Le VPN sono in grado di decriptare il traffico SSL derivante dal mio utilizzo di servizi come Gmail, Dropbox e Skype, Google Talk e siti Web abilitati per HTTPS? Ti sto chiedendo perché spengo sempre questi e altri servizi prima di attivare una VPN e vorrei sapere se è necessario.
Le VPN non sono in grado di decifrare il traffico SSL / TLS tra l'utente e i siti a cui si accede tramite la VPN. Ma dal momento che la VPN ha accesso al contenuto crittografato SSL / TLS è possibile montare un attacco man-in-the-middle. La maggior parte degli attacchi man-in-the-middle può essere rilevata controllando attentamente i certificati dei siti, ma ogni tanto c'è un nuovo attacco che anche l'utente più vigile non sarà in grado di rilevare. Ad esempio, l'autorità di certificazione Trustwave (almeno) ha emesso un certificato a una società che ha consentito a tale società di eseguire attacchi man-in-the-middle non rilevabili su qualsiasi comunicazione SSL che attraversava tale società ( link ).
Naturalmente, se non si utilizza una VPN, si è soggetti a un attacco MITM dal proprio ISP e, a seconda della topografia di rete del proprio paese, il proprio governo. Quindi devi decidere chi sei più preoccupato: il provider VPN o il tuo ISP / governo.
Se hai dati molto sensibili che ti preoccupi, la cosa migliore sarebbe non inserire su Internet (o su qualsiasi macchina connessa a Internet) anche in forma crittografata.
Una VPN non è più ostile di Internet "in generale". La VPN è una "rete privata": è protetta contro dalla grande Internet; ma se la VPN è di per sé un'entità malvagia, allora sei tornato al punto in cui hai iniziato. In una certa misura, una VPN corrotta renderebbe l'operazione un po 'più semplice per l'utente malintenzionato perché, per costruzione, tutti i pacchetti passeranno attraverso la VPN, ma ciò non cambia la situazione in modo qualitativo.
SSL è stato progettato per resistere a Internet ostile. Questo si basa ancora su una corretta istanziazione; in modo cruciale, ti preoccuperai degli avvertimenti del browser, perché se consenti alle tue connessioni di utilizzare un certificato server non verificato, la sicurezza andrà a fondo.
Naturalmente, se la tua VPN specifica includesse l'installazione di alcuni software locali, e hai ragione di credere che questo software potrebbe essere malintenzionato nei tuoi confronti, allora tutte le scommesse sono disattivate. In pratica, questo software potrebbe aver installato una CA radice aggiuntiva che controlla, il che consentirebbe a un complice di montare un uomo -in-the-middle attack che non attiva gli avvisi del browser. Ci sono alcuni prodotti aziendali che fanno proprio questo (i dipendenti hanno da tempo imparato che con SSL possono sfuggire ai filtri utilizzati dai propri amministratori di sistema sul posto di lavoro, gli amministratori di sistema sono attualmente aggiornati). In conclusione: SSL protegge il trasferimento di dati tra il tuo computer e il server di destinazione; non fa nulla sull'integrità del tuo computer.
Sì, è possibile, se utilizzano attacchi come sslstrip o /www.thoughtcrime.org/software/sslsniff/">sslsniff. Questi essenzialmente eseguono un man-in-the-middle e forniscono certificati falsi o reindirizzano il traffico HTTPS su HTTP. Non è trasparente sul lato utente a meno che gli utenti malintenzionati non compromettano il certificato della CA, pertanto verrà visualizzato un avviso se il certificato non è valido.