Varför du behöver VPN för att hålla dig säker på allmän WiFI (HTTPS räcker inte)

De flesta webbplatser använder nu HTTPS för att kryptera din anslutning och lägga till ett extra lager skydd i dina data. Men om du använder allmän WiFi, använder HTTPS utan VPN att en del av dina data fortfarande är sårbara.


Redigera: En tidigare version av detta blogginlägg kunde ha missförstått eftersom det innebär att TLS 1.2 har brutits. Vi har tagit bort det avsnitt som kan orsaka denna förvirring.

Hypertext Transfer Protocol Secure, eller HTTPS, krypterar trafiken mellan din enhet och en webbplats, vilket gör det svårt för inkräktare att se informationen som delas. Det ger också signaturer, eller HTTPS-certifikat, som låter dig verifiera att webbplatsen du är på drivs av vem den hävdar att den är. HTTPS har blivit en standard säkerhetsfunktion för nästan alla webbplatser.

Om HTTPS krypterar din anslutning till en webbplats, är inte offentlig WiFi-säker? Tyvärr krypterar inte HTTPS alla dina data, till exempel DNS-frågor. Om du använder offentlig WiFi utan VPN, utsätter du dig själv.

Hur HTTPS fungerar

HTTPS använder protokollet Transport Layer Security (TLS) för att säkra anslutningen mellan en webbläsare och en webbplats. Ett protokoll är helt enkelt en uppsättning regler och instruktioner som styr hur datorer kommunicerar med varandra. TLS-protokollet är ryggraden i att säkra online-anslutningar. Det är vad som låter dig ange dina inloggningsuppgifter, surfa på webbplatser eller utföra onlinebankbank utan att andra ser innehållet.

TLS använder kryptering med privat nyckel. En nyckel är helt enkelt en kod för datorer som är involverade i överföring av meddelanden, och en privat nyckel är en som inte är öppen för allmänheten. För att säkerställa integriteten i deras anslutning initierar din webbläsare och Internet-servern ett “handskak” genom att dela en offentlig nyckel. När handskakningen har upprättats förhandlar servern och webbläsaren privata nycklar för att kryptera din anslutning. Varje anslutning genererar sin egen, unika privata nyckel och anslutningen krypteras innan en enda byte data överförs. När krypteringen är på plats kan inkräktare inte övervaka eller ändra kommunikationen mellan webbläsaren och webbplatsen utan att detekteras.

TLS tillhandahåller också digitala certifikat som autentiserar webbplatsens referenser och informerar dig om att uppgifterna kommer från en betrodd källa (eller en webbplats som påstår sig vara en). Ett digitalt certifikat utfärdas av en certifieringsmyndighet.

Detta system har fortfarande vissa sårbarheter, som vi kommer att diskutera nedan, men det anses vara säkert. Den första sårbarheten som att använda offentlig WiFi utan VPN utsätter dig för är det faktum att TLS inte skyddar DNS-frågor (DNS) -frågor (ännu).

Vad är en DNS-fråga?

Domännamnsystemet översätter mänskliga vänliga webbadresser till numeriska IP-adresser som datorer kan förstå. Om du till exempel besöker vår webbplats skriver du in webbadressen www.protonvpn.com, men din dator ser det som [185.70.40.231]. För att hitta detta nummer använder din webbläsare det som kallas en DNS-upplösare, som vanligtvis tillhandahålls av din Internetleverantör. Tänk på den här upplösaren som en sidekick som skurrar över att översätta webbadressen till webbplatsen du vill besöka till dess IP-adress.

Din DNS-begäran är inte krypterad. En inkräktare kan observera dina DNS-frågor och din DNS-upplösares svar på dem. Detta leder oss till den första attacken du kan drabbas av om du använder offentlig WiFi utan VPN: DNS-läckor.

DNS-läcka

Om någon skulle övervaka dina DNS-frågor skulle de ha en lista över alla webbplatser du besökte tillsammans med din enhets IP-adress. Med tanke på de flesta offentliga WiFi-hotspots svaga säkerhet skulle det vara relativt enkelt för en inkräktare att få åtkomst till nätverket och sedan logga dina DNS-frågor. Dina data kan fortfarande vara i riskzonen även om det inte finns någon inkräktare eftersom beslutsfattaren på den allmänna WiFi kan skörda dina uppgifter själv.

DNS-förfalskning

En DNS-läcka tillåter en inkräktare att övervaka din aktivitet, men om en angripare förfalskar dina DNS-förfrågningar kan de omdirigera dig till en skadlig webbplats som de kontrollerar. Också känt som DNS-förgiftning, detta händer när en angripare låtsas vara din DNS-lösare. Attackeren förfalskar sedan IP-adressen för en målwebbplats och ersätter den med IP-adressen till en webbplats under deras kontroll. Webbadressen skulle vara densamma som den webbplats du tänkte besöka, men webbplatsen skulle vara under angriparens kontroll. Moderna webbläsare kommer vanligtvis att varna användare om att de är på en webbplats utan HTTPS, och den här attacken fungerar inte för HTTPS-webbplatser som har ett certifikat.

Men med en variation av DNS-förfalskning kan en angripare skicka dig till en webbplats med en något annorlunda URL från den du tänkte besöka. Tänk “protomvpn.com” istället för “protonvpn.com”. Dessutom kan denna typ av falska webbplatser använda HTTPS och ha ett giltigt certifikat. Din webbläsare skulle visa ett grönt lås bredvid adressen, vilket gör det svårare att upptäcka.

punycode

Tyvärr, med nyligen angripna Punycode, har hackare hittat ett sätt att skapa två webbplatser med samma URL och ett giltigt HTTPS-certifikat. Punycode är en typ av kodning som används av webbläsare för att konvertera alla olika Unicode-tecken (som ß, 竹 eller Ж) till den begränsade teckenuppsättningen (A-Z, 0-9) som stöds av det internationella domännamnsystemet. Som exempel, om en kinesisk webbplats använde domänen “竹 .com” i Punycode, skulle det representeras av “xn--2uz.com”.

Intränare upptäckte att om du vänder processen och anger Punycode-tecken som en domän, så länge alla tecken kommer från en enda främmande teckenuppsättning och Punycode-domänen är en exakt matchning som den riktade domänen, så kommer webbläsare att göra det i riktad domäns normala språk. I exemplet som användes i The Hacker News-artikeln länkad ovan, registrerade en forskare domänen “xn--80ak6aa92e.com” som verkade som “apple.com”. Forskaren skapade till och med den här falska äpplesidan för att visa hur svårt det är att dela webbplatserna med hjälp av URL och HTTPS-information ensam.

Som forskarens exempel visar kan en Punycode-webbplats implementera HTTPS och få ett giltigt certifikat, vilket gör det mycket svårt för dig att upptäcka att du befinner dig på en falsk webbplats. Endast genom att granska de faktiska detaljerna på HTTPS-certifikatet kan du skilja mellan “xn--80ak6aa92e.com” och “apple.com”.

Lyckligtvis har många webbläsare redan tagit upp denna sårbarhet och de flesta skulle nu visa adressen som xn--80ak6aa92e.com

Använd en VPN på offentlig WiFi

Det här är bara några av de sårbarheter du står inför när du använder ett offentligt WiFi-nätverk. Även om du besöker en legitim webbplats med korrekt genomförd HTTPS, kan den innehålla bilder eller skript från webbplatser som inte är skyddade av HTTPS. En angripare kan sedan använda dessa skript och bilder för att leverera skadlig programvara på din enhet.

En pålitlig VPN kan skydda dig mot alla dessa sårbarheter. En VPN krypterar din trafik och dirigerar den via en VPN-server, vilket innebär att din internetleverantör (eller ägaren till en skadlig WiFi-hotspot) inte kan övervaka din online-aktivitet. Denna ytterligare kryptering skyddar din anslutning från en TLS-nedgraderingsattack.  

Grundliga VPN-tjänster, som ProtonVPN, driver också sina egna DNS-servrar, så att de kan kryptera och bearbeta dina DNS-frågor. ProtonVPNs appar skyddar dig från en DNS-läcka genom att tvinga din webbläsare att lösa DNS-frågor via våra DNS-servrar. Vi skyddar till och med dina DNS-frågor om du är frånkopplad. Vår Kill Switch-funktion blockerar omedelbart alla nätverksanslutningar om du är frånkopplad från din VPN-server, så att dina data inte blir exponerade.  

ProtonVPNs gratis VPN-plan erbjuder alla ett gratis, enkelt sätt att skydda sin Internet-anslutning mot dessa attacker. Med vår gratis VPN-tjänst behöver du aldrig använda offentlig WiFi utan VPN igen.

Vänliga hälsningar,
ProtonVPN-teamet

Twitter | Facebook | Reddit

För att få ett gratis ProtonMail-krypterat e-postkonto, besök: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map