Сергей Кузьмин

Нужен ли VPN, если вам нечего скрывать?

Нужен ли VPN, если вам нечего скрывать?
©buffered.com

VPN нужен всем. Почему — объясняет на ресурсе Hacker Noon Азайя Сарджу (Isaiah Sarju), автор, специализирующийся на вопросах безопасности в Сети.


Прежде всего, если вы не интернет-знаменитость и не стримите большую часть своей жизни на обозрение всему миру, у вас, вероятно, есть некоторые вещи, которые вы хотите оставить приватными. Но даже если вы профессиональный «расшариватель», скорее всего, имеются секреты, которые вы хотите сохранить, или просто информация, о которой не должен знать весь мир. Популярный ютубер, скорее всего, не захочет, чтобы посторонним стал известен его номер социального страхования (SSN), который он посылает по электронной почте, или каждый веб-сайт, который он посещает. VPN может помочь с этим.

Украденные учетные данные

Большая часть информации, передаваемой в Интернете, уязвима для «подсматривания». Многие веб-сайты по-прежнему отказываются использовать Hypertext Transfer Protocol Secure (HTTPS), даже если они запрашивают конфиденциальную информацию, наподобие имени пользователя и пароля.

Давайте посмотрим на это в действии. Ниже приводится пример того, как выглядит незащищенная страница авторизации. Заметьте, в строке URL отсутствует «HTTPS». Это позволяет хакеру, находящемуся в той же сети, произвести так называемый захват пакетов или умыкнуть учетные данные пользователя, когда они отправляются на веб-сайт.

©Isaiah Sarju, Hacker Noon

Другие веб-сайты частично защищены, передавая только учетные данные через HTTPS, но затем вся последующая информация незащищенно отправляется по HTTP. В результате злоумышленник с сетевым доступом может вмешиваться в исходный сайт входа в систему и изменять форму авторизации на HTTP без вашего ведома. В приведенном ниже коде показано это изменение — то, что обычный пользователь не заметил бы.

©Isaiah Sarju, Hacker Noon

Если учетные данные отправляются через HTTP, они видны взломщикам, охотно использующим доступные инструменты, такие как Wireshark. Ниже приведен пример отправки формы по обычному HTTP и кражи учетных данных с использованием этой программы.

©Isaiah Sarju, Hacker Noon

Вышеупомянутые ситуации плохи, потому что злоумышленник может полностью украсть ваши учетные данные. И даже если он не свистнет ваш логин и пароль, внеся изменения в URL-адрес во время процесса входа в систему, есть еще вариант похитить ваш доступ к веб-сайту. Для этого достаточно завладеть вашим «cookie сессии» — и можно на веб-сайте выдавать себя за вас. Вот пример кражи файла cookie сессии без какого-либо предварительного вмешательства в URL.

©Isaiah Sarju, Hacker Noon

Нарушенная приватность

Даже если весь ваш браузинг выполняется через HTTPS, «следящие глаза» все еще могут узнать о вас вещи, которые вы предпочли бы оставить при себе. Используя те же методы, что применялись для просмотра вашего пароля и кражи вашего файла cookie, злоумышленник может анализировать ваш DNS-трафик и смотреть, с какими доменами вы имеете дело. Если, например, вам нравится смотреть GIF на GIPHY, взломщики могут видеть, когда и как долго вы просматриваете этот сайт. Они не увидят GIF-файлы, которыми вы любуетесь, но могут начать разработку профиля вашего интернет-пользования для дальнейшей целевой атаки.

©Isaiah Sarju, Hacker Noon

Кроме серфинга, который вы осуществляете с помощью веб-браузера, на ваших компьютерах и смартфонах работают фоновые процессы, которые денно и нощно ищут обновления, синхронизацию и просто являются источником сетевого шума. Используйте локальный файрвол, такой как Little Snitch или NetLimiter, чтобы просмотреть все фоновые данные, которые отправляет ваш компьютер.

Опытный злоумышленник может использовать это, чтобы больше узнать о вас, например, какие приложения вы используете. Затем он может использовать информацию, чтобы осуществить против вас целевую фишинговую атаку.

Но мы не цели!

Бытует мнение, что только преступники или те, «у кого есть что скрывать», используют VPN. И они таки делают это. Но мы, обычные люди, также должны использовать эти технологии, чтобы повысить уровень безопасности нашей интернет-активности, защитить нашу приватность и убедить потенциального злоумышленника, что не стоит к нам соваться.

Один хлопок? Или же бурные овации? Хлопая больше или меньше, вы показываете, какой пост действительно чего-то стоит.
Комментарии