Warum Sie VPN benötigen, um im öffentlichen WLAN sicher zu sein (HTTPS reicht nicht aus)

Die meisten Websites verwenden jetzt HTTPS, um Ihre Verbindung zu verschlüsseln und Ihren Daten eine zusätzliche Schutzschicht hinzuzufügen. Wenn Sie jedoch über öffentliches WLAN verfügen und HTTPS ohne VPN verwenden, sind einige Ihrer Daten weiterhin anfällig.


Bearbeiten: Eine frühere Version dieses Blog-Beitrags wurde möglicherweise als Hinweis darauf missverstanden, dass TLS 1.2 fehlerhaft ist. Wir haben den Abschnitt entfernt, der diese Verwirrung verursachen kann.

Das Hypertext Transfer Protocol Secure (HTTPS) verschlüsselt den Datenverkehr zwischen Ihrem Gerät und einer Website und erschwert es Eindringlingen, die gemeinsam genutzten Informationen zu beobachten. Es enthält auch Signaturen oder HTTPS-Zertifikate, mit denen Sie überprüfen können, ob die Site, auf der Sie sich befinden, von dem ausgeführt wird, für den sie sich ausgibt. HTTPS ist zu einem Standard-Sicherheitsmerkmal für fast alle Websites geworden.

Wenn HTTPS Ihre Verbindung mit einer Site verschlüsselt, ist öffentliches WLAN dann nicht sicher? Leider verschlüsselt HTTPS nicht alle Ihre Daten, wie z. B. DNS-Abfragen. Wenn Sie öffentliches WLAN ohne VPN verwenden, setzen Sie sich selbst einem Risiko aus.

Wie HTTPS funktioniert

HTTPS verwendet das TLS-Protokoll (Transport Layer Security), um die Verbindung zwischen einem Webbrowser und einer Website zu sichern. Ein Protokoll ist einfach ein Satz von Regeln und Anweisungen, die regeln, wie Computer miteinander kommunizieren. Das TLS-Protokoll ist das Rückgrat für die Sicherung von Online-Verbindungen. Auf diese Weise können Sie Ihre Anmeldeinformationen eingeben, Websites durchsuchen oder Online-Banking durchführen, ohne dass andere den Inhalt sehen.

TLS verwendet Kryptografie mit privatem Schlüssel. Ein Schlüssel ist einfach ein Code für Computer, die an der Nachrichtenübertragung beteiligt sind, und ein privater Schlüssel ist ein Schlüssel, der nicht für die Öffentlichkeit zugänglich ist. Um die Integrität ihrer Verbindung sicherzustellen, initiieren Ihr Browser und der Internet-Server einen „Handshake“, indem Sie einen öffentlichen Schlüssel freigeben. Sobald der Handshake hergestellt ist, verhandeln der Server und der Browser private Schlüssel, um Ihre Verbindung zu verschlüsseln. Jede Verbindung generiert einen eigenen, eindeutigen privaten Schlüssel, und die Verbindung wird verschlüsselt, bevor ein einzelnes Datenbyte übertragen wird. Sobald die Verschlüsselung eingerichtet ist, können Eindringlinge die Kommunikation zwischen dem Webbrowser und der Website nicht mehr überwachen oder ändern, ohne dass sie erkannt werden.

TLS stellt auch digitale Zertifikate zur Verfügung, die die Anmeldeinformationen von Websites authentifizieren und Sie darüber informieren, dass die Daten von einer vertrauenswürdigen Quelle stammen (oder von einer Site, die behauptet, eine zu sein). Ein digitales Zertifikat wird von einer Zertifizierungsstelle ausgestellt.

Dieses System weist immer noch bestimmte Schwachstellen auf, wie wir weiter unten diskutieren werden, wird jedoch als sicher angesehen. Die erste Sicherheitsanfälligkeit, der Sie durch die Verwendung von öffentlichem WLAN ohne VPN ausgesetzt sind, ist die Tatsache, dass TLS DNS-Abfragen (Domain Name System) (noch) nicht schützt..

Was ist eine DNS-Abfrage??

Das Domain Name System übersetzt benutzerfreundliche URLs in numerische IP-Adressen, die Computer verstehen können. Um beispielsweise unsere Website zu besuchen, geben Sie die URL www.protonvpn.com ein, die Ihr Computer jedoch als [185.70.40.231] ansieht. Um diese Nummer zu finden, verwendet Ihr Webbrowser einen sogenannten DNS-Resolver, der normalerweise von Ihrem Internetdienstanbieter bereitgestellt wird. Stellen Sie sich diesen Resolver als einen Kumpel vor, der herum huscht und die URL der Site, die Sie besuchen möchten, in ihre IP-Adresse übersetzt.

Ihre DNS-Anfrage ist nicht verschlüsselt. Ein Eindringling kann Ihre DNS-Abfragen und die Antworten Ihres DNS-Resolvers darauf beobachten. Dies führt uns zu dem ersten Angriff, den Sie erleiden könnten, wenn Sie öffentliches WLAN ohne VPN verwenden: DNS-Lecks.

DNS-Leck

Wenn jemand Ihre DNS-Abfragen überwacht, verfügt er über eine Liste aller von Ihnen besuchten Websites sowie über die IP-Adresse Ihres Geräts. Angesichts der schwachen Sicherheit der meisten öffentlichen WLAN-Hotspots wäre es für einen Eindringling relativ einfach, Zugriff auf das Netzwerk zu erhalten und dann Ihre DNS-Abfragen zu protokollieren. Ihre Daten könnten auch dann gefährdet sein, wenn kein Eindringling vorhanden ist, da der Resolver im öffentlichen WLAN Ihre Daten selbst erfassen könnte.

DNS-Spoofing

Ein DNS-Leck ermöglicht es einem Eindringling, Ihre Aktivitäten zu überwachen. Wenn ein Angreifer jedoch Ihre DNS-Anforderungen fälscht, kann er Sie zu einer von ihm kontrollierten bösartigen Site weiterleiten. Dies wird auch als DNS-Vergiftung bezeichnet und tritt auf, wenn ein Angreifer vorgibt, Ihr DNS-Resolver zu sein. Der Angreifer fälscht dann die IP-Adresse einer Zielwebsite und ersetzt sie durch die IP-Adresse einer von ihm kontrollierten Website. Die URL entspricht der Website, die Sie besuchen möchten, die Website unterliegt jedoch der Kontrolle des Angreifers. Moderne Browser weisen Benutzer im Allgemeinen darauf hin, dass sie sich auf einer Site ohne HTTPS befinden. Dieser Angriff funktioniert nicht für HTTPS-Sites mit Zertifikat.

Bei einer Variante des DNS-Spoofing kann ein Angreifer Sie jedoch zu einer Site mit einer etwas anderen URL als der von Ihnen geplanten senden. Denken Sie an “protomvpn.com” anstelle von “protonvpn.com”. Darüber hinaus kann diese Art von gefälschter Site HTTPS verwenden und über ein gültiges Zertifikat verfügen. Ihr Browser zeigt neben der Adresse ein grünes Schloss an, wodurch die Erkennung erschwert wird.

Punycode

Leider haben Hacker bei den jüngsten Punycode-Angriffen einen Weg gefunden, zwei Websites mit derselben URL und einem gültigen HTTPS-Zertifikat zu erstellen. Punycode ist eine Codierungsart, die von Webbrowsern verwendet wird, um alle verschiedenen Unicode-Zeichen (wie ß, 竹 oder Ж) in den begrenzten Zeichensatz (A-Z, 0-9) zu konvertieren, der vom internationalen Domainnamensystem unterstützt wird. Wenn beispielsweise eine chinesische Website in Punycode die Domain “竹 .com” verwendet, wird dies durch “xn--2uz.com” dargestellt..

Eindringlinge stellten fest, dass, wenn Sie den Vorgang umkehren und Punycode-Zeichen als Domäne eingeben, solange alle Zeichen aus einem einzigen fremdsprachigen Zeichensatz stammen und die Punycode-Domäne genau mit der Zieldomäne übereinstimmt, die Browser sie in der Domäne rendern normale Sprache der Zieldomäne. In dem Beispiel, das in dem oben verlinkten Artikel The Hacker News verwendet wurde, hat ein Forscher die Domain “xn--80ak6aa92e.com” registriert, die als “apple.com” angezeigt wurde. Der Forscher hat sogar diese gefälschte Apple-Site erstellt, um zu demonstrieren, wie schwierig es ist, die Sites allein anhand von URL- und HTTPS-Informationen zu unterscheiden.

Wie das Beispiel des Forschers zeigt, kann eine Punycode-Site HTTPS implementieren und ein gültiges Zertifikat erhalten, was es für Sie sehr schwierig macht, zu erkennen, dass Sie sich auf einer gefälschten Site befinden. Nur wenn Sie die tatsächlichen Details des HTTPS-Zertifikats überprüfen, können Sie zwischen „xn--80ak6aa92e.com“ und „apple.com“ unterscheiden..

Glücklicherweise haben viele Browser diese Sicherheitsanfälligkeit bereits behoben und die meisten würden die Adresse jetzt als xn--80ak6aa92e.com anzeigen

Verwenden Sie ein VPN für öffentliches WLAN

Dies sind nur einige der Sicherheitslücken, denen Sie bei der Verwendung eines ungesicherten öffentlichen WLAN-Netzwerks ausgesetzt sind. Selbst wenn Sie eine legitime Site mit ordnungsgemäß erzwungenem HTTPS besuchen, kann diese Bilder oder Skripte von Sites enthalten, die nicht durch HTTPS geschützt sind. Ein Angreifer kann diese Skripte und Bilder dann verwenden, um Malware auf Ihr Gerät zu übertragen.

Ein vertrauenswürdiges VPN kann Sie vor all diesen Sicherheitslücken schützen. Ein VPN verschlüsselt Ihren Datenverkehr und leitet ihn über einen VPN-Server weiter. Dies bedeutet, dass Ihr Internetdienstanbieter (oder der Eigentümer eines böswilligen WLAN-Hotspots) Ihre Online-Aktivitäten nicht überwachen kann. Diese zusätzliche Verschlüsselung schützt Ihre Verbindung vor einem TLS-Downgrade-Angriff.  

Gründliche VPN-Dienste wie ProtonVPN betreiben auch ihre eigenen DNS-Server, damit sie Ihre DNS-Abfragen verschlüsseln und verarbeiten können. Die Apps von ProtonVPN schützen Sie vor einem DNS-Leck, indem sie Ihren Browser dazu zwingen, DNS-Anfragen über unsere DNS-Server zu lösen. Wir schützen Ihre DNS-Abfragen sogar, wenn Sie nicht verbunden sind. Unsere Kill Switch-Funktion blockiert sofort alle Netzwerkverbindungen, wenn Sie von Ihrem VPN-Server getrennt sind, sodass Ihre Daten nicht offengelegt werden.  

Der kostenlose VPN-Plan von ProtonVPN bietet jedem eine kostenlose und einfache Möglichkeit, seine Internetverbindung vor diesen Angriffen zu schützen. Mit unserem kostenlosen VPN-Service müssen Sie nie wieder öffentliches WLAN ohne VPN nutzen.

Freundliche Grüße,
Das ProtonVPN-Team

Twitter | Facebook | Reddit

Um ein kostenloses ProtonMail-verschlüsseltes E-Mail-Konto zu erhalten, besuchen Sie: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map