我認為,多年來我們一直在說公共Wi-Fi接入點不安全的論點不再有效,建議的補救措施(例如使用VPN)也不再有效。
現在,大多數網站都使用HTTPS並設置HSTS標頭,因此有人可以竊聽他人連接的可能性非常低,以至於預期TLS中存在零日漏洞。
那麼,還有哪些其他威脅可能如今在公共網絡上有人嗎?
我認為,多年來我們一直在說公共Wi-Fi接入點不安全的論點不再有效,建議的補救措施(例如使用VPN)也不再有效。
現在,大多數網站都使用HTTPS並設置HSTS標頭,因此有人可以竊聽他人連接的可能性非常低,以至於預期TLS中存在零日漏洞。
那麼,還有哪些其他威脅可能如今在公共網絡上有人嗎?
公共WiFi仍然是不安全的,如果不與VPN之類的東西一起使用,它將一直存在。
VPN很便宜,但在安全性方面仍然是低下的成果。
讓我感到有些驚訝的是,沒有人指出互聯網比HTTP具有更多的優勢。
即使您對HTTP(S)和HSTS的主張是正確的(其他答案也對此進行了討論) ,您會忘記POP,SMTP,IMAP,FTP,DNS等。這些協議本質上都不安全。
公共wifi訪問的另一個困難是您與其他不知名的參與者在同一局域網中。您對本地網絡權限的任何錯誤配置都可能導致入侵您的設備。也許在家裡,您已經在本地網絡上配置了共享數據。現在,同一WiFi接入點上的每個人都可以訪問這些共享數據。通常,這種保護是通過防火牆來確保的(無論是在辦公室還是在家中),並且您認為本地網絡比裸機更安全。但是這次,您可能與攻擊者位於同一局域網中。
我會爭辯說,只要您連接到可公開訪問的網絡,您就將自己置於危險之中,VPN很棒,但是如果您(用戶)搞砸了,則無法對您的計算機進行防火牆以抵禦本地網絡上的威脅並打開說:您的私人文件夾,以便與其他任何人共享。
我過去在公用網絡上使用並使用過的一種策略是老式的蜜罐,與文件共享一個文件夾,並監視該文件的訪問,在訪問該文件時立即斷開連接而且您知道您沒有訪問它。
一些擔憂與MiTM攻擊以及筆記本電腦配置為在初始連接後基於SSID盲目連接到開放網絡的趨勢有關。沒有任何事情可以阻止未知方啟動與其他位置使用的SSID相同的SSID的接入點。因此,儘管您的部分流量可能受到保護,但不會受到很多攻擊,攻擊者將擁有一條可以試圖危害您的筆記本電腦的路徑。
關於使用公共Wifi服務,Tor和VPN仍然可能洩漏信息。
除了Tor和VPN安全方面的問題,您仍然至少必須從公共Wifi獲得DHCP服務。
根據wifi設置,即使使用專屬網絡技術,即使使用VPN,該提供服務仍可能會直接在您的設備中直接打開一個(有限的)瀏覽器窗口,並且您的設備會暴露在外,並在網絡外進行通話一定程度的VPN,直到您在專屬網絡門戶中進行身份驗證為止。
IMO,這是當今人們不去思考的更大的大象-我在FreeBSD中寫了一個概念證明,在您進入VPN路由之前,我的同事在客戶端中打開了骷髏圖片我不建議這樣做。
我建議根據設備的不同,除了Tor或/和VPN外,您至少還需要完成最新的OS更新,並在設備上運行經過精確調整的防火牆
因此,實際上,不,HTTPS和相關技術只是安全設置中等式的一小部分,僅當使用本身時,只會給您帶來虛假的安全感。 em>。
這正是半“機會主義”加密(例如混合的純文本/加密的HTTP / HTTPS生態系統)可能使您失敗的情況-至少您必須依靠瀏覽器而不會意外地打開嵌入在服務器中的某些資源。網頁通過不安全的協議(即使中間有一個人為您降級了該網頁),也包含不被接受的狡猾證書。對於每個頁面,以及每個頁面加載的所有內容。
如上所述,VPN仍然可以將各種惡意流量隧穿到易受攻擊的終結點,然後再隧穿。
對於真正有問題的惡意軟件(例如鍵盤記錄程序和非法的遠程控制軟件),最安全的設置是通過遠程桌面或ssh(帶有或不帶有X11轉發)之類的東西來控制受信任的遠程計算機,從而使所有相關流量都通過一個加密通道進行。建立此通道仍然需要額外的努力(例如,手動驗證證書足跡),以避免任何剩餘的MITM攻擊風險(在最壞的情況下可能獲得攻擊者的登錄憑據)。
安全公司 Norton說:
有什麼風險?
公共Wi-Fi的問題在於這些網絡伴隨著巨大的風險。雖然企業主可能會認為他們正在為客戶提供有價值的服務,但機會可能是這些網絡上的安全性不強或根本不存在。
中間人攻擊
其中之一這些網絡上常見的威脅稱為中間人(MitM)攻擊。本質上,AitM攻擊是一種竊聽形式。當計算機連接到Internet時,數據從A點(計算機)發送到B點(服務/網站),漏洞可能使攻擊者進入這些傳輸之間並“讀取”它們。因此,青年時代不再是私有的。
未加密的網絡
加密意味著您的計算機與無線路由器之間發送的消息採用“秘密代碼”的形式。因此,如果沒有解密代碼的鑰匙,任何人都無法閱讀它們。大多數路由器出廠時出廠時均默認關閉了加密功能,並且在建立網絡時必須將其打開。如果IT專業人員設置了網絡,則很有可能啟用了加密。但是,沒有確定的方法可以證明這種情況是否發生。
惡意軟件分發
感謝軟件漏洞,攻擊者還可以通過多種方式將惡意軟件洩漏到您的計算機上,甚至不知道。軟件漏洞是在操作系統或軟件程序中發現的安全漏洞或弱點。黑客可以通過編寫針對特定漏洞的代碼來利用此弱點,然後將惡意軟件注入到您的設備中。網絡罪犯可以購買特殊的軟件套件甚至設備,以幫助他們竊聽Wi-Fi信號。這項技術 可以使攻擊者訪問您在網上所做的一切-從查看您訪問過的整個網頁(包括您在訪問該網頁時可能填寫的任何信息)到能夠捕獲您的登錄憑據,甚至能夠劫持您的帳戶。 / p>
惡意熱點
這些“惡意訪問點”欺騙受害者使其連接到他們認為是合法的網絡,因為名稱聽起來很可信。假設您待在Goodnyght Inn,並想連接到酒店的Wi-Fi。您可能會認為您在單擊“ GoodNyte Inn”時選擇的是正確的,但實際上您沒有。相反,您只是連接到由網絡罪犯設置的惡意熱點,現在可以查看您的敏感信息。
當每個人都知道這些風險時,要做的最小的事情就是降低風險。
關於此,您可以閱讀一些文章:
我不確定100%是否擔心您的問題。
公共WiFi熱點不值得信賴,是的。但是互聯網並不值得信賴。您訪問的網站不可靠。您用來搜索網絡的網站特別不可信。
公共WiFi熱點上的某人可能可以竊聽您的連接。毫無疑問,有人會竊聽您的所有通信。這通常發生在提供商的基礎架構,CIX,國家邊界以及跨洋(有時跨大陸)電纜中。您的值得信賴的提供商很可能被允許,並且在法律的要求下(他們在這裡!)記錄和存儲有關您進行的每個連接,所有DNS查詢等的詳細統計信息,並與一些中等可信且明確地不共享這些信息可信賴的政黨,其中包括來自敵對國家的組織。
所有主要的行業州(不僅是美國)都有竊聽組織,每個組織有10到數十萬人,除了竊聽您的通信並根據您的個人資料而做之外與誰通信,在通信時解析的DNS名稱等等。
這對您來說是一個問題嗎?好吧,如果是的話,請不要真的使用互聯網。
公共WiFi熱點上的某人可能會嘗試利用您的計算機。好吧,猜猜是什麼,有人可能也會通過您的家庭互聯網連接來做到這一點。當然,這並不像在同一個本地網絡上那樣容易,但是幾乎不可能。
我古老的Windows 7已經認為信任熱點不是一個好主意,並且認為所有主機在該設置下均不受信任(除非您明確地告訴它不同的東西)。那不是沒有原因的。但是,在合理的設置下,處於完全敵對的本地網絡中仍然是相當安全的。在過去的幾年中,被利用的服務甚至都沒有在我的計算機上運行(無論防火牆如何降低流量)。只是,不要跑你不需要的狗屎。網絡訪問的服務越少,利用的漏洞就越少(可用的RAM越多,作為免費贈品,引導速度就越快)。
實際上並沒有太多的理由使用公共WiFi熱點。使用一個)。原因之一可能是您在旅途中,需要非常緊急地在網上進行一些非常重要的事情。好的,我承認,在這種情況下,公共WiFi可能會導致您的胃部不適,但是無論如何,這種情況經常發生。另外,您的銀行希望使用 https:
,您可以在輸入帳戶信息之前先對其進行驗證。
儘管如今人們已經意識到他們必須整天都可以上網並且可以訪問(說實話,您上次關閉手機的時間是什麼時候?),事實並非如此。您可以在家中很好地進行銀行業務,在旅途中並不需要24/7全天候在線。通常,至少。
不,在星巴克並不意味著您必須在Twitter上發布並在Facebook上發布您的咖啡照片。誰在乎呢?但是,如果您認為這是絕對必要的,並且公共WiFi太可怕了,那麼,請使用智能手機的LTE連接(在某種程度上更安全)。這不像您必須使用公共WiFi。
使用公共WiFi的另一個原因是,您計劃做一些不希望自己的身份太容易被發現的非法活動。當然,您不想在家中進行大量非法物品(銷售武器,毒品,鼻煙電影或恐怖主義?)。但是,在這種情況下,熱點不值得信任又是什麼問題呢?我的意思是認真嗎?在這種情況下,十幾歲的孩子在熱點上嗅探您的流量是最少的問題。
如今,大多數站點都使用HTTPS並設置HSTS標頭,因此有人可以竊聽別人的連接的可能性很小。
這種假設非常糟糕。如果不能依靠HTTPS本身提供端點到端點的安全性,那麼有多少個站點設置HSTS標頭並不重要。而且不能。可悲的是。
您聽說過 TLS攔截代理嗎?他們是司空見慣的。這些硬件代理(例如WebTitan網關或Cisco ironPort WSA)部署在學校,大學和圖書館中,並被雇主和咖啡店使用,使HTTPS無效,因為在“安全”連接期間,它們引入了一個動態證書,假裝是目標網站的官方證書。我的瀏覽器不知道它們之間的區別,如果我不了解它,那麼我會信任每個HTTPS連接。
最初,HTTPS旨在防止MiTM攻擊。今天, TLS代理 IS MiTM攻擊!!無論您是在閱讀電子郵件還是查看銀行帳戶餘額,您都不應幻想HTTPS實際在做什麼您希望這樣做,也就是確保您的連接不被竊聽。而且,除非您通過家庭WIFI &路由器進行連接,或者除非您使用的是體面的VPN,否則請習慣一下您的連接可能在未經您知情或同意的情況下即時解密和重新加密的事實。
在真正的加密連接成為規範之前,幾乎不需要考慮OP提出的“其他威脅”。目前還不是,HTTPS是一場鬧劇。 (為防止竊聽,請使用不會存儲或發布記錄的公司提供的可靠VPN。使用TOR可以使連接更好。)
為什麼我要斷言HTTPS / HSTS並不是Web瀏覽器的安全防護層?因為在OP提出問題之前3年,它已經被利用並被擊敗。就在兩年前,它被顛覆了。此外,SSL的某些流行實現被證明早在1998年就被破壞了。即使證書頒發機構(CA)也不受信任。簡短的時間表:
當前,以解決諸如“傳遞信任”, subCAs和頒發它們的CA的惡作劇,例如GeoTrust等,我們擁有 DANE協議,該協議旨在通過允許域管理員創建 TLSA DNS記錄。
如果DANE被廣泛實施,我可能會更傾向於同意OP的低威脅評估,但是使用DANE意味著站點需要DNSSEC對其區域進行簽名,並且自2016年,.com中只有大約0.5%的區域被簽名。
作為採用率不高的DANE的替代品,有一些CAA記錄是專門設計的做同樣的事情,但是後一種機制並沒有比前一種更加牢固。
到2017年底,可能性非常大有人可以偷聽你的東西受HTTPS / HSTS保護的連接。
UPDATE DEC 2018::是不安全的協議,用戶權限範圍之外實施不良的安全協議,等待主流採用的安全技術,欺詐性的權威機構頒發未經驗證的證書,或咕d是老式的硬件輔助監聽,這是在2018年底,我仍然認為可能性非常大,您的HTTPS連接並不能保護您。
如果所有無線用戶都知道與Web瀏覽和公共網絡有關的安全隱患,因此不受信任的wifi網絡,您的論點將是有效的。WiFi既沒有威脅,也沒有社會工程的威脅。簡而言之,WiFi&HTTPS不帶有 vulnerabilitites ,但這並不意味著它們不會構成威脅。
像https這樣的協議只能保證其傳輸媒介的安全性。
這意味著即使您所做的一切都使用HTTPS(對於大多數人而言,它可能並不適用) ,即使您端上的一切都不安全(可能是不安全),攻擊者也可以將您的WiFi連接,登錄名,掃描設備的開放端口作為目標,並做很多事情來控制通信或設備,從而https和鎖在門旁邊的門一樣有效。