatapos ay ibigay ito ng mga browser sa normal na wika ng target na domain. Sa halimbawa na ginamit sa artikulo ng Hacker News na naka-link sa itaas, isang rehistro ang nakarehistro sa domain na “xn--80ak6aa92e.com” na lumitaw bilang “apple.com”. Lumikha pa ang mananaliksik ng pekeng site na ito ng mansanas upang maipakita kung gaano kahirap sabihin ang mga site bukod gamit ang URL at HTTPS na impormasyon lamang.

Tulad ng ipinakita ng halimbawa ng mananaliksik, ang isang site ng Punycode ay maaaring magpatupad ng HTTPS at makatanggap ng isang wastong sertipiko, na napakahirap para sa iyo na makita na ikaw ay nasa isang pekeng site. Sa pamamagitan lamang ng pagsusuri sa aktwal na mga detalye sa sertipiko ng HTTPS maaari mong maiiba ang pagitan ng “xn--80ak6aa92e.com” at “apple.com”.

Sa kabutihang palad, maraming mga browser ang na-address ang kahinaan na ito at karamihan ay magpapakita ngayon ng address bilang xn--80ak6aa92e.com

Gumamit ng isang VPN sa pampublikong WiFi

Ito ay ilan lamang sa mga kahinaan na kinakaharap mo kapag gumagamit ng isang hindi secure na pampublikong WiFi network. Kahit na binisita mo ang isang lehitimong site na may maayos na ipinatupad na HTTPS, maaari itong maglaman ng mga imahe o script mula sa mga site na hindi protektado ng HTTPS. Maaaring gamitin ng isang magsasalakay ang mga script na ito at mga imahe upang maihatid ang malware sa iyong aparato.

Ang isang mapagkakatiwalaang VPN ay maaaring maprotektahan ka mula sa lahat ng mga kahinaan na ito. Ang isang VPN ay naka-encrypt sa iyong trapiko at ruta ito sa pamamagitan ng isang VPN server, nangangahulugan na ang iyong service provider ng Internet (o ang may-ari ng isang nakakahamak na hotspot ng WiFi) ay hindi maaaring subaybayan ang iyong online na aktibidad. Ang karagdagang encryption ay protektahan ang iyong koneksyon mula sa isang pag-atake ng pagbagsak ng TLS.  

Ang mga kumpletong serbisyo ng VPN, tulad ng ProtonVPN, ay nagpapatakbo din ng kanilang sariling mga server ng DNS, upang maaari nilang i-encrypt at iproseso ang iyong mga query sa DNS. Pinoprotektahan ka ng mga app ng ProtonVPN mula sa isang DNS na tumagas sa pamamagitan ng pagpilit sa iyong browser upang malutas ang mga query ng DNS sa pamamagitan ng aming mga server ng DNS. Pinoprotektahan namin kahit na ang iyong mga query sa DNS kung ikaw ay na-disconnect. Ang aming tampok na Kill Switch ay agad na hinaharangan ang lahat ng mga koneksyon sa network kung naka-disconnect ka mula sa iyong VPN server, pinapanatili ang iyong data na hindi mailantad.  

Nag-aalok ang Libreng plano ng Von ng ProtonVPN ng bawat isa ng libre, simpleng paraan upang maprotektahan ang kanilang koneksyon sa Internet laban sa mga pag-atake na ito. Sa aming libreng serbisyo ng VPN, hindi mo na kailangang gumamit ng pampublikong WiFi nang walang VPN muli.

Pinakamahusay na Regards,
Ang Koponan ng ProtonVPN

Twitter | Facebook | Reddit

Upang makakuha ng isang libreng email na naka-encode na ProtonMail, bisitahin ang: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map