Miksi tarvitset VPN: ää pysyäksesi turvassa julkisessa WiFissä (HTTPS ei riitä)

Useimmat verkkosivustot käyttävät nyt HTTPS-protokollaa yhteyden salaamiseen ja tietosuojauksen lisäämiseen. Mutta jos käytät julkista WiFi-verkkoa, HTTPS: n käyttäminen ilman VPN: tä tarkoittaa, että jotkut tietosi ovat edelleen haavoittuvia.


Muokkaa: Tämän blogin aiemman version voitiin ymmärtää väärin tarkoittavan, että TLS 1.2 on rikki. Olemme poistaneet osan, joka voi aiheuttaa sekaannusta.

Hypertext Transfer Protocol Secure tai HTTPS salaa laitteen ja verkkosivuston välisen liikenteen, jolloin tunkeilijoiden on vaikeaa jakaa tietoja. Se tarjoaa myös allekirjoituksia tai HTTPS-varmenteita, joiden avulla voit varmistaa, että käyttämääsi sivustoa ylläpitää se, jonka se väittää olevansa. HTTPS: stä on tullut tavanomainen turvaominaisuus melkein kaikille verkkosivustoille.

Jos HTTPS salaa yhteytesi sivustoosi, eikö julkinen WiFi ole turvallinen? Valitettavasti HTTPS ei salaa kaikkia tietojasi, kuten DNS-kyselyitä. Jos käytät julkista Wi-Fi-yhteyttä ilman VPN: tä, vaarantat itsesi.

Kuinka HTTPS toimii

HTTPS suojaa TLS (Transport Layer Security) -protokollaa yhteyden selaimen ja verkkosivuston välillä. Protokolla on yksinkertaisesti joukko sääntöjä ja ohjeita, jotka ohjaavat kuinka tietokoneet kommunikoivat keskenään. TLS-protokolla on verkkoyhteyksien turvaamisen selkäranka. Se antaa sinulle mahdollisuuden syöttää kirjautumistietosi, selata verkkosivustoja tai suorittaa verkkopankkia ilman, että muut näkevät sisältöä.

TLS käyttää yksityisen avaimen salausta. Avain on yksinkertaisesti koodi viestien välitykseen osallistuville tietokoneille, ja yksityinen avain ei ole avoin yleisölle. Yhteyden eheyden varmistamiseksi selaimesi ja Internet-palvelin käynnistävät “kädenpuristuksen” jakamalla julkisen avaimen. Kun kädenpuristus on muodostettu, palvelin ja selain neuvottelevat yksityiset avaimet yhteyden salaamiseksi. Jokainen yhteys luo oman, ainutlaatuisen yksityisen avaimen, ja yhteys salataan ennen kuin yksi tavu dataa lähetetään. Kun salaus on paikallaan, tunkeilijat eivät voi tarkkailla tai muokata verkkoselaimen ja verkkosivuston välistä viestintää ilman, että heitä havaitaan.

TLS toimittaa myös digitaalisia varmenteita, jotka todentavat verkkosivustojen käyttöoikeustiedot ja kertovat sinulle, että tiedot ovat luotetusta lähteestä (tai sivustosta, joka väittää olevansa yksi). Varmentaja myöntää digitaalisen sertifikaatin.

Tässä järjestelmässä on edelleen tiettyjä haavoittuvuuksia, kuten jäljempänä keskustellaan, mutta sitä pidetään turvallisena. Ensimmäinen haavoittuvuus, jonka julkinen WiFi-käyttö ilman VPN-verkkoa paljastaa sinut, on se, että TLS ei suojaa DNS-kyselyitä (vielä).

Mikä on DNS-kysely?

Verkkotunnusjärjestelmä muuntaa ihmisystävälliset URL-osoitteet numeerisiksi IP-osoitteiksi, jotka tietokoneet ymmärtävät. Esimerkiksi käydäksesi sivustollemme, kirjoita URL-osoite www.protonvpn.com, mutta tietokoneesi näkee sen nimellä [185.70.40.231]. Tämän numeron löytämiseksi selaimesi käyttää nimitystä DNS-ratkaisu, jota yleensä toimittaa Internet-palveluntarjoaja. Ajattele tätä ratkaisijaa sivupalkina, joka pyrkii kääntämään vierailemasi sivuston URL-osoitteen IP-osoitteeseen.

DNS-pyyntösi ei ole salattu. Tunkeilija voi tarkkailla DNS-kyselyitäsi ja DNS-ratkaisijasi vastauksia niihin. Tämä johtaa meidät ensimmäiseen hyökkäykseen, joka voi kärsiä, jos käytät julkista WiFi: tä ilman VPN: DNS-vuotoja.

DNS-vuoto

Jos joku valvoisi DNS-kyselyitäsi, heillä olisi luettelo kaikista vierailemistasi sivustoista sekä laitteen IP-osoite. Kun otetaan huomioon useimpien julkisten WiFi-yhteyspisteiden heikko turvallisuus, tunkeilijan olisi suhteellisen helppoa päästä verkkoon ja kirjata sitten DNS-kyselyt. Tietosi voivat silti olla vaarassa, vaikka tunkeilijaa ei olekaan, koska julkisen Wi-Fi-yhteyden ratkaisija voi korjata tietosi itse.

DNS-väärentäminen

DNS-vuoto antaa tunkeilijalle valvoa toimintaa, mutta jos hyökkääjä huijaa DNS-pyyntösi, he voivat ohjata sinut heidän hallitsemaansa haittaohjelmaan. Tämä tunnetaan myös nimellä DNS-myrkytys. Tämä tapahtuu, kun hyökkääjä teeskentelee olevansa DNS-ratkaisija. Hyökkääjä huijaa sitten kohdeverkkosivun IP-osoitteen ja korvaa sen heidän valvonnassaan olevan sivuston IP-osoitteella. URL-osoite olisi sama kuin sivusto, johon aiot käydä, mutta sivusto olisi hyökkääjän hallinnassa. Nykyaikaiset selaimet yleensä varoittavat käyttäjiä siitä, että he sijaitsevat sivustolla, jossa ei ole HTTPS: ää, ja tämä hyökkäys ei toimi HTTPS-sivustoissa, joilla on varmenne.

DNS-väärentämisen muunnelmalla hyökkääjä voi kuitenkin lähettää sinut sivustoon, jolla on hiukan erilainen URL-osoite kuin siinä, johon aiot käydä. Ajattele “protomvpn.com” eikä “protonvpn.com”. Lisäksi tämäntyyppisissä väärennössivustoissa voidaan käyttää HTTPS: ää ja heillä voi olla voimassa oleva varmenne. Selaimesi osoittaisi osoitteen vieressä vihreää lukkoa, mikä vaikeuttaa tunnistamista.

punycode

Valitettavasti äskettäisissä Punycode-hyökkäyksissä hakkerit ovat löytäneet tavan tehdä kaksi verkkosivustoa, joilla on sama URL ja kelvollinen HTTPS-varmenne. Punycode on tietyn tyyppinen koodaus, jota selaimet käyttävät muuntaakseen kaikki eri Unicode-merkit (kuten ß, 竹 tai Ж) rajoitettuun merkistöjoukkoon (A-Z, 0-9), jota kansainvälinen verkkotunnusjärjestelmä tukee. Esimerkiksi, jos kiinalainen verkkosivusto käyttäisi verkkotunnusta ”com .com” Punycodessa, sitä edustaa ”xn--2uz.com”.

Tunkeilijat havaitsivat, että jos käännät prosessin ja kirjoitat Punycode-merkit verkkotunnukseksi, niin kauan kuin kaikki merkit ovat yhdestä vieraasta kielestä koostuvassa merkistössä ja Punycode-verkkotunnus on tarkka ottelu kohdealueena, selaimet tekevät sen kohdistetun verkkotunnuksen normaali kieli. Edellä linkitetyssä Hacker News -artikkelissa käytetyssä esimerkissä tutkija rekisteröi verkkotunnuksen “xn--80ak6aa92e.com”, joka ilmestyi nimellä “apple.com”. Tutkija jopa loi tämän väärennetyn omenasivuston osoittaakseen, kuinka vaikeaa on erottaa sivustot toisistaan ​​käyttämällä pelkästään URL- ja HTTPS-tietoja.

Kuten tutkijan esimerkki osoittaa, Punycode-sivusto voi ottaa käyttöön HTTPS: n ja vastaanottaa voimassa olevan varmenteen, mikä tekee sinun erittäin vaikeaksi havaita, että olet väärennetyllä sivustolla. Vain tutkimalla HTTPS-varmenteen todelliset tiedot voit erottaa ”xn--80ak6aa92e.com” ja “apple.com”.

Onneksi monet selaimet ovat jo käsitelleet tätä haavoittuvuutta, ja useimmat näyttäisivät osoitteen nyt nimellä xn--80ak6aa92e.com

Käytä VPN: ää julkisessa WiFi-tilassa

Nämä ovat vain joitain haavoittuvuuksista, joita kohtaat käyttäessäsi suojaamatonta julkista WiFi-verkkoa. Vaikka vierailet laillisella sivustolla, jolla on asianmukaisesti toteutettu HTTPS, se voi sisältää kuvia tai skriptejä sivustoilta, joita ei suojata HTTPS. Hyökkääjä voisi sitten käyttää näitä skriptejä ja kuvia haittaohjelmien toimittamiseen laitteellesi.

Luotettava VPN voi suojata sinua kaikilta näiltä haavoittuvuuksilta. VPN salaa liikenteen ja reitittää sen VPN-palvelimen kautta, mikä tarkoittaa, että Internet-palveluntarjoajasi (tai vahingollisen WiFi-yhteyspisteen omistaja) ei voi seurata online-toimintaa. Tämä lisäsalaus suojaa yhteyttä TLS: n alemman tason hyökkäykseltä.  

Perusteelliset VPN-palvelut, kuten ProtonVPN, käyttävät myös omia DNS-palvelimiaan, jotta ne voivat salata ja käsitellä DNS-kyselyjäsi. ProtonVPN: n sovellukset suojaavat sinua DNS-vuodolta pakottamalla selaimesi ratkaisemaan DNS-kyselyt DNS-palvelimien kautta. Suojaamme jopa DNS-kyselyitäsi, jos et ole yhteydessä verkkoon. Kill Switch -ominaisuus estää heti kaikki verkkoyhteydet, jos olet katkaistu VPN-palvelimesta, pitäen tietosi paljastamatta.  

ProtonVPN: n ilmainen VPN-suunnitelma tarjoaa kaikille ilmaisen, yksinkertaisen tavan suojata Internet-yhteyttään näiltä hyökkäyksiltä. Ilmaisen VPN-palvelumme avulla sinun ei tarvitse koskaan käyttää julkista WiFi-yhteyttä ilman VPN: tä uudelleen.

Parhain terveisin,
ProtonVPN-joukkue

Twitter | Facebook | Reddit

Saada ilmainen ProtonMail-salattu sähköpostitili käymällä: protonmail.com


Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me