Zašto vam treba VPN da biste ostali sigurni na javnom WiFI-u (HTTPS nije dovoljan)

Većina web stranica sada koristi HTTPS za šifriranje vaše veze i dodavanje dodatnog sloja zaštite vašim podacima. Ali ako ste na javnom WiFi-u, korištenje HTTPS-a bez VPN-a znači da će neki vaši podaci i dalje biti ranjivi.


Uredi: Ranija verzija ovog posta na blogu mogla je pogrešno shvatiti kao nagovještaj da je TLS 1.2 slomljen. Uklonili smo odjeljak koji može uzrokovati ovu zbrku.

Hypertext Transfer Protocol Secure ili HTTPS kriptira promet između vašeg uređaja i web stranice, što uljezima otežava promatranje dijeljenih informacija. Također nudi potpise ili HTTPS potvrde pomoću kojih možete provjeriti vodi li web mjesto na kojem se nalazite onaj tko to tvrdi. HTTPS je postao standardna sigurnosna značajka za gotovo sve web stranice.

Ako HTTPS kriptira vašu vezu s nekom web lokacijom, nije li onda javni WiFi siguran? Nažalost, HTTPS ne šifrira sve vaše podatke, poput DNS upita. Ako koristite javni WiFi bez VPN-a, dovodite se u opasnost.

Kako funkcionira HTTPS

HTTPS koristi protokol za sigurnost transportnog sloja (TLS) da osigura vezu između web preglednika i web stranice. Protokol je jednostavno skup pravila i uputa koji uređuju način na koji računala međusobno komuniciraju. TLS protokol je okosnica osiguranja mrežnih veza. To je ono što vam omogućuje unos vjerodajnica za prijavu, pregledavanje web stranica ili obavljanje internetskog bankarstva bez da drugi vide sadržaj.

TLS koristi kriptografiju privatnog ključa. Ključ je jednostavno kôd za računala koja sudjeluju u prijenosu poruka, a privatni je ključ koji nije otvoren za javnost. Da bi osigurali integritet svoje veze, preglednik i internetski poslužitelj pokreću “stisak ruke” dijeljenjem javnog ključa. Jednom kada se uspostavi rukovanje, poslužitelj i preglednik dogovaraju privatne ključeve za šifriranje vaše veze. Svaka veza generira vlastiti, jedinstveni privatni ključ, a veza se šifrira prije nego što se prenese jedan bajt podataka. Jednom kada se šifrira, uljezi ne mogu nadzirati ili mijenjati komunikaciju između web preglednika i web stranice bez otkrivanja.

TLS također isporučuje digitalne certifikate koji potvrđuju vjerodajnice web stranica i obavještavaju vas da su podaci iz pouzdanog izvora (ili s web lokacije koja tvrdi da ih postoje). Digitalnu potvrdu izdaje certifikacijsko tijelo.

Ovaj sustav i dalje ima određene ranjivosti, kao što ćemo raspraviti u nastavku, ali smatra se sigurnim. Prva ranjivost kojoj je izložena upotreba javnog WiFi-a bez VPN-a jest činjenica da TLS ne štiti upite sustava domena (DNS) (još).

Što je DNS upit?

Sustav naziva domena prevodi URL-ove prilagođene ljudima na brojčane IP adrese koje računala mogu razumjeti. Na primjer, da biste posjetili našu web lokaciju, utipkajte URL www.protonvpn.com, ali vaše računalo to vidi kao [185.70.40.231]. Da bi pronašao ovaj broj, vaš web preglednik koristi ono što se naziva DNS razrešivač, koje obično isporučuje vaš davatelj internetskih usluga. Zamislite ovaj razrešivač kao pomoćnik koji viri oko prevođenja URL web mjesta koje želite posjetiti u njegovu IP adresu.

Vaš DNS zahtjev nije šifriran. Uljez može promatrati vaše DNS upite i odgovore vašeg DNS-a na njih. To nas vodi do prvog napada koji biste mogli pretrpjeti ako koristite javni WiFi bez VPN-a: DNS propuštanja.

DNS curenje

Ako bi netko nadzirao vaše DNS upite, imao bi popis svih web mjesta koje ste posjetili zajedno s IP adresom vašeg uređaja. S obzirom na slabu sigurnost većine javnih WiFi žarišnih točaka, uljez bi bio relativno jednostavan dobiti pristup mreži i zatim prijaviti svoje DNS upite. Vaši podaci mogu i dalje biti u opasnosti čak i ako nema uljeza jer bi razlučivač na javnom WiFi mogao sam prikupiti vaše podatke..

DNS spoofing

DNS propuštanje omogućuje uljezu da nadgleda vaše aktivnosti, ali ako napadač prevara vaše DNS zahtjeve, može vas preusmjeriti na zlonamjerno web mjesto koje oni kontroliraju. Poznato i kao trovanje DNS-om, to se događa kada se napadač pretvara da je vaš DNS-ov razrješitelj. Napadač tada lažno otkriva IP adresu ciljne web stranice i zamjenjuje je IP adresom web mjesta pod njihovim nadzorom. URL bi bio isti kao web mjesto koje ste namjeravali posjetiti, ali web bi bio pod kontrolom napadača. Moderni preglednici općenito će upozoravati korisnike da su na web lokaciji bez HTTPS-a, a ovaj napad neće raditi za HTTPS web lokacije koje imaju certifikat.

Međutim, uz varijaciju skrivanja DNS-a, napadač vas može poslati na web lokaciju s malo drugačijim URL-om od one koju ste namjeravali posjetiti. Razmislite “protomvpn.com” umjesto “protonvpn.com”. Štoviše, ova vrsta lažnih stranica može koristiti HTTPS i imati valjanu potvrdu. Vaš će preglednik pored adrese pokazati zelenu bravu, što je otežava otkrivanje.

punycode

Nažalost, s nedavnim napadima Punycode, hakeri su pronašli način da naprave dvije web stranice s istim URL-om i važećim HTTPS certifikatom. Punycode je vrsta kodiranja koju web preglednici koriste za pretvaranje svih različitih Unicode znakova (poput ß, 竹 ili Ž) u ograničeni skup znakova (A-Z, 0-9) koji podržava međunarodni sustav naziva domena. Na primjer, ako je kineska web stranica koristila domenu “com .com”, u Punycode-u, to bi bilo predstavljeno s “xn--2uz.com”.

Uljezi su otkrili da ako preokrenete postupak i unesete znakove Punycode kao domenu, sve dok su svi znakovi iz jednog skupa znakova na stranom jeziku, a domena Punycode točno odgovara ciljanoj domeni, preglednici će je prikazati u normalni jezik ciljane domene. U primjeru koji se koristi u gore navedenom članku Hacker News, istraživač je registrirao domenu „xn--80ak6aa92e.com“ koja se pojavila kao „apple.com“. Istraživač je čak stvorio ovo lažno web mjesto s jabukama kako bi pokazao koliko je teško odrediti web lokacije osim koristeći samo URL i HTTPS informacije.

Kao što pokazuje primjer istraživača, lokacija Punycode može implementirati HTTPS i primiti valjanu potvrdu, što vam otežava otkrivanje da ste na lažnoj web lokaciji. Samo ispitivanjem stvarnih detalja HTTPS certifikata možete razlikovati između “xn--80ak6aa92e.com” i “apple.com”.

Srećom, mnogi su se preglednici već pozabavili ovom ranjivošću i većina bi sada adresu prikazala kao xn--80ak6aa92e.com

Koristite VPN na javnom WiFi

Ovo su samo neke od ranjivosti s kojima se susrećete kada koristite nesigurnu javnu WiFi mrežu. Čak i ako posjetite legitimno web mjesto s pravilno implementiranim HTTPS-om, ono može sadržavati slike ili skripte s web mjesta koja HTTPS nisu zaštićena. Napadač bi tada mogao koristiti te skripte i slike za isporuku zlonamjernog softvera na vaš uređaj.

Pouzdan VPN može vas zaštititi od svih ovih ranjivosti. VPN kriptira vaš promet i usmjerava ga putem VPN poslužitelja, što znači da vaš davatelj internetskih usluga (ili vlasnik zlonamjerenog WiFi žarišta) ne može nadzirati vaše mrežne aktivnosti. Ova dodatna enkripcija zaštitit će vašu vezu od napada TLS-a.  

Temeljne VPN usluge, poput ProtonVPN, također pokreću vlastite DNS poslužitelje kako bi mogle šifrirati i obrađivati ​​vaše DNS upite. Aplikacije ProtonVPN-a štite vas od curenja DNS-a prisiljavajući vaš preglednik da riješi DNS upite putem naših DNS poslužitelja. Čak štitimo vaše DNS upite ako nemate vezu. Naša značajka Kill Switch trenutno blokira sve mrežne veze ako se prekinete s VPN poslužiteljem, onemogućujući izlaganje vaših podataka.  

ProtonVPN-ov besplatni VPN plan nudi svima slobodan i jednostavan način zaštite svoje internetske veze od ovih napada. Uz našu besplatnu VPN uslugu više nikad nećete morati koristiti javni WiFi bez VPN-a.

Lijepi Pozdrav,
Tim ProtonVPN-a

Twitter | Facebook | Reddit

Da biste dobili besplatni račun e-pošte šifriran za ProtonMail, posjetite: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map