Miks vajate VPN-i, et olla avalikus WiFi-s turvaline (HTTPS ei piisa)

Enamik veebisaite kasutab nüüd ühenduse krüptimiseks HTTPS-i ja lisab teie andmetele täiendava kaitsekihi. Kuid kui kasutate avalikku WiFi-t, tähendab HTTPS-i kasutamine ilma VPN-iga seda, et osa teie andmeid on endiselt haavatavad.


Redigeerimine: selle ajaveebi postituse varasemat versiooni oleks võinud valesti mõista nii, et see tähendab, et TLS 1.2 on katki. Oleme lõigu eemaldanud, mis võib segadust tekitada.

Turvaline hüperteksti ülekandeprotokoll ehk HTTPS krüpteerib teie seadme ja veebisaidi vahelise liikluse, muutes sissetungijatel jagatava teabe jälgimise keerukaks. Samuti pakub see allkirju või HTTPS-sertifikaate, mis võimaldavad teil kontrollida, et teie saiti haldab see, kelle kohta ta seda väidab. HTTPS-st on saanud peaaegu kõigi veebisaitide standardne turvafunktsioon.

Kui HTTPS krüpteerib teie ühenduse saidiga, kas siis pole avalik WiFi turvaline? Kahjuks ei krüpteeri HTTPS kõiki teie andmeid, näiteks DNS-päringuid. Kui kasutate avalikku WiFi-d ilma VPN-iga, seate end ohtu.

Kuidas HTTPS töötab?

HTTPS kasutab ühenduse tagamiseks veebibrauseri ja veebisaidi vahel transpordikihi turvalisust (TLS). Protokoll on lihtsalt reeglite ja juhiste kogum, mis reguleerib seda, kuidas arvutid üksteisega suhtlevad. TLS-protokoll on võrguühenduste turvamise alustala. See võimaldab teil sisestada oma sisselogimismandaadid, sirvida veebisaite või teostada Interneti-pangandust ilma, et teised sisu näeksid.

TLS kasutab privaatvõtme krüptograafiat. Võti on lihtsalt sõnumite edastamisel osalevate arvutite kood ja privaatne võti ei ole üldsusele avatud. Nende ühenduse tervikluse tagamiseks algatavad teie brauser ja Interneti-server avaliku võtme jagamise teel käepigistuse. Kui käepigistus on loodud, lepivad server ja brauser ühenduse krüptimiseks läbi privaatsed võtmed. Iga ühendus genereerib oma unikaalse privaatvõtme ja ühendus krüptitakse enne ühe andmebaiti edastamist. Kui krüptimine on paigas, ei saa sissetungijad jälgida ega muuta veebibrauseri ja veebisaidi vahelist sidet ilma neid tuvastamata.

TLS tarnib ka digitaalsertifikaate, mis autendivad veebisaitide volikirju ja annavad teile teada, et andmed pärinevad usaldusväärsest allikast (või saidilt, kes väidab end olevat). Digitaalse sertifikaadi väljastab sertifitseerimisasutus.

Sellel süsteemil on endiselt teatud turvaauke, nagu allpool arutame, kuid seda peetakse turvaliseks. Esimene haavatavus, mille korral avalikku WiFi-d ilma VPN-i kasutamata paljastate, on asjaolu, et TLS ei kaitse domeeninimesüsteemi (DNS) päringuid (veel).

Mis on DNS-päring??

Domeeninimesüsteem tõlgib inimsõbralikud URL-id numbrilisteks IP-aadressideks, millest arvutid aru saavad. Näiteks sisestage meie saidi külastamiseks URL-i www.protonvpn.com, kuid teie arvuti näeb seda kui [185.70.40.231]. Selle numbri leidmiseks kasutab teie veebibrauser nn DNS-eraldusvõimet, mida tavaliselt tarnib teie Interneti-teenuse pakkuja. Mõelge sellele lahendajale kui kaasvõitlejale, kes liigub külastatava saidi URL-i tõlkimisel selle IP-aadressile.

Teie DNS-i taotlus pole krüptitud. Sissetungija saab jälgida teie DNS-i päringuid ja teie DNS-i lahendaja vastuseid neile. See viib meid esimesse rünnakusse, mida võite kannatada, kui kasutate avalikku WiFi-d ilma VPN-ita: DNS lekib.

DNS-i leke

Kui keegi jälgiks teie DNS-i päringuid, oleks tal kõigi teie IP-aadresside loend kõigist teie külastatud saitidest. Arvestades enamiku avalike WiFi levialade nõrka turvalisust, oleks sissetungijal võrku juurde pääseda ja teie DNS-i päringuid logida. Teie andmed võivad ikkagi ohtu sattuda, isegi kui sissetungijat pole, kuna avaliku WiFi lahenduse pakkuja võib teie andmed ise koguda.

DNS-i võltsimine

DNS-i leke võimaldab sissetungijal teie tegevust jälgida, kuid kui ründaja peksab teie DNS-i taotlusi, võivad nad suunata teid kahjulikule saidile, mida nad kontrollivad. Tuntud ka kui DNS-i mürgitus, juhtub see siis, kui ründaja teeskleb teie DNS-i lahendajat. Seejärel peksab ründaja sihtveebisaidi IP-aadressi ja asendab selle nende kontrolli all oleva saidi IP-aadressiga. URL oleks sama kui see sait, mida kavatsete külastada, kuid sait oleks ründaja kontrolli all. Kaasaegsed brauserid hoiatavad kasutajaid üldiselt, et nad asuvad saidil ilma HTTPS-iga ja see rünnak ei toimi HTTPS-i saitidel, millel on sertifikaat.

DNS-i võltsimise variatsioonide korral võib ründaja saata teid saidile, mille URL on pisut erinev sellest, mida kavatsete külastada. Mõelge “protonvpn.com”, mitte “protonvpn.com”. Lisaks saab seda tüüpi võltsitud sait kasutada HTTPS-i ja omada kehtivat sertifikaati. Teie brauser kuvaks aadressi kõrval rohelise luku, mis raskendaks tuvastamist.

Punycode

Kahjuks on häkkerid hiljutiste Punycode-rünnakutega leidnud viisi, kuidas teha kaks sama URL-iga ja kehtiva HTTPS-sertifikaadiga veebisaiti. Punycode on teatud tüüpi kodeering, mida veebibrauserid kasutavad kõigi erinevate Unicode-tähemärkide (näiteks ß, 竹 või Ж) teisendamiseks piiratud märgistikuks (A-Z, 0-9), mida toetab rahvusvaheline domeeninimesüsteem. Näiteks kui Hiina veebisait kasutaks Punycodes domeeni „com .com”, tähistaks seda „xn--2uz.com”.

Sissetungijad avastasid, et kui pöördute protsessi ümber ja sisestate domeenina Punycode tähemärgid, kui kõik märgid on pärit ühest võõrkeelsest tähemärkide komplektist ja Punycode domeen on sihtotstarbelise domeeni täpsusega, siis muudavad brauserid selle sihitud domeeni tavakeel. Ülalpool lingitud Hacker Newsi artiklis kasutatud näites registreeris teadlane domeeni “xn--80ak6aa92e.com”, mis ilmus kui “apple.com”. Teadlane lõi selle võltsitud õunasaidi isegi selleks, et näidata, kui raske on neid saite eraldada, kasutades ainult URL-i ja HTTPS-i teavet.

Nagu teadlase näide näitab, saab Punycode’i sait rakendada HTTPS-i ja saada kehtiva sertifikaadi, muutes teie tuvastamise võltsitud saidil väga raskeks. Ainult HTTPS-i sertifikaadi tegelikke üksikasju uurides saate eristada „xn--80ak6aa92e.com” ja „apple.com”.

Õnneks on paljud brauserid juba seda haavatavust lahendanud ja enamik näitaks aadressi nüüd kujul xn--80ak6aa92e.com

Kasutage VPN-i avalikus WiFi-s

Need on vaid mõned nõrgad kohad, millega kokku puutute turvamata avaliku WiFi-võrgu kasutamisel. Isegi kui külastate seaduslikku saiti, kus on korralikult jõustatud HTTPS, võib see sisaldada pilte või skripte saitidelt, mida HTTPS ei kaitse. Seejärel võiks ründaja neid skripte ja pilte kasutada teie seadmesse pahavara edastamiseks.

Usaldusväärne VPN kaitseb teid kõigi nende haavatavuste eest. VPN krüpteerib teie liikluse ja suunab selle läbi VPN-serveri, mis tähendab, et teie Interneti-teenuse pakkuja (või pahatahtliku WiFi leviala omanik) ei saa teie veebitegevust jälgida. See täiendav krüptimine kaitseb teie ühendust TLS-i madalama versiooni rünnaku eest.  

Põhjalikud VPN-teenused, nagu näiteks ProtonVPN, käitavad ka oma DNS-servereid, et nad saaksid teie DNS-i päringuid krüptida ja töödelda. ProtonVPN-i rakendused kaitsevad teid DNS-i lekke eest, sundides teie brauserit lahendama DNS-i päringuid meie DNS-serverite kaudu. Kaitseme teie DNS-i päringuid isegi ühenduse katkestamise korral. Meie funktsioon Kill Switch blokeerib kohe kõik võrguühendused, kui olete VPN-serverist lahti ühendatud, hoides teie andmeid paljastamata.  

ProtonVPN tasuta VPN-kava pakub kõigile tasuta ja lihtsat viisi Interneti-ühenduse kaitsmiseks nende rünnakute eest. Meie tasuta VPN-teenuse abil ei pea te enam kunagi VPN-ita avalikku WiFi-d kasutama.

Parimate soovidega,
ProtonVPN meeskond

Twitter | Facebook | Reddit

ProtonMaili krüpteeritud e-posti konto saamiseks külastage veebisaiti: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map