Il nostro servizio ferroviario locale ha aggiunto la connessione Wi-Fi gratuita.
Ho controllato GMail e loggato in alcune app. Quindi accedere a siti Web utilizzando HTTPS. È sicuro, specialmente se fatto tramite l'app?
La rete è memorizzata nella mia lista Wi-Fi e la preleva automaticamente quando salgo sul treno.
Se non si utilizza una VPN, ogni sito che si visita che invia o riceve informazioni sensibili (password specialmente ) dovrebbe essere HTTPS anziché solo HTTP. La 's' in HTTPS è sinonimo di sicurezza che viene fornita dall'handshaking e dalla crittografia TLS. In effetti, quando si utilizza TLS (ad esempio, HTTPS, a cui mi riferisco in modo intercambiabile qui) si sta effettivamente utilizzando una VPN separata per ciascun sito.
Potrebbe valere la pena aggiungere un commento sul perché questa è una buona pratica. Ci sono diversi dubbi quando si utilizza un hotspot pubblico. Il primo è che qualche altro utente Wi-Fi ha configurato il proprio dispositivo (laptop, telefono, ...) per ricevere tutto il traffico trasmesso dai sistemi vicini. Questo può anche essere impedito se l'hotspot è configurato correttamente per utilizzare la crittografia, ma non è del tutto affidabile dato che i vecchi protocolli di crittografia Wi-Fi sono attaccabili.
Il secondo rischio è che il dispositivo hotspot stesso sia stato compromesso. Esistono diversi modi in cui ciò può accadere, tra cui la rete wireless, la rete cablata e l'accesso fisico. Un altro attacco è lo spoofing dell'hotspot in modo che gli utenti si connettano al sistema dell'attaccante anziché al servizio legittimo.
Piuttosto che tentare di valutare la sicurezza di ciascun ambiente wireless, ti consiglio di prendere coscienza della sicurezza della comunicazione per ciascuno dei servizi Internet che utilizzi e passare a TLS per tutto ciò che comunica informazioni che non vorresti divulgare pubblicamente. Questa abitudine dovrebbe essere seguita sia per la connessione wireless che per la connessione cablata poiché può anche proteggere dagli attacchi (generalmente rari) che espongono i dati da Internet cablata.
Mi è venuto in mente di aggiungere un paio di dichiarazioni di non responsabilità:
Questa discussione riguarda i dati in transito. Non dare per scontato che i tuoi dati siano ben protetti nel servizio di destinazione solo perché è stato crittografato durante la trasmissione. Tale protezione viene persa una volta giunta a destinazione e devono essere predisposte altre protezioni per l'elaborazione e la memorizzazione di dati sensibili nel sito remoto.
ANCHE, potresti aver visto titoli sui problemi con TLS. Si tratta di implementazioni specifiche o versioni precedenti del protocollo. Se il fornitore di servizi ha correttamente aggiornato e mantenuto il proprio sistema e si sta utilizzando un software moderno e aggiornato (come mantenere aggiornato il software del browser), TLS è un protocollo molto potente e completamente affidabile.
Tutto dipende dalla sicurezza del servizio Wi-Fi stesso: utilizza WEP, WPA, WPA2? ( La differenza tra crittografia wireless WEP, WPA e WPA2 (e perché è importante )
Un altro problema per gli utenti è che, come nei luoghi pubblici, qualsiasi malintenzionato può utilizzare il Wi-Fi gratuito fornito nel tuo treno per impostare un access point non autorizzato per monitorare le attività online.
P.S.
Interessante da leggere: Vulnerabilità e attacchi WEP .
In base alle mie conoscenze, anche quando utilizzi app con connessione crittografata, le tue informazioni personali potrebbero anche essere divulgate a causa degli annunci di terze parti che compaiono nella maggior parte delle tue applicazioni. Tali informazioni possono includere la versione iOS, le informazioni sul dispositivo, il provider di servizi, la lingua di visualizzazione e quella più seria: l'app che si sta aprendo, la città e il paese corrente. È perché tali annunci di terze parti non sono dotati di crittografia, quindi le tue informazioni personali sono molto vulnerabili a un tipo di attacco noto come man-in-the-middle.
Se stai facendo qualcosa di sensibile, allora sì dovresti usare VPN ogni volta che ti connetti a qualsiasi tipo di rete WiFi / 802.11 pubblica. A seconda dell'HTTPS che utilizza TLS non è sufficiente quando è coinvolta la natura umana (tendiamo a diventare compiacenti / comodi e dimentichiamo di rimanere sempre vigili).
Per essere chiari a meno che tu
senza un'alternativa VPN sicura, sei vulnerabile. E se le persone valutano onestamente se seguono questi requisiti, pochissimi (se qualcuno di noi) potrebbe rispondere che lo fanno.
La maggior parte delle persone non inserisce l'URL completo a partire da "HTTPS: //" anche quando si connette a siti Web protetti. Generalmente, digitano qualcosa come "google.com" e premono invio, a seconda (di solito senza sapere) che questa richiesta predefinita è su HTTP e che la reindirizzerà alla risorsa HTTPS.
Ora è relativamente banale creare un attacco MitM in cui un dispositivo finge di essere la rete WiFi pubblica (e probabilmente negando l'accesso alla rete WiFi reale). Quando viene rilevato un reindirizzamento alla risorsa HTTPS, l'utente malintenzionato stabilirà la sessione TLS sul server, ma continuerà a inviare le informazioni al client tramite HTTP.
Questa è semplicemente l'operazione opposta che si verifica in molti controller di distribuzione dell'applicazione (noti anche come bilanciamento del carico) quando eseguono la terminazione SSL / TLS nell'hardware. E tutto ciò che serve per eseguire un simile attacco è di circa $ 100 in hardware, un po 'di conoscenza e natura umana.
Se vuoi essere sicuro, supponi che la natura umana vincerà e utilizzerà VPN su reti WiFi pubbliche.