Waarom je VPN nodig hebt om veilig te blijven op openbare WiFI (HTTPS is niet genoeg)

De meeste websites gebruiken nu HTTPS om uw verbinding te versleutelen en een extra beschermingslaag aan uw gegevens toe te voegen. Maar als u openbare wifi gebruikt, betekent het gebruik van HTTPS zonder VPN dat sommige van uw gegevens nog steeds kwetsbaar zijn.


Bewerken: een eerdere versie van dit blogbericht kan verkeerd zijn begrepen omdat dit impliceert dat TLS 1.2 is verbroken. We hebben de sectie verwijderd die deze verwarring kan veroorzaken.

Het Hypertext Transfer Protocol Secure, of HTTPS, codeert het verkeer tussen uw apparaat en een website, waardoor indringers de informatie die wordt gedeeld moeilijk kunnen observeren. Het biedt ook handtekeningen of HTTPS-certificaten waarmee u kunt controleren of de site waarop u zich bevindt, wordt beheerd door wie deze beweert te zijn. HTTPS is een standaard beveiligingsfunctie geworden voor bijna alle websites.

Als HTTPS je verbinding met een site versleutelt, is openbare wifi dan niet veilig? Helaas versleutelt HTTPS niet al uw gegevens, zoals DNS-zoekopdrachten. Als u openbare wifi zonder VPN gebruikt, brengt u uzelf in gevaar.

Hoe HTTPS werkt

HTTPS gebruikt het Transport Layer Security (TLS) -protocol om de verbinding tussen een webbrowser en een website te beveiligen. Een protocol is gewoon een set regels en instructies die bepalen hoe computers met elkaar communiceren. Het TLS-protocol is de ruggengraat van het beveiligen van online verbindingen. Zo kunt u uw inloggegevens invoeren, door websites bladeren of online bankieren zonder dat anderen de inhoud zien.

TLS maakt gebruik van private-key cryptografie. Een sleutel is gewoon een code voor computers die betrokken zijn bij het verzenden van berichten, en een privésleutel is er een die niet openbaar is. Om de integriteit van hun verbinding te garanderen, initiëren uw browser en de internetserver een “handdruk” door een openbare sleutel te delen. Zodra de handdruk is vastgesteld, onderhandelen de server en browser over privésleutels om uw verbinding te versleutelen. Elke verbinding genereert zijn eigen, unieke privésleutel en de verbinding wordt gecodeerd voordat een enkele byte aan gegevens wordt verzonden. Als de codering eenmaal is ingevoerd, kunnen indringers de communicatie tussen de webbrowser en de website niet volgen of wijzigen zonder te worden gedetecteerd.

TLS levert ook digitale certificaten die de referenties van websites verifiëren en u laten weten dat de gegevens afkomstig zijn van een vertrouwde bron (of een site die beweert er een te zijn). Een digitaal certificaat wordt afgegeven door een certificeringsinstantie.

Dit systeem heeft nog steeds bepaalde kwetsbaarheden, zoals we hieronder zullen bespreken, maar het wordt als veilig beschouwd. Het eerste beveiligingslek waaraan het gebruik van openbare wifi zonder VPN u blootstelt, is het feit dat TLS (nog) geen domeinnaamsysteem (DNS) -vragen beschermt.

Wat is een DNS-query?

Het domeinnaamsysteem vertaalt mensvriendelijke URL’s in numerieke IP-adressen die computers kunnen begrijpen. Als u bijvoorbeeld onze site wilt bezoeken, typt u de URL www.protonvpn.com, maar uw computer ziet deze als [185.70.40.231]. Om dit nummer te vinden, gebruikt uw webbrowser een zogenaamde DNS-resolver, die meestal wordt geleverd door uw internetprovider. Beschouw deze resolver als een hulpje dat rondsnuffelt in het vertalen van de URL van de site die u wilt bezoeken in zijn IP-adres.

Uw DNS-verzoek is niet versleuteld. Een indringer kan uw DNS-vragen en de reacties van uw DNS-resolver daarop observeren. Dit brengt ons bij de eerste aanval die u zou kunnen lijden als u openbare wifi gebruikt zonder VPN: DNS-lekken.

DNS-lek

Als iemand uw DNS-zoekopdrachten zou controleren, zou hij een lijst hebben met alle sites die u hebt bezocht, samen met het IP-adres van uw apparaat. Gezien de zwakke beveiliging van de meeste openbare WiFi-hotspots, zou het voor een indringer relatief eenvoudig zijn om toegang te krijgen tot het netwerk en vervolgens uw DNS-zoekopdrachten te loggen. Uw gegevens kunnen nog steeds risico lopen, zelfs als er geen indringer is, omdat de resolver op de openbare wifi uw gegevens zelf kan verzamelen.

DNS-spoofing

Door een DNS-lek kan een indringer uw activiteit volgen, maar als een aanvaller uw DNS-verzoeken vervalst, kunnen zij u omleiden naar een kwaadaardige site die zij beheren. Ook bekend als DNS-vergiftiging, dit gebeurt wanneer een aanvaller zich voordoet als uw DNS-resolver. De aanvaller vervalst vervolgens het IP-adres van een doelwebsite en vervangt het door het IP-adres van een site die onder zijn beheer staat. De URL zou hetzelfde zijn als de site die u van plan was te bezoeken, maar de site zou onder controle van de aanvaller staan. Moderne browsers waarschuwen gebruikers over het algemeen dat ze zich op een site zonder HTTPS bevinden, en deze aanval werkt niet voor HTTPS-sites met een certificaat.

Met een variatie op DNS-spoofing kan een aanvaller u echter naar een site sturen met een iets andere URL dan de URL die u van plan was te bezoeken. Denk aan “protomvpn.com” in plaats van “protonvpn.com”. Bovendien kan dit type nepsite HTTPS gebruiken en een geldig certificaat hebben. Uw browser geeft een groen slot naast het adres weer, waardoor het moeilijker te detecteren is.

Punycode

Helaas hebben hackers met recente Punycode-aanvallen een manier gevonden om twee websites te maken met dezelfde URL en een geldig HTTPS-certificaat. Punycode is een coderingstype dat door webbrowsers wordt gebruikt om alle verschillende Unicode-tekens (zoals ß, 竹 of Ж) om te zetten in de beperkte tekenset (A-Z, 0-9) die wordt ondersteund door het internationale domeinnaamsysteem. Als een Chinese website bijvoorbeeld in Punycode het domein “竹 .com” zou gebruiken, zou dat worden weergegeven door “xn--2uz.com”.

Indringers ontdekten dat als u het proces omkeert en Punycode-tekens als een domein invoert, zolang alle tekens afkomstig zijn uit een enkele tekenset voor een vreemde taal en het Punycode-domein exact overeenkomt met het beoogde domein, dan zullen browsers het weergeven in de de normale taal van het getargete domein. In het voorbeeld dat werd gebruikt in het hierboven gekoppelde artikel over Hacker-nieuws, registreerde een onderzoeker het domein “xn--80ak6aa92e.com” dat verscheen als “apple.com”. De onderzoeker heeft zelfs deze nep-appelsite gemaakt om te laten zien hoe moeilijk het is om de sites van elkaar te onderscheiden met alleen URL- en HTTPS-informatie.

Zoals het voorbeeld van de onderzoeker aantoont, kan een Punycode-site HTTPS implementeren en een geldig certificaat ontvangen, waardoor het erg moeilijk voor u is om te detecteren dat u zich op een nepsite bevindt. Alleen door de daadwerkelijke details van het HTTPS-certificaat te bekijken, kunt u onderscheid maken tussen “xn--80ak6aa92e.com” en “apple.com”.

Gelukkig hebben veel browsers dit beveiligingslek al aangepakt en de meeste zouden nu het adres weergeven als xn--80ak6aa92e.com

Gebruik een VPN op openbare wifi

Dit zijn slechts enkele van de kwetsbaarheden waarmee u te maken krijgt wanneer u een onbeveiligd openbaar wifi-netwerk gebruikt. Zelfs als u een legitieme site bezoekt met correct afgedwongen HTTPS, kan deze afbeeldingen of scripts bevatten van sites die niet zijn beschermd door HTTPS. Een aanvaller kan deze scripts en afbeeldingen vervolgens gebruiken om malware op uw apparaat af te leveren.

Een betrouwbare VPN kan je beschermen tegen al deze kwetsbaarheden. Een VPN versleutelt uw verkeer en leidt het via een VPN-server, wat betekent dat uw internetprovider (of de eigenaar van een kwaadaardige wifi-hotspot) uw online activiteiten niet kan volgen. Deze extra codering beschermt uw verbinding tegen een TLS-downgrade-aanval.  

Grondige VPN-services, zoals ProtonVPN, voeren ook hun eigen DNS-servers uit, zodat ze uw DNS-zoekopdrachten kunnen versleutelen en verwerken. De apps van ProtonVPN beschermen u tegen een DNS-lek door uw browser te dwingen DNS-vragen op te lossen via onze DNS-servers. We beschermen zelfs uw DNS-zoekopdrachten als u de verbinding verliest. Onze Kill Switch-functie blokkeert onmiddellijk alle netwerkverbindingen als u de verbinding met uw VPN-server verbreekt, zodat uw gegevens niet worden blootgesteld.  

Het gratis VPN-abonnement van ProtonVPN biedt iedereen een gratis, eenvoudige manier om hun internetverbinding tegen deze aanvallen te beschermen. Met onze gratis VPN-service hoef je nooit meer openbare wifi te gebruiken zonder een VPN.

Vriendelijke groeten,
Het ProtonVPN-team

Twitter | Facebook | Reddit

Ga voor een gratis met ProtonMail versleuteld e-mailaccount naar: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map