Waarom u VPN nodig het om veilig te bly op openbare WiFI (HTTPS is nie genoeg nie)

Die meeste webwerwe gebruik nou HTTPS om u verbinding te enkripteer en ‘n ekstra laag beskerming by u data te voeg. Maar as u op openbare WiFi gebruik, beteken HTTPS sonder ‘n VPN dat sommige van u data steeds kwesbaar sal wees.


Wysig: ‘n Vroeëre weergawe van hierdie blogpos kon verkeerd verstaan ​​word, wat impliseer dat TLS 1.2 gebreek is. Ons het die gedeelte verwyder wat hierdie verwarring kan veroorsaak.

Die Hypertext Transfer Protocol Secure, of HTTPS, kodeer die verkeer tussen u toestel en ‘n webwerf, wat dit vir indringers moeilik maak om die inligting wat gedeel word, te waarneem. Dit bevat ook handtekeninge, of HTTPS-sertifikate, waarmee u kan verifieer dat die webwerf waarop u is, bestuur word deur wie dit beweer. HTTPS het ‘n standaardveiligheidsfunksie geword vir byna alle webwerwe.

As HTTPS u verbinding met ‘n webwerf enkripteer, is die openbare WiFi dan nie veilig nie? Ongelukkig kodifiseer HTTPS nie al u data soos DNS-navrae nie. As u openbare WiFi sonder ‘n VPN gebruik, stel u uself in gevaar.

Hoe HTTPS werk

HTTPS gebruik die Transport Layer Security (TLS) protokol om die verband tussen ‘n webblaaier en ‘n webwerf te beveilig. ‘N Protokol is bloot ‘n stel reëls en instruksies wat bepaal hoe rekenaars met mekaar kommunikeer. Die TLS-protokol is die ruggraat van die verkryging van aanlynverbindings. Dit is wat u toelaat om u aanmeldbewyse in te voer, webwerwe te blaai of aanlynbankdienste uit te voer sonder dat ander die inhoud sien.

TLS gebruik privaat-sleutelkriptografie. ‘N Sleutel is bloot ‘n kode vir rekenaars wat betrokke is by die oordrag van boodskappe, en ‘n privaat sleutel is een wat nie vir die publiek oop is nie. Om die integriteit van hul verbinding te verseker, begin u blaaier en die internetbediener ‘n ‘handdruk’ deur ‘n openbare sleutel te deel. Sodra die handdruk opgestel is, onderhandel die bediener en blaaier oor private sleutels om u verbinding te enkripteer. Elke verbinding genereer sy eie, unieke private sleutel, en die verbinding word geïnkripteer voordat ‘n enkele byte data oorgedra word. Sodra die kodering beskikbaar is, kan indringers nie die kommunikasie tussen die webblaaier en webwerf monitor of verander sonder om dit op te spoor nie.

TLS lewer ook digitale sertifikate wat die geloofsbriewe van webwerwe verifieer en u laat weet dat die data afkomstig is van ‘n betroubare bron (of ‘n webwerf wat beweer dat hulle een is). ‘N Digitale sertifikaat word deur ‘n sertifiseringsowerheid uitgereik.

Hierdie stelsel het steeds sekere kwesbaarhede, soos hieronder bespreek, maar dit word as veilig beskou. Die eerste kwesbaarheid waarmee openbare WiFi sonder ‘n VPN gebruik word, is die feit dat TLS nog nie die DNS-navrae (DNS) -vrae beskerm nie (nog).

Wat is ‘n DNS-navraag?

Die domeinnaamstelsel vertaal mensvriendelike URL’s in numeriese IP-adresse wat rekenaars kan verstaan. Om byvoorbeeld ons webwerf te besoek, tik u die URL www.protonvpn.com in, maar u rekenaar beskou dit as [185.70.40.231]. Om hierdie nommer te vind, gebruik u webblaaier wat ‘n DNS-resolver genoem word, wat gewoonlik deur u internetdiensverskaffer voorsien word. Dink aan hierdie resolusie as ‘n sidekick wat skarrel om die URL van die webwerf wat u wil besoek, te vertaal na sy IP-adres.

U DNS-versoek is nie geïnkripteer nie. ‘N Indringer kan jou DNS-navrae en die antwoorde van jou DNS-resolver daarop reageer. Dit lei ons na die eerste aanval wat u kan ly as u openbare WiFi gebruik sonder ‘n VPN: DNS-lekkasies.

DNS lek

As iemand u DNS-navrae monitor, sou hulle ‘n lys hê van al die werwe wat u besoek het, saam met die IP-adres van u toestel. Gegewe die swak sekuriteit van die meeste openbare WiFi-hotspots, is dit ‘n betreklike eenvoudige oplossing vir ‘n indringer om toegang tot die netwerk te kry en dan u DNS-navrae aan te teken. U data kan steeds in gevaar wees, selfs al is daar geen indringer nie, omdat die resolusie op die openbare WiFi u data self kan oes.

DNS-spoofing

Met ‘n DNS-lek kan ‘n indringer u aktiwiteit monitor, maar as ‘n aanvaller u DNS-versoeke bedrieg, kan hulle u herlei na ‘n kwaadwillige webwerf wat hulle beheer. Dit staan ​​ook bekend as DNS-vergiftiging, en dit gebeur wanneer ‘n aanvaller voorgee dat hy u DNS-resolusie is. Die aanvaller bedrieg dan die IP-adres vir ‘n teikenwebwerf en vervang dit met die IP-adres van ‘n webwerf onder hulle beheer. Die URL sal dieselfde wees as die webwerf wat u van plan was om te besoek, maar die webwerf sal onder die beheer van die aanvaller wees. Moderne blaaiers sal gebruikers meestal waarsku dat hulle op ‘n webwerf sonder HTTPS is, en hierdie aanval sal nie werk vir HTTPS-webwerwe met ‘n sertifikaat nie.

Met ‘n variasie van DNS-spoofing, kan ‘n aanvaller jou egter na ‘n webwerf met ‘n effens ander URL stuur as die een wat u van plan was om te besoek. Dink aan “protomvpn.com” in plaas van “protonvpn.com”. Boonop kan hierdie soort vals webwerf HTTPS gebruik en ‘n geldige sertifikaat hê. U blaaier sal ‘n groen slot langs die adres wys, wat dit moeiliker is om op te spoor.

Punycode

Ongelukkig het hackers met onlangse Punycode-aanvalle ‘n manier gevind om twee webwerwe met dieselfde URL en ‘n geldige HTTPS-sertifikaat te maak. Punycode is ‘n tipe kodering wat deur webblaaiers gebruik word om al die verskillende Unicode-karakters (soos ß, 竹 of Ж) te omskep in die beperkte karakterset (A-Z, 0-9) wat deur die internasionale domeinnaamstelsel ondersteun word. As ‘n voorbeeld, as ‘n Chinese webwerf die domein “竹 .com” in Punycode gebruik, sal dit deur “xn--2uz.com” voorgestel word..

Inbrekers het ontdek dat as u die proses omkeer en Punycode-karakters as ‘n domein invoer, solank al die karakters uit ‘n enkele vreemde taalkarakter is en die Punycode-domein presies ooreenstem met die geteikende domein, sal blaaiers dit in die die normale taal van die geteikende domein. In die voorbeeld wat hierbo in The Hacker News gebruik is, het ‘n navorser die domein “xn--80ak6aa92e.com” geregistreer wat verskyn het as “apple.com”. Die navorser het selfs hierdie vals appel-webwerf geskep om aan te toon hoe moeilik dit is om die webwerwe van mekaar te onderskei deur slegs URL en HTTPS-inligting te gebruik.

Soos die voorbeeld van die navorser toon, kan ‘n Punycode-webwerf HTTPS implementeer en ‘n geldige sertifikaat ontvang, wat dit baie moeilik maak om te bespeur dat u op ‘n vals webwerf is. U kan slegs onderskei tussen “xn--80ak6aa92e.com” en “apple.com” deur die werklike besonderhede op die HTTPS-sertifikaat te ondersoek..

Gelukkig het baie blaaiers al hierdie kwesbaarheid aangespreek, en die meeste sal nou die adres as xn--80ak6aa92e.com vertoon.

Gebruik ‘n VPN op openbare WiFi

Dit is maar net enkele van die kwesbaarhede waarmee u te kampe het wanneer u ‘n openbare WiFi-netwerk gebruik wat nie verseker is nie. Selfs as u ‘n wettige webwerf besoek met HTTPS wat korrek afgedwing is, kan dit beelde of skrifte bevat van webwerwe wat nie deur HTTPS beskerm word nie. ‘N Aanvaller kan dan die skrifte en prente gebruik om wanware op u toestel te lewer.

‘N Betroubare VPN kan u beskerm teen al hierdie kwesbaarhede. ‘N Skynprivaatnetwerk versleutelt u verkeer en stuur dit deur ‘n VPN-bediener, wat beteken dat u internetdiensverskaffer (of die eienaar van ‘n kwaadwillige WiFi-hotspot) nie u aanlynaktiwiteit kan monitor nie. Hierdie addisionele kodering sal u verbinding beskerm teen ‘n TLS-afgradering-aanval.  

Deeglike VPN-dienste, soos ProtonVPN, bestuur ook hul eie DNS-bedieners, sodat hulle u DNS-navrae kan enkripteer en verwerk. ProtonVPN se programme beskerm jou teen ‘n DNS-lekkasie deur jou blaaier te dwing om DNS-vrae op te los via ons DNS-bedieners. Ons beskerm selfs u DNS-vrae as u ontkoppel. Ons Kill Switch-funksie blokkeer onmiddellik alle netwerkverbindings as u van u VPN-bediener ontkoppel word, sodat u data nie blootgestel word nie.  

Die gratis VPN-plan van ProtonVPN bied almal ‘n gratis, eenvoudige manier om hul internetverbinding teen hierdie aanvalle te beskerm. Met ons gratis VPN-diens hoef u nooit weer openbare WiFi te gebruik sonder ‘n VPN nie.

Beste wense,
Die ProtonVPN-span

Twitter | Facebook | reddit

Besoek ‘n gratis geïnkripteer e-posrekening met ProtonMail protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me