Mengapa anda memerlukan VPN untuk tetap selamat di WiFI awam (HTTPS tidak mencukupi)

Sebilangan besar laman web kini menggunakan HTTPS untuk mengenkripsi sambungan anda dan menambahkan lapisan perlindungan tambahan pada data anda. Tetapi jika anda menggunakan WiFi awam, menggunakan HTTPS tanpa VPN bermaksud sebahagian data anda masih akan rentan.


Edit: Versi lama dari catatan blog ini mungkin disalahpahami sebagai menyiratkan bahawa TLS 1.2 telah rosak. Kami telah membuang bahagian yang boleh menyebabkan kekeliruan ini.

Hypertext Transfer Protocol Secure, atau HTTPS, menyulitkan lalu lintas antara peranti anda dan laman web, menyukarkan penyusup untuk memerhatikan maklumat yang dikongsi. Ini juga menyediakan tandatangan, atau sijil HTTPS, yang membolehkan anda mengesahkan bahawa laman web yang anda jalani dijalankan oleh siapa yang dituntut. HTTPS telah menjadi ciri keselamatan standard untuk hampir semua laman web.

Sekiranya HTTPS menyulitkan sambungan anda dengan laman web, maka adakah keselamatan awam tidak selamat? Malangnya, HTTPS tidak menyulitkan semua data anda, seperti pertanyaan DNS. Sekiranya anda menggunakan WiFi awam tanpa VPN, anda menghadapi risiko.

Cara HTTPS berfungsi

HTTPS menggunakan protokol Transport Layer Security (TLS) untuk menjamin hubungan antara penyemak imbas web dan laman web. Protokol hanyalah sekumpulan peraturan dan arahan yang mengatur bagaimana komputer berkomunikasi antara satu sama lain. Protokol TLS adalah tulang belakang untuk mendapatkan sambungan dalam talian. Itulah yang membolehkan anda memasukkan kelayakan masuk, melayari laman web, atau melakukan perbankan dalam talian tanpa orang lain melihat isinya.

TLS menggunakan kriptografi kunci peribadi. Kunci hanyalah kod untuk komputer yang terlibat dalam penghantaran mesej, dan kunci peribadi adalah kunci yang tidak terbuka untuk umum. Untuk memastikan integriti sambungan mereka, penyemak imbas dan pelayan Internet anda memulakan “jabat tangan” dengan berkongsi kunci awam. Setelah jabat tangan dibuat, pelayan dan penyemak imbas merundingkan kunci peribadi untuk menyulitkan sambungan anda. Setiap sambungan menghasilkan kunci peribadinya yang unik dan sambungannya disulitkan sebelum satu bait data dihantar. Setelah penyulitan berlaku, penyusup tidak dapat memantau atau mengubah komunikasi antara penyemak imbas web dan laman web tanpa dapat dikesan.

TLS juga membekalkan sijil digital yang mengesahkan kelayakan laman web dan memberitahu anda bahawa data tersebut berasal dari sumber yang dipercayai (atau laman web yang mengaku sebagai satu). Sijil digital dikeluarkan oleh pihak berkuasa perakuan.

Sistem ini masih mempunyai kelemahan tertentu, seperti yang akan kita bincangkan di bawah, tetapi dianggap selamat. Kerentanan pertama yang menggunakan WiFi awam tanpa VPN menunjukkan kepada anda adalah hakikat bahawa TLS tidak melindungi pertanyaan sistem nama domain (DNS) (belum).

Apa itu pertanyaan DNS?

Sistem nama domain menerjemahkan URL yang mesra manusia menjadi alamat IP berangka yang dapat difahami oleh komputer. Sebagai contoh, untuk melayari laman web kami, anda memasukkan URL www.protonvpn.com, tetapi komputer anda melihatnya sebagai [185.70.40.231]. Untuk mendapatkan nombor ini, penyemak imbas web anda menggunakan apa yang disebut sebagai penyelesai DNS, yang biasanya dibekalkan oleh penyedia perkhidmatan Internet anda. Anggaplah penyelesai ini sebagai penasihat yang terus menerus menerjemahkan URL laman web yang ingin anda lawati ke alamat IPnya.

Permintaan DNS anda tidak disulitkan. Penceroboh dapat memerhatikan pertanyaan DNS anda dan respons penyelesai DNS anda terhadapnya. Ini membawa kita ke serangan pertama yang mungkin anda alami jika menggunakan WiFi awam tanpa VPN: kebocoran DNS.

Kebocoran DNS

Sekiranya seseorang memantau pertanyaan DNS anda, mereka akan mempunyai senarai semua laman web yang anda kunjungi bersama dengan alamat IP peranti anda. Memandangkan keselamatan yang lemah pada kebanyakan titik panas WiFi awam, agak mudah bagi seorang penyusup untuk mendapatkan akses ke rangkaian dan kemudian log pertanyaan DNS anda. Data anda masih boleh berisiko walaupun tidak ada penyusup kerana penyelesai di WiFi awam dapat mengambil data anda sendiri.

Pemalsuan DNS

Kebocoran DNS membolehkan penceroboh memantau aktiviti anda, tetapi jika penyerang menipu permintaan DNS anda, mereka dapat mengarahkan anda ke laman web jahat yang mereka kendalikan. Juga dikenali sebagai keracunan DNS, ini berlaku apabila penyerang berpura-pura menjadi penyelesai DNS anda. Penyerang kemudian menipu alamat IP untuk laman web sasaran dan menggantinya dengan alamat IP laman web di bawah kawalan mereka. URL akan sama dengan laman web yang ingin anda lawati, tetapi laman web tersebut berada di bawah kawalan penyerang. Penyemak imbas moden umumnya akan memberi amaran kepada pengguna bahawa mereka berada di laman web tanpa HTTPS, dan serangan ini tidak akan berfungsi untuk laman web HTTPS yang mempunyai sijil.

Namun, dengan variasi spoofing DNS, penyerang dapat menghantar anda ke laman web dengan URL yang sedikit berbeza dari URL yang ingin anda kunjungi. Fikirkan “protomvpn.com” dan bukannya “protonvpn.com”. Selain itu, jenis laman web palsu ini boleh menggunakan HTTPS dan mempunyai sijil yang sah. Penyemak imbas anda akan menunjukkan kunci hijau di sebelah alamat, menjadikannya lebih sukar untuk dikesan.

Kod Puny

Malangnya, dengan serangan Punycode baru-baru ini, penggodam telah menemui cara untuk membuat dua laman web dengan URL yang sama dan sijil HTTPS yang sah. Punycode adalah sejenis pengekodan yang digunakan oleh penyemak imbas web untuk menukar semua watak Unicode yang berbeza (seperti ß, 竹, atau Ж) ke dalam set watak terhad (A-Z, 0-9) yang disokong oleh sistem nama domain antarabangsa. Sebagai contoh, jika situs web Cina menggunakan domain “竹 .com”, dalam Punycode, itu akan diwakili oleh “xn--2uz.com”.

Penceroboh mendapati bahawa jika anda membalikkan proses dan memasukkan watak Punycode sebagai domain, selagi semua watak berasal dari satu set watak bahasa asing dan domain Punycode adalah padanan yang tepat seperti domain yang disasarkan, maka penyemak imbas akan menjadikannya di bahasa normal domain yang disasarkan. Dalam contoh yang digunakan dalam artikel Berita Hacker yang dihubungkan di atas, seorang penyelidik mendaftarkan domain “xn--80ak6aa92e.com” yang muncul sebagai “apple.com”. Penyelidik bahkan membuat laman web palsu ini untuk menunjukkan betapa sukarnya memberitahu laman web selain menggunakan maklumat URL dan HTTPS sahaja.

Seperti yang ditunjukkan oleh penyelidik, laman Punycode dapat melaksanakan HTTPS dan menerima sijil yang sah, menjadikan anda sukar untuk mengesan anda berada di laman web palsu. Hanya dengan memeriksa perincian sebenar pada sijil HTTPS anda dapat membezakan antara “xn--80ak6aa92e.com” dan “apple.com”.

Nasib baik, banyak penyemak imbas telah menangani kerentanan ini dan kebanyakan sekarang akan menunjukkan alamatnya sebagai xn--80ak6aa92e.com

Gunakan VPN pada WiFi awam

Ini adalah beberapa kelemahan yang anda hadapi ketika menggunakan rangkaian WiFi awam yang tidak terjamin. Walaupun anda mengunjungi laman web yang sah dengan HTTPS yang dikuatkuasakan dengan betul, laman web ini boleh mengandungi gambar atau skrip dari laman web yang tidak dilindungi oleh HTTPS. Penyerang kemudian dapat menggunakan skrip dan gambar ini untuk menyampaikan perisian hasad ke perangkat anda.

VPN yang boleh dipercayai dapat melindungi anda dari semua kelemahan ini. VPN menyulitkan lalu lintas anda dan mengarahkannya melalui pelayan VPN, yang bermaksud bahawa penyedia perkhidmatan Internet anda (atau pemilik hotspot WiFi jahat) tidak dapat memantau aktiviti dalam talian anda. Penyulitan tambahan ini akan melindungi sambungan anda dari serangan penurunan peringkat TLS.  

Perkhidmatan VPN yang menyeluruh, seperti ProtonVPN, juga menjalankan pelayan DNS mereka sendiri, sehingga mereka dapat mengenkripsi dan memproses pertanyaan DNS anda. Aplikasi ProtonVPN melindungi anda dari kebocoran DNS dengan memaksa penyemak imbas anda menyelesaikan pertanyaan DNS melalui pelayan DNS kami. Kami bahkan melindungi pertanyaan DNS anda jika anda terputus. Fungsi Kill Switch kami secara seketika menyekat semua sambungan rangkaian jika anda terputus dari pelayan VPN anda, sehingga data anda tidak terkena.  

Pelan VPN ProtonVPN menawarkan semua cara percuma dan mudah untuk melindungi sambungan Internet mereka daripada serangan ini. Dengan perkhidmatan VPN percuma kami, anda tidak perlu lagi menggunakan WiFi awam tanpa VPN lagi.

Selamat sejahtera,
Pasukan ProtonVPN

Twitter | Facebook | Reddit

Untuk mendapatkan akaun e-mel yang disulitkan ProtonMail, lawati: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me