Hvorfor du trenger VPN for å holde deg trygg på offentlig WiFI (HTTPS er ikke nok)

De fleste nettsteder bruker nå HTTPS for å kryptere forbindelsen din og legge til et ekstra lag med beskyttelse til dataene dine. Men hvis du bruker offentlig WiFi, bruker HTTPS uten VPN at noen av dataene dine fortsatt vil være sårbare.


Redigering: En tidligere versjon av dette blogginnlegget kunne ha blitt misforstått som innebærer at TLS 1.2 er ødelagt. Vi har fjernet delen som kan forårsake denne forvirringen.

Hypertext Transfer Protocol Secure, eller HTTPS, krypterer trafikken mellom enheten din og et nettsted, noe som gjør det vanskelig for inntrengerne å observere informasjonen som blir delt. Den inneholder også signaturer, eller HTTPS-sertifikater, som lar deg bekrefte at nettstedet du er på, drives av hvem det hevder det er. HTTPS har blitt en standard sikkerhetsfunksjon for nesten alle nettsteder.

Hvis HTTPS krypterer forbindelsen din til et nettsted, er ikke offentlig WiFi-trygg? Dessverre krypterer ikke HTTPS alle dataene dine, for eksempel DNS-spørsmål. Hvis du bruker offentlig WiFi uten VPN, setter du deg selv i fare.

Slik fungerer HTTPS

HTTPS bruker TLS-protokollen (Transport Layer Security) for å sikre forbindelsen mellom en nettleser og et nettsted. En protokoll er ganske enkelt et sett med regler og instruksjoner som styrer hvordan datamaskiner kommuniserer med hverandre. TLS-protokollen er ryggraden i å sikre online-tilkoblinger. Det er det som lar deg oppgi innloggingsinformasjon, bla gjennom nettsteder eller utføre nettbank uten at andre ser innholdet.

TLS bruker kryptering med privat nøkkel. En nøkkel er ganske enkelt en kode for datamaskiner som er involvert i overføring av meldinger, og en privat nøkkel er en som ikke er åpen for publikum. For å sikre integriteten til forbindelsen deres, initierer nettleseren din og Internett-serveren et “håndtrykk” ved å dele en offentlig nøkkel. Når håndtrykket er opprettet, forhandler serveren og nettleseren private nøkler for å kryptere forbindelsen din. Hver tilkobling genererer sin egen, unike private nøkkel, og tilkoblingen krypteres før en enkelt byte med data overføres. Når krypteringen er på plass, kan ikke inntrengere overvåke eller endre kommunikasjonen mellom nettleseren og nettstedet uten å bli oppdaget.

TLS leverer også digitale sertifikater som autentiserer legitimasjonene til nettsteder og gir deg beskjed om at dataene kommer fra en pålitelig kilde (eller et nettsted som hevder å være en). Et digitalt sertifikat utstedes av en sertifiseringsinstans.

Dette systemet har fortsatt visse sårbarheter, som vi vil diskutere nedenfor, men det anses som sikkert. Den første sårbarheten som bruker offentlig WiFi uten VPN utsetter deg for, er det faktum at TLS ikke beskytter DNS-spørsmål (ennå).

Hva er en DNS-spørring?

Domenenavnsystemet oversetter menneskevennlige nettadresser til numeriske IP-adresser som datamaskiner kan forstå. For å besøke nettstedet vårt skriver du for eksempel inn URLen www.protonvpn.com, men datamaskinen din ser det som [185.70.40.231]. For å finne dette nummeret bruker nettleseren din det som kalles en DNS-resolver, som vanligvis leveres av internettleverandøren din. Tenk på denne resolveren som en sidekick som snubler rundt og oversetter URL-en til nettstedet du ønsker å besøke til IP-adressen.

DNS-forespørselen din er ikke kryptert. En inntrenger kan observere DNS-spørsmålene dine og DNS-resolverens svar på dem. Dette fører oss til det første angrepet du kan lide hvis du bruker offentlig WiFi uten VPN: DNS-lekkasjer.

DNS-lekkasje

Hvis noen skulle overvåke DNS-spørsmålene dine, ville de ha en liste over alle nettstedene du besøkte sammen med enhetens IP-adresse. Gitt den svake sikkerheten til de fleste offentlige WiFi-hotspots, ville det være relativt enkelt for en inntrenger å få tilgang til nettverket og deretter logge DNS-spørsmålene dine. Dataene dine kan fortsatt være i fare selv om det ikke er noen inntrenger fordi resolveren på den offentlige WiFi-enheten kan høste dataene dine selv.

DNS-forfalskning

En DNS-lekkasje lar en inntrenger overvåke aktiviteten din, men hvis en angriper forfalsker DNS-forespørslene dine, kan de omdirigere deg til et skadelig sted de kontrollerer. Også kjent som DNS-forgiftning, dette skjer når en angriper later til å være din DNS-resolver. Angriperen forfalsker deretter IP-adressen til et målnettsted og erstatter den med IP-adressen til et nettsted under deres kontroll. URLen vil være den samme som nettstedet du hadde tenkt å besøke, men nettstedet ville være under angriperens kontroll. Moderne nettlesere vil vanligvis varsle brukere om at de er på et nettsted uten HTTPS, og dette angrepet fungerer ikke for HTTPS-nettsteder som har et sertifikat.

Imidlertid, med en variant av DNS-forfalskning, kan en angriper sende deg til et nettsted med en litt annen URL enn den du hadde tenkt å besøke. Tenk “protomvpn.com” i stedet for “protonvpn.com”. Dessuten kan denne typen falske nettsteder bruke HTTPS og ha et gyldig sertifikat. Nettleseren din viser en grønn lås ved siden av adressen, noe som gjør det vanskeligere å oppdage.

punycode

Dessverre, med nylige Punycode-angrep, har hackere funnet en måte å lage to nettsteder med samme URL og et gyldig HTTPS-sertifikat. Punycode er en type koding som brukes av nettlesere for å konvertere alle de forskjellige Unicode-tegnene (som ß, 竹 eller Ж) til det begrensede tegnsettet (A-Z, 0-9) som støttes av det internasjonale domenenavnsystemet. Hvis et eksempel brukte et kinesisk nettsted domenet “竹. Com” i Punycode, vil dette være representert av “xn--2uz.com”.

Inntrengere oppdaget at hvis du reverserer prosessen og angir Punycode-tegn som et domene, så lenge alle tegnene er fra et enkelt fremmedspråklig tegnsett og Punycode-domenet er en nøyaktig match som det målrettede domenet, vil nettlesere gjengi det i målrettet domenes normale språk. I eksemplet som ble brukt i The Hacker News-artikkelen koblet over, registrerte en forsker domenet “xn--80ak6aa92e.com” som dukket opp som “apple.com”. Forskeren opprettet til og med dette falske epleområdet for å demonstrere hvor vanskelig det er å skille nettstedene fra hverandre ved å bruke URL og HTTPS informasjon.

Som forskerens eksempel viser, kan et Punycode-nettsted implementere HTTPS og motta et gyldig sertifikat, noe som gjør det veldig vanskelig for deg å oppdage at du er på et falsk nettsted. Bare ved å undersøke de faktiske detaljene på HTTPS-sertifikatet, kan du skille mellom “xn--80ak6aa92e.com” og “apple.com”.

Heldigvis har mange nettlesere allerede adressert dette sikkerhetsproblemet, og de fleste vil nå vise adressen som xn--80ak6aa92e.com

Bruk en VPN på offentlig WiFi

Dette er bare noen av sårbarhetene du står overfor når du bruker et usikret offentlig WiFi-nettverk. Selv om du besøker et legitimt nettsted med riktig håndhevet HTTPS, kan det inneholde bilder eller skript fra nettsteder som ikke er beskyttet av HTTPS. En angriper kan deretter bruke disse skriptene og bildene til å levere skadelig programvare til enheten din.

En pålitelig VPN kan beskytte deg mot alle disse sikkerhetsproblemene. En VPN krypterer trafikken din og dirigerer den gjennom en VPN-server, noe som betyr at Internett-leverandøren din (eller eieren av en ondsinnet WiFi-hotspot) ikke kan overvåke aktiviteten din på nettet. Denne ekstra krypteringen vil beskytte forbindelsen din mot et TLS-nedgraderingsangrep.  

Grundige VPN-tjenester, som ProtonVPN, driver også sine egne DNS-servere, slik at de kan kryptere og behandle DNS-spørsmålene dine. ProtonVPNs apper beskytter deg mot en DNS-lekkasje ved å tvinge nettleseren din til å løse DNS-spørsmål via våre DNS-servere. Vi beskytter til og med DNS-spørsmålene dine hvis du er koblet fra. Vår Kill Switch-funksjon blokkerer øyeblikkelig alle nettverkstilkoblinger hvis du er koblet fra VPN-serveren din, slik at dataene dine ikke blir eksponert.  

ProtonVPNs gratis VPN-plan tilbyr alle en gratis, enkel måte å beskytte sin internettforbindelse mot disse angrepene. Med vår gratis VPN-tjeneste trenger du aldri å bruke offentlig WiFi uten VPN igjen.

Med vennlig hilsen,
ProtonVPN-teamet

Twitter | Facebook | Reddit

For å få en gratis ProtonMail-kryptert e-postkonto, besøk: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me