Зашто вам треба ВПН да бисте остали безбедни на јавном ВиФИ-у (ХТТПС није довољан)

Већина веб локација сада користи ХТТПС за шифрирање ваше везе и додавање додатног слоја заштите вашим подацима. Али ако сте на јавном ВиФи-у, коришћење ХТТПС-а без ВПН-а значи да ће неки од ваших података и даље бити рањиви.


Уреди: Ранија верзија овог блога могла је погрешно да се схвати као наговештај да је ТЛС 1.2 покварен. Уклонили смо одељак који може изазвати ову збрку.

Хипертект Трансфер Протоцол Сецуре или ХТТПС шифрира промет између вашег уређаја и веб локације, чинећи уљезе отежавају запажање информација које деле. Омогућује и потписе или ХТТПС цертификате који вам омогућавају да проверите да ли је локација на којој се налазите води онај ко то тврди. ХТТПС је постао стандардна безбедносна функција за скоро све веб локације.

Ако ХТТПС шифрира вашу везу са веб страницом, није ли онда безбедан јавни ВиФи? Нажалост, ХТТПС не шифрира све ваше податке, попут ДНС упита. Ако користите јавни ВиФи без ВПН-а, доводите се у ризик.

Како функционише ХТТПС

ХТТПС користи протокол за транспортни ниво безбедности (ТЛС) да осигура везу између веб прегледача и веб локације. Протокол је једноставно скуп правила и упутстава која регулишу начин на који рачунари међусобно комуницирају. ТЛС протокол је окосница осигурања онлајн веза. То је оно што вам омогућава да унесете акредитиве за пријаву, прегледате веб локације или извршите мрежно банкарство, а да други не виде садржај.

ТЛС користи криптографију приватног кључа. Кључ је једноставно шифра за рачунаре који учествују у преносу порука, а приватни кључ је онај који није отворен за јавност. Да би осигурали интегритет своје везе, прегледач и Интернет сервер покрећу „стисак руке“ дељењем јавног кључа. Једном када се успостави руковање, сервер и прегледач договарају приватне кључеве за шифровање ваше везе. Свака веза генерише свој властити, јединствени приватни кључ, а веза се шифрира пре него што се пренесе један бајт података. Једном када се шифрира на месту, уљези не могу да надгледају или мењају комуникацију између веб прегледача и веб локације без откривања.

ТЛС такође испоручује дигиталне сертификате који потврђују идентитете веб локација и обавештавају вас да су подаци из поузданог извора (или са веб локације која тврди да их постоје). Дигитални сертификат издаје сертификациони орган.

Овај систем и даље има одређене рањивости, о којима ћемо говорити у наставку, али се сматра сигурним. Прва рањивост коју вам излаже коришћење ВиФи-а без ВПН-а је чињеница да ТЛС не штити упите система домена (ДНС) (још).

Шта је ДНС упит?

Систем домена преводи УРЛ-ове прилагођене људима у нумеричке ИП адресе које рачунари могу да разумеју. На пример, да бисте посетили нашу веб локацију откуцајте УРЛ ввв.протонвпн.цом, али рачунар то види као [185.70.40.231]. Да би пронашао овај број, ваш веб прегледач користи оно што се назива ДНС разрешивач, које обично добија ваш провајдер Интернет услуга. Размислите о овом резолуцији као споредном типу који јури око превођења УРЛ адресе веб локације коју желите да посетите у његову ИП адресу.

Ваш ДНС захтев није шифрован. Провалник може надгледати ваше ДНС упите и одговоре вашег ДНС-а на њих. Ово нас води до првог напада који бисте могли претрпети ако користите јавни ВиФи без ВПН-а: ДНС цурења.

ДНС цурење

Ако би неко надгледао ваше ДНС упите, имао би списак свих веб локација које сте посетили заједно са ИП адресом уређаја. С обзиром на слабу сигурност већине јавних ВиФи жаришта, било би релативно једноставно да уљез добије приступ мрежи и затим пријави своје ДНС упите. Ваши подаци могу и даље бити у опасности чак и ако нема уљеза, јер разрешивач на јавном ВиФи-у може сам прикупити ваше податке..

ДНС споофинг

ДНС пропуштање омогућава уљезу да надгледа ваше активности, али ако нападач превари ваше ДНС захтеве, може да вас преусмери на злонамерну локацију коју они контролишу. Познато и као тровање ДНС-ом, то се догађа када се нападач претвара да је ваш ДНС-ов резолуција. Нападач онда лажно открива ИП адресу циљне веб локације и замењује је ИП адресом веб локације која је под њиховом контролом. УРЛ би био исти као сајт који сте намеравали да посетите, али би локација била под контролом нападача. Савремени прегледачи ће генерално упозоравати кориснике да су на веб локацији без ХТТПС-а, а овај напад неће радити за ХТТПС веб локације које имају сертификат.

Међутим, уз варијацију превара ДНС-а, нападач вас може послати на веб локацију са мало другачијим УРЛ-ом од оне коју сте намеравали да посетите. Размислите „протомвпн.цом“ уместо „протонвпн.цом“. Штавише, ова врста лажних страница може користити ХТТПС и имати валидан сертификат. Ваш прегледач ће поред адресе показати зелену браву, што је отежава откривање.

Пуницоде

Нажалост, с недавним нападима Пуницоде, хакери су пронашли начин да направе две веб странице са истим УРЛ-ом и важећим ХТТПС сертификатом. Пуницоде је врста кодирања коју веб претраживачи користе за претварање свих различитих Уницоде знакова (попут ß, 竹 или Ж) у ограничени скуп знакова (А-З, 0-9) који подржава међународни систем домена. На пример, ако би кинеска веб локација користила домен „цом .цом“, у Пуницоде-у, то би представљало „кн–2уз.цом“.

Уљези су открили да ако обрнете поступак и унесете знакове Пуницоде као домену, све док су сви знакови из једног скупа знакова на страном језику и домен Пуницоде је тачно подударање са циљаним доменом, прегледачи ће га приказати у нормални језик циљаног домена. У примеру кориштеном у везаном чланку Хацкер Невс-а, истраживач је регистровао домен „кн–80ак6аа92е.цом“ који се појавио као „аппле.цом“. Истраживач је чак створио ову лажну јабучну страницу како би демонстрирао колико је тешко одредити локације осим употребе само УРЛ-ова и ХТТПС информација.

Као што показује пример истраживача, сајт Пуницоде може имплементирати ХТТПС и примити валидан сертификат, што вам отежава откривање да сте на лажној локацији. Само испитивањем стварних детаља ХТТПС сертификата можете разликовати „кн–80ак6аа92е.цом“ и „аппле.цом“.

Срећом, многи прегледачи су се већ позабавили овом рањивошћу и већина би сада адресу приказала као кн–80ак6аа92е.цом

Користите ВПН на јавном ВиФи-у

Ово су само неке од рањивости са којима се сусрећете када користите несигурну јавну ВиФи мрежу. Чак и ако посетите легитимну локацију са правилно примењеним ХТТПС-ом, она може садржати слике или скрипте са веб локација које ХТТПС нису заштићене. Нападач би затим могао да користи ове скрипте и слике да би испоручио злонамјерни софтвер на ваш уређај.

Поуздан ВПН може вас заштитити од свих ових рањивости. ВПН шифрира ваш саобраћај и преусмерава га преко ВПН сервера, што значи да ваш провајдер интернетских услуга (или власник злонамерне ВиФи приступне тачке) не може надгледати ваше мрежне активности. Ова додатна енкрипција заштитиће вашу везу од напада ТЛС-а.  

Темељни ВПН сервиси, попут ПротонВПН, такође покрећу сопствене ДНС сервере како би могли да шифрују и обрађују ваше ДНС упите. ПротонВПН-ове апликације вас штите од цурења ДНС-а присиљавајући ваш претраживач да решава ДНС упите путем наших ДНС сервера. Чак штитимо ваше ДНС упите ако нисте повезани. Наша Килл Свитцх функција одмах блокира све мрежне везе ако сте искључени са ВПН сервера, спречавајући излагање података.  

ПротонВПН-ов бесплатни ВПН план нуди свима слободан, једноставан начин заштите своје интернет везе од ових напада. Уз нашу бесплатну ВПН услугу, више никада не морате користити јавни ВиФи без ВПН-а.

Срдачан поздрав,
Тим ПротонВПН-а

Твиттер | Фацебоок Реддит

Да бисте добили бесплатан рачун е-поште шифрованог ПротонМаил-а, посетите: протонмаил.цом


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me