Kāpēc jums nepieciešams VPN, lai uzturētu drošību publiskajā WiFI (ar HTTPS nepietiek)

Tagad lielākā daļa vietņu izmanto HTTPS, lai šifrētu jūsu savienojumu un pievienotu jūsu datiem papildu aizsardzības līmeni. Bet, ja jūs izmantojat publisku WiFi, HTTPS lietošana bez VPN nozīmē, ka daži no jūsu datiem joprojām būs neaizsargāti.


Rediģēt: Iepriekšējo šī emuāra ziņojuma versiju varēja pārprast, jo tas nozīmē, ka TLS 1.2 ir bojāts. Mēs esam noņemuši sadaļu, kas var izraisīt šo neskaidrību.

Drošais hiperteksta pārsūtīšanas protokols jeb HTTPS šifrē trafiku starp jūsu ierīci un vietni, tādējādi iebrucējiem ir grūti novērot koplietoto informāciju. Tas arī nodrošina parakstus vai HTTPS sertifikātus, kas ļauj jums pārbaudīt, vai vietni, kurā atrodaties, pārvalda tas, kuru tā apgalvo. HTTPS ir kļuvis par standarta drošības līdzekli gandrīz visām vietnēm.

Ja HTTPS šifrē jūsu savienojumu ar vietni, vai tad publiskais WiFi nav drošs? Diemžēl HTTPS nekodē visus jūsu datus, piemēram, DNS vaicājumus. Ja jūs izmantojat publisku WiFi bez VPN, jūs pakļaujat sevi riskam.

Kā darbojas HTTPS

Lai nodrošinātu savienojumu starp tīmekļa pārlūku un vietni, HTTPS izmanto transporta slāņa drošības (TLS) protokolu. Protokols ir vienkārši noteikumu un instrukciju kopums, kas nosaka to, kā datori savstarpēji sazinās. TLS protokols ir tiešsaistes savienojumu nodrošināšanas pamats. Tas ļauj ievadīt pieteikšanās akreditācijas datus, pārlūkot vietnes vai veikt tiešsaistes bankas pakalpojumus, citiem neredzot saturu.

TLS izmanto privātās atslēgas kriptogrāfiju. Atslēga ir vienkārši kods datoriem, kas iesaistīti ziņojumu pārraidē, un privātā atslēga ir tāda, kas nav pieejama sabiedrībai. Lai nodrošinātu savienojuma integritāti, jūsu pārlūkprogramma un interneta serveris sāk “rokasspiedienu”, koplietojot publisko atslēgu. Kad rokasspiediens ir izveidots, serveris un pārlūks ved sarunas par privātajām atslēgām, lai šifrētu jūsu savienojumu. Katrs savienojums ģenerē savu unikālo privāto atslēgu, un savienojums tiek šifrēts, pirms tiek pārsūtīts viens datu baits. Kad šifrēšana ir ieviesta, iebrucēji nevar uzraudzīt vai modificēt sakarus starp tīmekļa pārlūku un vietni, ja tie netiek atklāti.

TLS piegādā arī digitālos sertifikātus, kas autentificē vietņu akreditācijas datus un ļauj jums zināt, ka dati ir no uzticama avota (vai vietnes, kas apgalvo, ka tāda ir). Digitālo sertifikātu izsniedz sertifikācijas iestāde.

Šai sistēmai joprojām ir noteiktas ievainojamības, kā mēs apspriedīsim turpmāk, taču tā tiek uzskatīta par drošu. Pirmā ievainojamība, kas jums pakļauj publiska WiFi izmantošanu bez VPN, ir fakts, ka TLS neaizsargā domēna vārdu sistēmas (DNS) vaicājumus (vēl).

Kas ir DNS vaicājums?

Domēna vārdu sistēma cilvēkam draudzīgus URL pārveido skaitliskās IP adresēs, kuras datori var saprast. Piemēram, lai apmeklētu mūsu vietni, ierakstiet URL www.protonvpn.com, bet jūsu dators to uzskata par [185.70.40.231]. Lai atrastu šo numuru, jūsu tīmekļa pārlūkprogramma izmanto tā dēvēto DNS atrisinātāju, ko parasti piegādā jūsu interneta pakalpojumu sniedzējs. Domājiet par šo izlēmēju kā par līdzcilvēku, kurš skumj, pārtulkojot apmeklētās vietnes URL, tās IP adresē.

Jūsu DNS pieprasījums nav šifrēts. Iebrucējs var novērot jūsu DNS vaicājumus un jūsu DNS atrisinātāja atbildes uz tiem. Tas noved mūs pie pirmā uzbrukuma, kuru jūs varētu ciest, ja izmantojat publisko WiFi bez VPN: DNS noplūde.

DNS noplūde

Ja kāds pārraudzītu jūsu DNS vaicājumus, viņiem būtu pieejams visu jūsu apmeklēto vietņu saraksts, kā arī jūsu ierīces IP adrese. Ņemot vērā vairuma publisko WiFi karsto punktu vājo drošību, iebrucējam būtu samērā vienkārši piekļūt tīklam un pēc tam reģistrēt jūsu DNS vaicājumus. Jūsu dati joprojām var tikt apdraudēti, pat ja nav iebrucēju, jo publiskā WiFi risinātājs var pats novākt jūsu datus.

DNS krāpšana

DNS noplūde ļauj iebrucējam uzraudzīt jūsu darbību, bet, ja uzbrucējs krāpj jūsu DNS pieprasījumus, viņi var jūs novirzīt uz viņu kontrolētu ļaunprātīgu vietni. Pazīstams arī kā saindēšanās ar DNS, tas notiek, kad uzbrucējs izliekas par jūsu DNS atrisinātāju. Pēc tam uzbrucējs sabojā mērķa vietnes IP adresi un aizstāj to ar viņu kontrolē esošās vietnes IP adresi. URL būs tāds pats kā vietne, kuru plānojāt apmeklēt, taču vietne būtu uzbrucēja kontrolē. Mūsdienu pārlūkprogrammas parasti brīdina lietotājus, ka viņi atrodas vietnē bez HTTPS, un šis uzbrukums nedarbosies HTTPS vietnēs, kurām ir sertifikāts.

Tomēr ar dažāda veida DNS viltošanu uzbrucējs varētu jūs nosūtīt uz vietni ar nedaudz atšķirīgu URL no tās, kuru plānojāt apmeklēt. Padomājiet par “protomvpn.com”, nevis “protonvpn.com”. Turklāt šāda veida viltus vietnes var izmantot HTTPS un tām ir derīgs sertifikāts. Jūsu pārlūkprogramma blakus adresei parādīs zaļu slēdzeni, padarot to grūtāk pamanāmu.

Punycode

Diemžēl ar nesenajiem Punycode uzbrukumiem hakeri ir atraduši veidu, kā izveidot divas vietnes ar vienu un to pašu URL un derīgu HTTPS sertifikātu. Punycode ir kodēšanas veids, ko izmanto tīmekļa pārlūkprogrammas, lai visas dažādās Unicode rakstzīmes (piemēram, ß, 竹 vai Ж) pārveidotu ierobežotā rakstzīmju kopā (A-Z, 0-9), ko atbalsta starptautiskā domēna vārdu sistēma. Piemēram, ja kāda Ķīnas vietne Punycode izmantoja domēnu “com .com”, to attēlo “xn--2uz.com”.

Iebrucēji atklāja, ka, ja jūs apvēršat procesu un ievadāt Punycode rakstzīmes kā domēnu, ja visas rakstzīmes ir no vienas svešvalodas rakstzīmju kopas un Punycode domēns precīzi atbilst mērķa domēnam, pārlūkprogrammas to atveidos mērķa domēna parastā valoda. Iepriekš izmantotajā Hacker News rakstā izmantotajā piemērā pētnieks reģistrēja domēnu “xn--80ak6aa92e.com”, kas parādījās kā “apple.com”. Pētnieks pat izveidoja šo viltoto ābolu vietni, lai parādītu, cik grūti ir norādīt vietnes atsevišķi, izmantojot tikai URL un HTTPS informāciju.

Kā liecina pētnieka piemērs, Punycode vietne var ieviest HTTPS un saņemt derīgu sertifikātu, padarot ļoti grūti atklāt, ka atrodaties viltus vietnē. Tikai pārbaudot faktisko informāciju par HTTPS sertifikātu, jūs varat atšķirt “xn--80ak6aa92e.com” un “apple.com”.

Par laimi, daudzi pārlūkprogrammas jau ir pievērsušies šai ievainojamībai, un vairums tagad parādītu adresi kā xn--80ak6aa92e.com

Izmantojiet VPN publiskajā WiFi

Šīs ir tikai dažas no ievainojamībām, ar kurām jūs saskaraties, izmantojot nenodrošinātu publisko WiFi tīklu. Pat ja jūs apmeklējat likumīgu vietni ar pareizi ieviestu HTTPS, tajā varētu būt attēlu vai skriptu no vietnēm, kuras neaizsargā HTTPS. Pēc tam uzbrucējs varētu izmantot šos skriptus un attēlus, lai jūsu ierīcē piegādātu ļaunprātīgu programmatūru.

Uzticams VPN var aizsargāt jūs no visām šīm ievainojamībām. VPN šifrē jūsu trafiku un novirza to caur VPN serveri, kas nozīmē, ka jūsu interneta pakalpojumu sniedzējs (vai ļaunprātīga WiFi tīklāja īpašnieks) nevar uzraudzīt jūsu tiešsaistes aktivitātes. Šī papildu šifrēšana pasargās jūsu savienojumu no TLS pazemināšanas uzbrukuma.  

Pamatīgi VPN pakalpojumi, piemēram, ProtonVPN, arī pārvalda savus DNS serverus, lai tie varētu šifrēt un apstrādāt jūsu DNS vaicājumus. ProtonVPN lietotnes aizsargā jūs no DNS noplūdes, liekot pārlūkam atrisināt DNS vaicājumus, izmantojot mūsu DNS serverus. Mēs pat aizsargājam jūsu DNS vaicājumus, ja esat atvienojies. Mūsu funkcija Kill Switch uzreiz bloķē visus tīkla savienojumus, ja esat atvienots no VPN servera, neļaujot jūsu datiem tikt pakļautiem.  

ProtonVPN bezmaksas VPN plāns ikvienam piedāvā bezmaksas, vienkāršu veidu, kā aizsargāt savu interneta savienojumu pret šiem uzbrukumiem. Izmantojot mūsu bezmaksas VPN pakalpojumu, jums nekad vairs nav jāizmanto publiskais WiFi bez VPN.

Ar laba vēlējumiem,
ProtonVPN komanda

Twitter | Facebook | Reddit

Lai iegūtu bezmaksas šifrētu ProtonMail e-pasta kontu, apmeklējiet: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map