Защо имате нужда от VPN, за да сте в безопасност при обществена WiFI (HTTPS не е достатъчно)

Повечето уебсайтове сега използват HTTPS за криптиране на връзката ви и добавяне на допълнителен слой защита към вашите данни. Но ако сте на обществен WiFi, използването на HTTPS без VPN означава, че някои от вашите данни все още ще бъдат уязвими.


Редактиране: По-ранна версия на този блог може да бъде разбрана погрешно като предполага, че TLS 1.2 е нарушен. Премахнахме секцията, която може да причини това объркване.

Hypertext Transfer Protocol Secure или HTTPS криптира трафика между вашето устройство и уебсайт, което затруднява нарушителите да наблюдават споделяната информация. Той също така предоставя подписи или HTTPS сертификати, които ви позволяват да проверите дали сайтът, на който се намирате, се управлява от този, който твърди, че е такъв. HTTPS се превърна в стандартна функция за сигурност за почти всички уебсайтове.

Ако HTTPS криптира връзката ви със сайт, тогава не е ли безопасен WiFi интернет? За съжаление, HTTPS не криптира всичките ви данни, като DNS заявки. Ако използвате обществен WiFi без VPN, излагате себе си на риск.

Как работи HTTPS

HTTPS използва протокола за защита на транспортния слой (TLS), за да осигури връзката между уеб браузър и уебсайт. Протоколът е просто набор от правила и инструкции, които уреждат начина, по който компютрите общуват помежду си. Протоколът TLS е основата на осигуряването на онлайн връзки. Това е, което ви позволява да въведете своите идентификационни данни за вход, да разглеждате уебсайтове или да извършвате онлайн банкиране, без други да виждат съдържанието.

TLS използва криптография с частен ключ. Ключът е просто код за компютри, участващи в предаването на съобщения, а частният ключ е този, който не е отворен за обществено ползване. За да се гарантира целостта на връзката им, вашият браузър и интернет сървърът инициират „ръкостискане“ чрез споделяне на публичен ключ. След като ръкостискането е установено, сървърът и браузърът договарят частни ключове за криптиране на връзката ви. Всяка връзка генерира собствен, уникален частен ключ и връзката се криптира преди да бъде предаден един байт данни. След като шифроването е въведено, натрапниците не могат да следят или променят комуникациите между уеб браузъра и уебсайта, без да бъдат открити.

TLS също така предоставя цифрови сертификати, които удостоверяват идентификационните данни на уебсайтовете и ви уведомяват, че данните са от надежден източник (или от сайт, който твърди, че е такъв). Дигитален сертификат се издава от сертифициращ орган.

Тази система все още има определени уязвимости, както ще обсъдим по-долу, но се счита за сигурна. Първата уязвимост, пред която ви излага използването на обществен WiFi без VPN, е фактът, че TLS не защитава заявките за система от имена на домейни (DNS) (все още).

Какво е DNS заявка?

Системата за имена на домейни превежда удобни за човека URL адреси в числови IP адреси, които компютрите могат да разберат. Например, за да посетите нашия сайт, въвеждате URL адреса www.protonvpn.com, но вашият компютър го вижда като [185.70.40.231]. За да намери този номер, вашият уеб браузър използва това, което се нарича DNS резолюция, което обикновено се доставя от вашия доставчик на интернет услуги. Помислете за този разделител като страничен удар, който се забърква да преведе URL адреса на сайта, който искате да посетите в неговия IP адрес.

Вашата заявка за DNS не е шифрована. Нарушител може да наблюдава вашите DNS заявки и отговорите на вашия DNS на тях. Това ни води до първата атака, която бихте могли да претърпите, ако използвате обществена WiFi без VPN: DNS течове.

DNS теч

Ако някой следи вашите DNS заявки, той ще има списък на всички посетени сайтове, заедно с IP адреса на устройството ви. Като се има предвид слабата сигурност на повечето обществени WiFi горещи точки, би било относително лесно за натрапник да получи достъп до мрежата и след това да регистрира вашите DNS заявки. Вашите данни все още биха могли да бъдат изложени на риск, дори да няма натрапник, тъй като разделителят на публичния WiFi може да извлече самите ви данни.

DNS spoofing

Изтичането на DNS позволява на натрапник да наблюдава вашата активност, но ако нападател подправя вашите DNS заявки, може да ви пренасочи към злонамерен сайт, който контролират. Известно също като отравяне с DNS, това се случва, когато нападател се преструва, че е вашият DNS разделител. След това нападателят подправя IP адреса на целевия уебсайт и го замества с IP адреса на сайт под техен контрол. URL адресът ще бъде същият като сайта, който възнамерявате да посетите, но той ще бъде под контрола на нападателя. Съвременните браузъри обикновено предупреждават потребителите, че са на сайт без HTTPS и тази атака няма да работи за HTTPS сайтове, които имат сертификат.

Въпреки това, с разновидност на сфининга на DNS, нападател може да ви изпрати до сайт с малко по-различен URL от този, който възнамерявате да посетите. Помислете „protomvpn.com“ вместо „protonvpn.com“. Освен това този тип фалшив сайт може да използва HTTPS и да има валиден сертификат. Браузърът ви ще показва зелена ключалка до адреса, което го прави по-трудно да се открие.

Punycode

За съжаление, с последните атаки на Punycode хакерите са намерили начин да направят два уебсайта със същия URL адрес и валиден HTTPS сертификат. Punycode е вид кодиране, използвано от уеб браузъри за преобразуване на всички различни символи на Unicode (като ß, 竹 или Ж) в ограничен набор от символи (A-Z, 0-9), поддържан от международната система от имена на домейни. Например, ако китайски уебсайт използва домейна „竹 .com“, в Punycode, той ще бъде представен от „xn--2uz.com“.

Нарушителите откриха, че ако обърнете процеса и въведете символите на Punycode като домейн, стига всички знаци да са от един набор от знаци на чужд език и домейнът Punycode да съвпада точно с целевия домейн, тогава браузърите ще го представят в нормалният език на целевия домейн. В примера, използван в статия на Hacker News, свързана по-горе, изследовател регистрира домейна „xn--80ak6aa92e.com“, който се появи като „apple.com“. Изследователят дори създаде този фалшив сайт за ябълки, за да демонстрира колко е трудно да разказвате сайтовете, като използвате само URL и HTTPS информация.

Както показва примерът на изследователя, сайтът на Punycode може да внедри HTTPS и да получи валиден сертификат, което ви затруднява да откриете, че сте на фалшив сайт. Само като проучите действителните подробности на HTTPS сертификата, можете да разграничите „xn--80ak6aa92e.com“ и „apple.com“.

За щастие, много браузъри вече са адресирали тази уязвимост и повечето сега биха показали адреса като xn--80ak6aa92e.com

Използвайте VPN на обществен WiFi

Това са само някои от уязвимостите, с които се сблъсквате, когато използвате необезпечена обществена WiFi мрежа. Дори ако посетите легитимен сайт с правилно приложен HTTPS, той може да съдържа изображения или скриптове от сайтове, които не са защитени от HTTPS. След това нападател може да използва тези скриптове и изображения, за да достави злонамерен софтуер на вашето устройство.

Надежден VPN може да ви защити от всички тези уязвимости. VPN криптира вашия трафик и го маршрутизира през VPN сървър, което означава, че вашият доставчик на интернет услуги (или собственикът на злонамерен WiFi гореща точка) не може да наблюдава вашата онлайн активност. Това допълнително криптиране ще защити връзката ви от атака за понижаване на TLS.  

Дълбоките VPN услуги, като ProtonVPN, също стартират свои собствени DNS сървъри, така че да могат да шифроват и обработват вашите DNS заявки. Приложенията на ProtonVPN ви защитават от изтичане на DNS, като принуждават браузъра ви да разрешава DNS заявки чрез нашите DNS сървъри. Ние дори защитаваме вашите DNS заявки, ако сте изключени. Нашата функция Kill Switch моментално блокира всички мрежови връзки, ако сте прекъснати от VPN сървъра, като предпазва данните ви от излагане.  

Безплатният VPN план на ProtonVPN предлага на всеки безплатен, прост начин да защити своята интернет връзка от тези атаки. С нашата безплатна VPN услуга никога повече не трябва да използвате обществена WiFi без VPN.

С Най-Добри Пожелания,
Екипът на ProtonVPN

Twitter | Facebook | Reddit

За да получите безплатен шифрован имейл акаунт за ProtonMail, посетете: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map