Hvorfor du har brug for VPN for at forblive sikker på offentlig WiFI (HTTPS er ikke nok)

De fleste websteder bruger nu HTTPS til at kryptere din forbindelse og tilføje et ekstra lag beskyttelse til dine data. Men hvis du er på offentlig WiFi, bruger HTTPS uden en VPN, at nogle af dine data stadig vil være sårbare.


Redigering: En tidligere version af dette blogindlæg kunne have været misforstået, da det antydede, at TLS 1.2 er blevet brudt. Vi har fjernet det afsnit, der kan forårsage denne forvirring.

Hypertext Transfer Protocol Secure eller HTTPS krypterer trafikken mellem din enhed og et websted, hvilket gør det vanskeligt for ubudne gæster at observere de oplysninger, der deles. Det indeholder også underskrifter eller HTTPS-certifikater, der giver dig mulighed for at verificere, at det websted, du er på, drives af hvem det hævder at det er. HTTPS er blevet en standard sikkerhedsfunktion for næsten alle websteder.

Hvis HTTPS krypterer din forbindelse til et websted, er ikke offentlig WiFi sikkert? Desværre krypterer HTTPS ikke alle dine data, f.eks. DNS-forespørgsler. Hvis du bruger offentlig WiFi uden VPN, sætter du dig selv i fare.

Sådan fungerer HTTPS

HTTPS bruger TLS-protokollen (Transport Layer Security) til at sikre forbindelsen mellem en webbrowser og et websted. En protokol er simpelthen et sæt regler og instruktioner, der styrer, hvordan computere kommunikerer med hinanden. TLS-protokollen er rygraden i at sikre online-forbindelser. Det er det, der giver dig mulighed for at indtaste dine loginoplysninger, gennemse websteder eller udføre online bank uden at andre ser indholdet.

TLS bruger kryptering med privat nøgle. En nøgle er simpelthen en kode til computere, der er involveret i transmission af meddelelser, og en privat nøgle er en, der ikke er åben for offentligheden. For at sikre integriteten af ​​deres forbindelse indleder din browser og internetserveren et “håndtryk” ved at dele en offentlig nøgle. Når håndtrykket er etableret, forhandler serveren og browseren private nøgler for at kryptere din forbindelse. Hver forbindelse genererer sin egen, unikke private nøgle, og forbindelsen krypteres, før der sendes en enkelt byte med data. Når krypteringen er på plads, kan indtrængende ikke overvåge eller ændre kommunikationen mellem webbrowser og websted uden at blive opdaget.

TLS leverer også digitale certifikater, der autentificerer webstedets legitimationsoplysninger og fortæller dig, at dataene kommer fra en betroet kilde (eller et websted, der hævder at være et). Et digitalt certifikat udstedes af en certificeringsmyndighed.

Dette system har stadig visse sårbarheder, som vi vil diskutere nedenfor, men det betragtes som sikkert. Den første sårbarhed, der ved hjælp af offentlig WiFi uden en VPN udsættes dig for, er, at TLS ikke beskytter forespørgsler om domænenavnsystem (endnu).

Hvad er en DNS-forespørgsel?

Domænenavnsystemet oversætter menneskevenlige URL’er til numeriske IP-adresser, som computere kan forstå. For at besøge vores websted for eksempel skriver du URL-adressen www.protonvpn.com, men din computer ser det som [185.70.40.231]. For at finde dette nummer bruger din webbrowser det, der kaldes en DNS-resolver, som normalt leveres af din internetudbyder. Tænk på denne resolver som en sidekick, der kaster sig rundt med at oversætte URL’en til det websted, du ønsker at besøge, til dets IP-adresse.

Din DNS-anmodning er ikke krypteret. En ubuden gæst kan observere dine DNS-forespørgsler og din DNS-opløsers svar på dem. Dette fører os til det første angreb, du kan lide, hvis du bruger offentlig WiFi uden en VPN: DNS-lækager.

DNS lækker

Hvis nogen skulle overvåge dine DNS-forespørgsler, ville de have en liste over alle de websteder, du har besøgt, sammen med din enheds IP-adresse. I betragtning af den svage sikkerhed hos de fleste offentlige WiFi-hotspots ville det være relativt simpelt for en ubuden gæst at få adgang til netværket og derefter logge dine DNS-forespørgsler. Dine data kan stadig være i fare, selvom der ikke er nogen indtrængende, fordi resolver på den offentlige WiFi selv kan høste dine data.

DNS-forfalskning

En DNS-lækage tillader en ubuden gæst at overvåge din aktivitet, men hvis en angriber forfalsker dine DNS-anmodninger, kan de omdirigere dig til et ondsindet websted, de kontrollerer. Også kendt som DNS-forgiftning, sker dette, når en angriber foregiver at være din DNS-resolver. Angriberen forfalsker derefter IP-adressen til et målwebsted og erstatter den med IP-adressen på et websted, der er under deres kontrol. URL-adressen vil være den samme som det websted, du havde til hensigt at besøge, men stedet ville være under kontrol af angriberen. Moderne browsere vil generelt advare brugere om, at de er på et websted uden HTTPS, og dette angreb fungerer ikke for HTTPS-websteder, der har et certifikat.

Med en variation af DNS-spoofing kunne en angriber imidlertid sende dig til et sted med en lidt anden URL end den, du havde til hensigt at besøge. Tænk “protomvpn.com” i stedet for “protonvpn.com”. Desuden kan denne type falske websteder bruge HTTPS og have et gyldigt certifikat. Din browser viser en grøn lås ved siden af ​​adressen, hvilket gør det sværere at opdage.

punycode

Desværre har hackere med de seneste Punycode-angreb fundet en måde at oprette to websteder med den samme URL og et gyldigt HTTPS-certifikat. Punycode er en type kodning, der bruges af webbrowsere til at konvertere alle de forskellige Unicode-tegn (som ß, 竹 eller Ж) til det begrænsede tegnsæt (A-Z, 0-9) understøttet af det internationale domænenavnsystem. Hvis et eksempel, hvis et kinesisk websted anvendte domænet “竹 .com” i Punycode, ville det være repræsenteret af “xn--2uz.com”.

Indtrængende opdagede, at hvis du vender processen og indtaster Punycode-tegn som et domæne, så længe alle tegnene er fra et enkelt fremmedsprogs tegnsæt, og Punycode-domænet er et nøjagtigt match som det målrettede domæne, vil browsere gengive det i målrettet domænes normale sprog. I det eksempel, der blev brugt i The Hacker News-artikel, der er linket ovenfor, registrerede en forsker domænet “xn--80ak6aa92e.com”, der optrådte som “apple.com”. Forskeren oprettede endda dette falske æblewebsted for at demonstrere, hvor svært det er at skelne siderne fra hinanden ved hjælp af URL- og HTTPS-oplysninger alene.

Som forskerens eksempel viser, kan et Punycode-websted implementere HTTPS og modtage et gyldigt certifikat, hvilket gør det meget svært for dig at opdage, at du er på et falsk websted. Kun ved at undersøge de faktiske detaljer på HTTPS-certifikatet kan du skelne mellem “xn--80ak6aa92e.com” og “apple.com”.

Heldigvis har mange browsere allerede adresseret denne sårbarhed, og de fleste vil nu vise adressen som xn--80ak6aa92e.com

Brug en VPN på offentlig WiFi

Dette er blot nogle af de sårbarheder, du står overfor, når du bruger et usikret offentlig WiFi-netværk. Selv hvis du besøger et legitimt sted med korrekt håndhævet HTTPS, kan det indeholde billeder eller scripts fra websteder, der ikke er beskyttet af HTTPS. En angriber kunne derefter bruge disse scripts og billeder til at levere malware på din enhed.

En pålidelig VPN kan beskytte dig mod alle disse sårbarheder. En VPN krypterer din trafik og dirigerer den gennem en VPN-server, hvilket betyder, at din internetudbyder (eller ejeren af ​​en ondsindet WiFi-hotspot) ikke kan overvåge din online aktivitet. Denne ekstra kryptering beskytter din forbindelse fra et TLS-nedgraderingsangreb.  

Grundige VPN-tjenester, som ProtonVPN, kører også deres egne DNS-servere, så de kan kryptere og behandle dine DNS-forespørgsler. ProtonVPNs apps beskytter dig mod en DNS-lækage ved at tvinge din browser til at løse DNS-forespørgsler via vores DNS-servere. Vi beskytter endda dine DNS-forespørgsler, hvis du er frakoblet. Vores Kill Switch-funktion blokerer øjeblikkeligt alle netværksforbindelser, hvis du er afbrudt fra din VPN-server, så dine data ikke bliver eksponeret.  

ProtonVPNs gratis VPN-plan tilbyder alle en gratis, enkel måde at beskytte deres internetforbindelse mod disse angreb. Med vores gratis VPN-service behøver du aldrig bruge offentlig WiFi uden en VPN igen.

Med venlig hilsen,
ProtonVPN-teamet

Twitter | Facebook | Reddit

For at få en gratis ProtonMail-krypteret e-mail-konto skal du besøge: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me