Per què necessita VPN per mantenir-se en seguretat a la xarxa WiFI pública (HTTPS no és suficient)

La majoria de llocs web ara utilitzen HTTPS per xifrar la vostra connexió i afegir una capa addicional de protecció a les vostres dades. Però si teniu WiFi pública, fer servir HTTPS sense VPN significa que algunes de les vostres dades encara seran vulnerables.


Edita: Una versió anterior d’aquesta publicació del bloc s’hauria pogut entendre malament perquè implicava que s’ha trencat TLS 1.2. Hem eliminat la secció que pot causar aquesta confusió.

L’Hypertext Transfer Protocol Secure, o HTTPS, xifra el trànsit entre el vostre dispositiu i un lloc web, cosa que fa que els intrusos puguin observar la informació que es comparteix. També proporciona signatures o certificats HTTPS, que permeten verificar que el lloc on esteu dirigit és el qui afirma que és. HTTPS s’ha convertit en una característica de seguretat estàndard per a gairebé tots els llocs web.

Si HTTPS xifra la vostra connexió amb un lloc, no serà WiFi segura pública? Malauradament, HTTPS no xifra totes les vostres dades, com les consultes DNS. Si utilitzeu WiFi pública sense VPN, us poseu en risc.

Com funciona HTTPS

HTTPS utilitza el protocol Transport Layer Security (TLS) per assegurar la connexió entre un navegador web i un lloc web. Un protocol és simplement un conjunt de regles i instruccions que regeixen la manera de comunicar-se els ordinadors entre ells. El protocol TLS és l’eix vertebrador de la seguretat de connexions en línia. És el que us permet introduir les vostres credencials d’inici de sessió, navegar per llocs web o realitzar operacions de banca en línia sense que altres vegin el contingut.

TLS utilitza criptografia en clau privada. Una clau és simplement un codi per als ordinadors implicats en la transmissió de missatges i una clau privada és una que no està oberta al públic. Per assegurar la integritat de la seva connexió, el vostre navegador i el servidor d’Internet inicien un “cop de mà” compartint una clau pública. Un cop establert el cop de mà, el servidor i el navegador negocien claus privades per xifrar la vostra connexió. Cada connexió genera la seva pròpia clau privada única i la connexió es xifra abans que es transmeti un sol byte de dades. Una vegada que el xifrat està al seu lloc, els intrusos no poden supervisar ni modificar les comunicacions entre el navegador web i el lloc web sense ser detectades.

TLS també subministra certificats digitals que autentiquen les credencials dels llocs web i us permeten saber que les dades provenen d’una font de confiança (o d’un lloc que afirma ser-ne un). Un autoritat de certificació emet un certificat digital.

Aquest sistema encara presenta algunes vulnerabilitats, com comentarem a continuació, però es considera segur. La primera vulnerabilitat a la qual s’exposa WiFi pública sense VPN és el fet que TLS no protegeix les consultes del sistema de noms de domini (DNS) (encara).

Què és una consulta DNS?

El sistema de noms de domini tradueix URL adreçables a les persones a adreces IP numèriques que els ordinadors poden comprendre. Per exemple, per visitar el nostre lloc, escriviu l’URL www.protonvpn.com, però el vostre ordinador ho veu com [185.70.40.231]. Per trobar aquest número, el vostre navegador web fa servir el que s’anomena un resoldre DNS, que normalment proveeix el vostre proveïdor de serveis d’Internet. Penseu en aquesta solució de resolució com a un lateral que tradueix la traducció de l’URL del lloc que voleu visitar a la seva adreça IP..

La sol·licitud DNS no està xifrada. Un intrús pot observar les vostres consultes DNS i les respostes del vostre resolució DNS a aquestes. Això ens porta al primer atac que podríeu patir si utilitzeu WiFi pública sense VPN: filtracions DNS.

Fuga de DNS

Si algú controlés les vostres consultes DNS, tindria una llista de tots els llocs que vau visitar juntament amb l’adreça IP del vostre dispositiu. Atesa la feble seguretat de la majoria dels punts d’accés WiFi públics, seria relativament senzill que un intrús accedeixi a la xarxa i, a continuació, registri les consultes DNS. Les vostres dades encara podrien estar en risc, fins i tot si no hi ha cap intrús perquè la resolució de la WiFi pública pugui recollir les vostres dades.

Spoofing de DNS

Una fuga DNS permet a un intrús supervisar la vostra activitat, però si un atacant fa malbé les vostres sol·licituds de DNS, us pot redirigir cap a un lloc malintencionat que controlen. També es coneix com a intoxicacions amb DNS, això succeeix quan un atacant pretén ser el vostre solucionador de DNS. L’atacant espatlla llavors l’adreça IP d’un lloc web destinatari i la substitueix per l’adreça IP d’un lloc sota el seu control. L’URL seria el mateix que el lloc que pretenia visitar, però el lloc estaria sota el control de l’atacant. Els navegadors moderns generalment avisaran els usuaris que es troben en un lloc sense HTTPS i aquest atac no funcionarà per a llocs HTTPS que tinguin un certificat.

Tanmateix, amb una variació de difusió del DNS, un atacant us pot enviar a un lloc amb una URL una mica diferent de la que pretenia visitar. Penseu a “protomvpn.com” en lloc de “protonvpn.com”. A més, aquest tipus de lloc fals pot utilitzar HTTPS i tenir un certificat vàlid. El vostre navegador mostrarà un bloqueig verd al costat de l’adreça, cosa que dificulta la detecció.

Codi de puny

Malauradament, amb els atacs punycode recents, els hackers han trobat la manera de fer dos llocs web amb la mateixa URL i un certificat HTTPS vàlid. Punycode és un tipus de codificació utilitzat pels navegadors web per convertir tots els diferents caràcters Unicode (com ß, 竹 o Ж) en un conjunt de caràcters limitat (A-Z, 0-9) suportat pel sistema de noms de domini internacional. A tall d’exemple, si un lloc web xinès utilitzava el domini “竹 .com”, en Punycode, es representaria amb “xn--2uz.com”.

Els intrusos van descobrir que si invertiu el procés i introduïu caràcters Punycode com a domini, sempre que tots els caràcters siguin d’un conjunt de caràcters en un idioma estranger i el domini Punycode coincideixi exactament com el domini objectiu, els navegadors el tornaran a presentar idioma normal del domini orientat A l’exemple que es fa servir a l’article de The Hacker News enllaçat anteriorment, un investigador va registrar el domini “xn--80ak6aa92e.com” que apareix com a “apple.com”. L’investigador fins i tot va crear aquest fals lloc de poma per demostrar el difícil que és dir els llocs a part, utilitzant només l’URL i la informació HTTPS..

Tal com demostra l’exemple de l’investigador, un lloc Punycode pot implementar HTTPS i rebre un certificat vàlid, cosa que us resulta molt difícil detectar que es troba en un lloc fals. Només examinant els detalls reals del certificat HTTPS podeu diferenciar entre “xn--80ak6aa92e.com” i “apple.com”.

Afortunadament, molts navegadors ja han abordat aquesta vulnerabilitat i la majoria ara mostrarien l’adreça com a xn--80ak6aa92e.com

Utilitzeu una VPN en WiFi pública

Aquestes són només algunes de les vulnerabilitats a les que s’enfronta quan s’utilitza una xarxa WiFi pública no segura. Fins i tot si visiteu un lloc legítim amb HTTPS aplicat correctament, pot contenir imatges o scripts de llocs no protegits per HTTPS. Un atacant podria utilitzar aquests scripts i imatges per enviar programari maliciós al dispositiu.

Una VPN de confiança us pot protegir de totes aquestes vulnerabilitats. Una VPN xifra el vostre trànsit i l’encamina a través d’un servidor VPN, el que vol dir que el vostre proveïdor de serveis d’Internet (o el propietari d’un hotspot WiFi maliciós) no pot supervisar l’activitat en línia. Aquest xifratge addicional protegirà la vostra connexió d’un atac de baixada de nivells de TLS.  

Els serveis VPN exhaustius, com ProtonVPN, també fan servir els seus propis servidors DNS, de manera que poden xifrar i processar les vostres consultes DNS. Les aplicacions de ProtonVPN us protegeixen d’una filtració DNS obligant el vostre navegador a resoldre les consultes DNS a través dels nostres servidors DNS. Fins i tot protegim les vostres consultes DNS si esteu desconnectats. La nostra funció Kill Switch bloqueja de forma instantània totes les connexions de xarxa si esteu desconnectats del vostre servidor VPN, evitant que les dades estiguin exposades.  

El pla gratuït de VPN de ProtonVPN ofereix a tothom una manera senzilla i gratuïta de protegir la seva connexió a Internet contra aquests atacs. Amb el nostre servei de VPN gratuït, mai no heu d’utilitzar WiFi pública sense VPN.

Salutacions cordials,
L’equip ProtonVPN

Twitter | Facebook | Reddit

Per obtenir un compte de correu electrònic xifrat de ProtonMail gratuït, visiteu: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map