Dlaczego potrzebujesz VPN, aby zachować bezpieczeństwo w publicznej sieci WiFI (HTTPS to za mało)

Większość stron internetowych używa teraz HTTPS do szyfrowania połączenia i dodania dodatkowej warstwy ochrony danych. Ale jeśli korzystasz z publicznej sieci Wi-Fi, korzystanie z HTTPS bez VPN oznacza, że ​​niektóre Twoje dane nadal będą podatne na atak.


Edycja: wcześniejsza wersja tego postu na blogu mogła zostać źle zrozumiana, ponieważ sugeruje, że TLS 1.2 został uszkodzony. Usunęliśmy sekcję, która może powodować to zamieszanie.

Hypertext Transfer Protocol Secure (HTTPS) szyfruje ruch między twoim urządzeniem a witryną, utrudniając intruzom obserwowanie udostępnianych informacji. Zapewnia również podpisy lub certyfikaty HTTPS, które pozwalają sprawdzić, czy witryna, na której jesteś, jest zarządzana przez osobę, za którą się podaje. HTTPS stał się standardową funkcją bezpieczeństwa dla prawie wszystkich stron internetowych.

Jeśli HTTPS szyfruje połączenie z witryną, to czy publiczne WiFi nie jest bezpieczne? Niestety HTTPS nie szyfruje wszystkich danych, takich jak zapytania DNS. Jeśli korzystasz z publicznej sieci Wi-Fi bez VPN, narażasz się na ryzyko.

Jak działa HTTPS

HTTPS używa protokołu Transport Layer Security (TLS) do zabezpieczenia połączenia między przeglądarką internetową a witryną. Protokół jest po prostu zbiorem reguł i instrukcji, które regulują sposób komunikacji między komputerami. Protokół TLS jest podstawą zabezpieczania połączeń online. Dzięki temu możesz wprowadzić dane logowania, przeglądać strony internetowe lub przeprowadzać bankowość internetową, aby inni nie widzieli treści.

TLS używa kryptografii klucza prywatnego. Klucz to po prostu kod dla komputerów zaangażowanych w transmisję wiadomości, a klucz prywatny to taki, który nie jest dostępny publicznie. Aby zapewnić integralność połączenia, przeglądarka i serwer internetowy inicjują „uzgadnianie” poprzez udostępnienie klucza publicznego. Po ustanowieniu uzgadniania serwer i przeglądarka negocjują klucze prywatne w celu zaszyfrowania połączenia. Każde połączenie generuje własny, unikalny klucz prywatny, a połączenie jest szyfrowane przed przesłaniem jednego bajtu danych. Po szyfrowaniu intruzi nie mogą monitorować ani modyfikować komunikacji między przeglądarką internetową a witryną bez wykrycia.

TLS dostarcza również certyfikaty cyfrowe, które uwierzytelniają poświadczenia stron internetowych i informują, że dane pochodzą z zaufanego źródła (lub strony, która twierdzi, że jest jedną z nich). Certyfikat cyfrowy jest wydawany przez urząd certyfikacji.

Ten system wciąż ma pewne luki w zabezpieczeniach, co omówimy poniżej, ale jest uważany za bezpieczny. Pierwszą luką, na którą naraża Cię korzystanie z publicznej sieci Wi-Fi bez VPN, jest fakt, że TLS nie chroni (jeszcze) zapytań systemu nazw domen (DNS).

Co to jest zapytanie DNS?

System nazw domen tłumaczy przyjazne dla ludzi adresy URL na numeryczne adresy IP, które komputery mogą zrozumieć. Na przykład, aby odwiedzić naszą stronę, wpisujesz adres URL www.protonvpn.com, ale twój komputer widzi to jako [185.70.40.231]. Aby znaleźć ten numer, przeglądarka internetowa używa tak zwanego mechanizmu rozpoznawania nazw DNS, który zwykle jest dostarczany przez dostawcę usług internetowych. Pomyśl o tym resolwerze jako pomocniku, który śpieszy się z tłumaczeniem adresu URL witryny, którą chcesz odwiedzić, na jego adres IP.

Twoje zapytanie DNS nie jest szyfrowane. Intruz może obserwować twoje zapytania DNS i odpowiedzi twojego DNS na nie. To prowadzi nas do pierwszego ataku, który możesz ponieść, jeśli korzystasz z publicznej sieci WiFi bez VPN: wyciek DNS.

Wyciek DNS

Gdyby ktoś monitorował twoje zapytania DNS, miałby listę wszystkich stron, które odwiedziłeś, wraz z adresem IP twojego urządzenia. Biorąc pod uwagę słabe bezpieczeństwo większości publicznych hotspotów Wi-Fi, intruz może uzyskać dostęp do sieci, a następnie zarejestrować zapytania DNS. Twoje dane mogą być nadal zagrożone, nawet jeśli nie ma intruza, ponieważ resolver w publicznej sieci Wi-Fi może sam zbierać dane.

Fałszowanie DNS

Wyciek DNS pozwala intruzowi monitorować Twoją aktywność, ale jeśli atakujący sfałszuje twoje żądania DNS, może przekierować cię do złośliwej witryny, którą kontroluje. Znany również jako zatrucie DNS, dzieje się tak, gdy osoba atakująca udaje, że jest twoim serwerem rozpoznawania nazw DNS. Atakujący następnie fałszuje adres IP docelowej witryny i zastępuje ją adresem IP witryny pod ich kontrolą. Adres URL będzie taki sam, jak witryna, którą zamierzasz odwiedzić, ale witryna będzie pod kontrolą atakującego. Nowoczesne przeglądarki ogólnie ostrzegają użytkowników, że znajdują się na stronie bez HTTPS, a ten atak nie działa w przypadku witryn HTTPS, które mają certyfikat.

Jednak przy różnych wersjach fałszowania DNS osoba atakująca może wysłać Cię do witryny o nieco innym adresie URL niż ten, który zamierzasz odwiedzić. Pomyśl „protomvpn.com” zamiast „protonvpn.com”. Co więcej, tego typu fałszywa strona może korzystać z HTTPS i posiadać ważny certyfikat. Twoja przeglądarka wyświetlałaby zieloną blokadę obok adresu, co utrudnia jej wykrycie.

Punycode

Niestety, dzięki ostatnim atakom Punycode hakerzy znaleźli sposób na stworzenie dwóch stron internetowych z tym samym adresem URL i ważnym certyfikatem HTTPS. Punycode to rodzaj kodowania używanego przez przeglądarki internetowe do konwersji wszystkich różnych znaków Unicode (takich jak ß, 竹 lub Ж) na ograniczony zestaw znaków (A-Z, 0-9) obsługiwany przez międzynarodowy system nazw domen. Na przykład, jeśli chińska strona internetowa użyła domeny „竹 .com” w Punycode, to byłaby reprezentowana przez „xn--2uz.com”.

Intruzi odkryli, że jeśli odwrócisz proces i wprowadzisz znaki Punycode jako domenę, o ile wszystkie znaki pochodzą z jednego zestawu znaków w języku obcym, a domena Punycode jest dokładnie dopasowana jako domena docelowa, przeglądarki przestawią ją na normalny język domeny docelowej. W przykładzie użytym w powyższym artykule w The Hacker News badacz zarejestrował domenę „xn--80ak6aa92e.com”, która pojawiła się jako „apple.com”. Badacz stworzył nawet tę fałszywą witrynę z jabłkami, aby zademonstrować, jak trudno odróżnić strony za pomocą samych adresów URL i informacji HTTPS.

Jak pokazuje przykład badacza, witryna Punycode może implementować HTTPS i otrzymać ważny certyfikat, co bardzo utrudnia wykrycie, że znajdujesz się na fałszywej stronie. Tylko poprzez sprawdzenie faktycznych szczegółów certyfikatu HTTPS można rozróżnić „xn--80ak6aa92e.com” i „apple.com”.

Na szczęście wiele przeglądarek już usunęło tę lukę, a większość wyświetliłaby teraz adres jako xn--80ak6aa92e.com

Użyj VPN w publicznej sieci Wi-Fi

To tylko niektóre z luk, które napotykasz podczas korzystania z niezabezpieczonej publicznej sieci WiFi. Nawet jeśli odwiedzasz legalną witrynę z odpowiednio wymuszonym HTTPS, może ona zawierać obrazy lub skrypty z witryn niechronionych przez HTTPS. Osoba atakująca może następnie użyć tych skryptów i obrazów w celu dostarczenia złośliwego oprogramowania na urządzenie.

Wiarygodna sieć VPN może chronić Cię przed wszystkimi tymi lukami. VPN szyfruje ruch i kieruje go przez serwer VPN, co oznacza, że ​​twój dostawca usług internetowych (lub właściciel złośliwego hotspotu WiFi) nie może monitorować twojej aktywności online. To dodatkowe szyfrowanie ochroni twoje połączenie przed atakiem na obniżenie poziomu TLS.  

Dokładne usługi VPN, takie jak ProtonVPN, również uruchamiają własne serwery DNS, dzięki czemu mogą szyfrować i przetwarzać zapytania DNS. Aplikacje ProtonVPN chronią Cię przed wyciekiem DNS, zmuszając przeglądarkę do rozwiązywania zapytań DNS za pośrednictwem naszych serwerów DNS. Chronimy nawet twoje zapytania DNS, jeśli jesteś rozłączony. Nasza funkcja Kill Switch natychmiast blokuje wszystkie połączenia sieciowe, jeśli jesteś odłączony od serwera VPN, chroniąc twoje dane przed ujawnieniem.  

Bezpłatny plan VPN ProtonVPN oferuje każdemu bezpłatny, prosty sposób ochrony połączenia internetowego przed tymi atakami. Dzięki naszej bezpłatnej usłudze VPN już nigdy nie będziesz musiał korzystać z publicznej sieci Wi-Fi bez VPN.

Z poważaniem,
Zespół ProtonVPN

Twitter | Facebook | Reddit

Aby uzyskać bezpłatne konto e-mail w formacie ProtonMail, odwiedź: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me