دانلود
بازگشت به وبلاگ
حریم خصوصی··10 دقیقه مطالعه

خطرات Wi-Fi عمومی (حتی با HTTPS همه‌جا)

زبان: EnglishالعربيةDeutschEspañolFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

چند سال پیش، توصیه برای استفاده از شبکه کافه‌ای ساده و ترسناک بود: فرض کنید کسی ترافیک شما را می‌خواند. بعد HTTPS تقریباً همه‌جا پیش‌فرض شد، مرورگرها شروع کردند به هشدار دادن درباره سایت‌های غیررمزگذاری‌شده، و خیلی‌ها آرام آرام دست از نگرانی برداشتند.

همین قسمت دوم مشکل است. خطرات Wi-Fi عمومی با پیروزی HTTPS از بین نرفتند — فقط جابجا شدند. استراق‌سمع‌کننده‌ای که زمانی رمز عبور Gmail شما را از هوا می‌گرفت عملاً منسوخ شده است. آنچه باقی مانده جالب‌تر، هدفمندتر، و سخت‌تر برای تشخیص است، چون آیکون قفل همه‌چیز را خوب نشان می‌دهد.

این مطلب بررسی می‌کند که HTTPS واقعاً چه چیزی را درست کرد، چه چیزی را نکرد، و کدام عادت‌ها به‌معنای واقعی میزان آسیب‌پذیری شما را در شبکه‌هایی که مالک آن‌ها نیستید تغییر می‌دهند.

HTTPS واقعاً چه چیزی را حل کرد

باید اعتراف کرد. HTTPS — نسخه رمزگذاری‌شده پروتکل وب — بزرگ‌ترین و ابتدایی‌ترین نسخه مشکل Wi-Fi عمومی را واقعاً حل کرد.

در ۲۰۱۴، کسی که در همان شبکه فرودگاه بود می‌توانست یک ابزار رایگان اجرا کند، ببیند مرورگر شما فیسبوک را بارگذاری می‌کند، و کوکی نشست شما را ببرد. آن دسته از حملات عمدتاً از بین رفته‌اند. ترکیب HTTPS-به‌صورت‌پیش‌فرض، HSTS (پرچمی که به مرورگرها می‌گوید «هرگز این سایت را از طریق HTTP ساده بارگذاری نکن»)، و قوانین سخت‌تر کوکی باعث می‌شود استراق‌سمع غیرفعال معمولی از سایت‌های اصلی چیز زیادی به دست ندهد.

اگر مدل تهدید شما این است که «نمی‌خواهم یک نوجوان بی‌کار پشت میز کناری ایمیلم را بخواند»، HTTPS به آنجا رسیده است.

مدل تهدید یک پله بالاتر است که صادقانه‌تر می‌شود.

HTTPS چه چیزی را پوشش نمی‌دهد

HTTPS محتوای اتصال شما به یک سرور مشخص را رمزگذاری می‌کند. مراحل قبل از برقراری آن اتصال را محافظت نمی‌کند، و وقتی چیزی کمی غیرعادی به نظر می‌رسد از خودتان محافظت نمی‌کند. اینجاست که خطرات Wi-Fi عمومی هنوز وجود دارند.

تزریق Captive Portal

صفحه «موافقت با شرایط» که در Wi-Fi هتل و فرودگاه ظاهر می‌شود captive portal نام دارد. برای کار کردن، شبکه باید اولین درخواست وب شما را رهگیری کرده و به جایی که خودش می‌خواهد هدایت کند. این یک مرد-میانی طراحی‌شده است. تأییدشده، اما باز هم مرد-میانی.

یک captive portal خوب‌اداره‌شده بی‌ضرر است. یکی بدون مدیریت (یا یکی عمداً خصومت‌آمیز) می‌تواند JavaScript به شما ارائه دهد، به‌روزرسانی‌های نرم‌افزاری جعلی ارسال کند، یا به‌آرامی هر دستگاهی که می‌پیوندد را پروفایل کند. تلفن شما اغلب پورتال را در مرورگری ساده‌تر بدون نوار آدرس کامل نشان می‌دهد، که تشخیص آنچه واقعاً می‌بینید را سخت‌تر می‌کند.

DNS Hijack روی Resolverهای ضعیف

وقتی bank.com را تایپ می‌کنید، دستگاه شما از resolver DNS شبکه می‌پرسد «آدرس IP آن چیست؟» در یک شبکه عمومی، آن resolver توسط هر کسی که مالک اکسس‌پوینت است اداره می‌شود.

یک resolver بدتنظیم یا مخرب می‌تواند دروغ بگوید. می‌تواند شما را به سروری بفرستد که بانکتان نیست، سپس گواهی خودش را ارائه دهد. مرورگرهای مدرن هشدار می‌دهند — اما فقط اگر گواهی اشتباه باشد، و فقط اگر هشدار را بخوانید به‌جای اینکه روی آن کلیک کنید.

SSL Stripping روی سایت‌های بدتنظیم

SSL stripping یک ترفند قدیمی است که هنوز در موارد خاص کار می‌کند. مهاجم بین شما و سایتی که می‌خواهید به آن دسترسی داشته باشید قرار می‌گیرد. شما example.com را تایپ می‌کنید (بدون پیشوند https://)، شبکه آن را رهگیری می‌کند، صفحه HTTPS واقعی را خودش دریافت می‌کند، و یک کپی HTTP ساده به شما ارائه می‌دهد.

سایت‌هایی که از HSTS preloading استفاده می‌کنند در امان هستند. سایت‌هایی که نمی‌کنند (معمولاً سرویس‌های کوچک‌تر، ابزارهای داخلی، یا هر چیزی که از طریق یک بوک‌مارک قدیمی به آن می‌رسید) نیستند. نوار آدرس به آرامی http:// را به‌جای آیکون قفل نشان می‌دهد، و اکثر مردم نگاه نمی‌کنند.

اکسس‌پوینت‌های جعلی و Evil Twinها

این یکی است که ارزش درک درستش را دارد، چون اکثر دفاع‌های بالا را دور می‌زند.

تلفن شما شبکه‌ها را به خاطر می‌سپارد. وقتی یک beacon (یک بسته پخش کوچک که نام Wi-Fi را اعلام می‌کند) می‌بیند که با شبکه‌ای که قبلاً به آن وصل شده مطابقت دارد، می‌تواند به‌صورت خودکار وصل شود. یک مهاجم با سخت‌افزار معمولی می‌تواند beacon‌هایی بفرستد که ادعا می‌کنند Starbucks WiFi یا Hotel Guest هستند، یک فریم deauthentication برای قطع کردن تلفنتان از شبکه واقعی ارسال کند، و ببیند دستگاهتان بدون اینکه شما کاری بکنید به شبکه آن‌ها منتقل می‌شود.

از آنجا، مهاجم شبکه است. آن‌ها DNS را کنترل می‌کنند. captive portal را اداره می‌کنند. می‌بینند کدام اپ‌ها روی دستگاه شما سعی دارند به کدام سرورها دسترسی داشته باشند، حتی اگر محتویات رمزگذاری‌شده باشند. می‌توانند صفحات captive portal خودشان را ارائه دهند، SSL stripping را روی هر چیزی که preload نشده امتحان کنند، و در آنچه مثل یک جریان ورود معمولی به نظر می‌رسد، اطلاعات ورود بخواهند.

اسم فنی آن «evil twin» است، و قسمت ساکتش این است که هیچ‌چیز به شما هشدار نمی‌دهد که این اتفاق می‌افتد. تلفنتان فقط آیکون آشنای Wi-Fi را نشان می‌دهد.

شرطی‌سازی هشدار گواهی

مرورگرها در هشدار دادن خوب شدند. کاربران در نادیده گرفتنشان خوب شدند.

وقتی یک هشدار قرمز تمام‌صفحه گواهی می‌بینید، تقریباً همیشه به این معناست که مشکلی در اتصال وجود دارد. گاهی بی‌ضرر (گواهی منقضی‌شده)، گاهی نه (مرد-میانی فعال). راه‌حل این است که کلیک نکنید. در عمل، مردم بر اثر سال‌ها شبکه‌های شرکتی بدتنظیم عادت کرده‌اند دکمه «ادامه به هر حال» را بدون خواندن فشار دهند.

در یک شبکه کافه، همان دکمه می‌تواند کل حمله باشد.

حمله Evil-Twin چطور کار می‌کند

اگر می‌خواهید یک تصویر واضح از نحوه کار این چیزها داشته باشید، حمله evil-twin واضح‌ترین مثال است.

مهاجم یک لپ‌تاپ یا دستگاه قابل‌حمل کوچکی به کافه می‌آورد. نرم‌افزاری اجرا می‌کند که سه کار به ترتیب انجام می‌دهد.

اول، هوا را برای شبکه‌های Wi-Fi مجاور اسکن می‌کند و نام (SSID) شبکه واقعی را یادداشت می‌کند. مثلاً Cafe Guest. سپس شروع به پخش beacon frame‌های خودش با همان نام می‌کند، اغلب با قدرت بیشتر تا دستگاه‌ها آن را ترجیح دهند.

دوم، فریم‌های deauthentication را به کلاینت‌هایی که قبلاً به شبکه واقعی وصل هستند ارسال می‌کند. فریم‌های deauth بخش عادی نحوه کار Wi-Fi هستند — به دستگاه می‌گویند «قطع شدی، لطفاً دوباره وصل شو.» در اکثر شبکه‌ها بدون احراز هویت هستند، به این معنی که هر کسی می‌تواند آن‌ها را ارسال کند. تلفن‌های روی شبکه واقعی قطع می‌شوند و به دنبال جایی برای اتصال مجدد می‌گردند.

سوم، مهاجم یک captive portal ارائه می‌دهد. ممکن است برای «دسترسی به Wi-Fi رایگان» ایمیل و رمز عبور بخواهد. ممکن است صفحه ورود هتل را تقلید کند. ممکن است شما را بی‌صدا رد کند، ترافیکتان را از طریق اتصال خودش مسیریابی کند، و همه‌چیز را لاگ کند. از دیدگاه تلفنتان، آنلاین هستید. از دیدگاه مهاجم، آن‌ها حالا ISP شما هستند.

دفاع این نیست که هدر پکت‌ها را بخوانید. این است که حمله را بی‌جذابیت کنید — با عدم اتصال خودکار به شبکه‌های ناشناس، مسیریابی ترافیک حساستان از طریق چیزی که شبکه محلی نمی‌تواند به آن نگاه کند، و وارد نکردن اطلاعات ورود در صفحاتی که عمداً به آن‌ها ناوبری نکرده‌اید.

آیا Wi-Fi عمومی در ۲۰۲۶ امن است؟

پاسخ صادقانه: برای اکثر چیزها کافی‌امن، برای همه‌چیز کافی‌امن نیست.

خواندن اخبار، جستجوی دستور پخت، اسکرول کردن شبکه اجتماعی — اشکالی ندارد. هزینه اشتباه شدن آن ترافیک کم است و محافظت‌های مرورگرهای مدرن واقعی هستند.

ورود به حساب بانکی، دسترسی به پنل مدیریت کار، تأیید یک انتقال وجه، یا ثبت‌نام در سرویس جدیدی که کد بازیابی برایتان پیامک می‌کند — اینها لحظات با ارزش‌تری هستند که شکاف بین «احتمالاً خوب است» و «قطعاً خوب است» اهمیت دارد. پاسخ ارزان برای بستن این شکاف این است که آن‌ها را روی شبکه‌هایی که کنترل ندارید انجام ندهید.

پنج گام عملی

هیچ‌کدام از اینها نیاز به فکر کردن درباره فریم‌های پکت ندارند. اینها عادت هستند.

  1. اتصال خودکار به شبکه‌های ناشناس را خاموش کنید. در iPhone، این زیر تنظیمات ← Wi-Fi ← Auto-Join Hotspot، و به‌ازای هر شبکه زیر Wi-Fi ← (نام شبکه) ← Auto-Join است. هدف این است که دستگاهتان قبل از اتصال به چیزی با نام آشنا از شما بپرسد. برای مراحل مرتبط، راهنمای راه‌اندازی VPN روی iPhone ما را ببینید.
  2. در صورت امکان شبکه سلولی یا هات‌اسپات خودتان را ترجیح دهید. یک اتصال 5G کاملاً خصوصی نیست، اما یک اپراتور واحد و پاسخگو دارد، و هیچ راه آسانی برای یک غریبه وجود ندارد که خودش را در وسط آن قرار دهد. برای هر چیز حساسی در سفر، هات‌اسپات تلفنتان معمولاً پاسخ بهتری از شبکه هتل است.
  3. از VPN برای لحظاتی که اهمیت دارند استفاده کنید. یک VPN ترافیک شما را از طریق یک تونل رمزگذاری‌شده به سروری که به آن اعتماد دارید مسیریابی می‌کند، بنابراین شبکه محلی فقط آن یک اتصال را می‌بیند و هیچ‌چیزی درباره مقصد آن نمی‌داند. این اکثر دسته‌بندی‌های بالا را خنثی می‌کند: captive portal هنوز می‌تواند آزاردهنده باشد، اما نمی‌تواند جستجوهای DNS شما را ببیند، SSL را از سایت‌هایی که بازدید می‌کنید strip نکند، و نمی‌تواند پروفایل کند از کدام اپ‌ها استفاده می‌کنید. اگر با این مفهوم آشنا نیستید، راهنمای مقدماتی ما درباره اینکه VPN واقعاً چیست اصول را پوشش می‌دهد، و راهنمای ما برای VPN در سفر به جزئیات می‌پردازد. Snap یک گزینه است که حول آن موضع ساخته شده، اما عادت گسترده‌تر مهم‌تر از برند است.
  4. هرگز روی هشدارهای گواهی در شبکه‌های عمومی کلیک نکنید. اگر یک هشدار مرورگر تمام‌صفحه درباره گواهی دیدید، تب را ببندید. در شبکه خانگی‌تان تقریباً همیشه یک سایت بدتنظیم است؛ در Wi-Fi کافه ممکن است کسی فعالانه در وسط باشد. هزینه اشتباه بودن به حدی بالاست که «بعداً دوباره امتحان کن» پیش‌فرض درست است.
  5. ورودهای حساس و تراکنش‌ها را برای شبکه‌های مورداعتماد نگه دارید. بانکداری، بازنشانی رمز عبور، هر چیزی که شامل کد بازیابی یا جریان دو مرحله‌ای است — این‌ها ارزش اصطکاک کوچک صبر کردن تا برگشتن به شبکه سلولی یا Wi-Fi خانه را دارند. سود راحتی از انجام آن‌ها در فرودگاه ارزش نامتقارن آنچه می‌تواند اشتباه پیش برود را ندارد.

VPN چه چیزی را حل می‌کند و چه چیزی را نه

در این نقطه سروصدای زیادی وجود دارد، پس ارزش دارد مشخص باشیم.

یک VPN این موارد را حل می‌کند:

  • توانایی شبکه محلی برای دیدن جستجوهای DNS شما
  • SSL stripping (ترافیک شما از شبکه خصومت‌آمیز به‌صورت متن‌ساده عبور نمی‌کند)
  • پروفایل‌سازی captive portal پس از عبور از captive portal
  • توانایی یک اکسس‌پوینت جعلی برای یاد گرفتن هر چیز مفیدی درباره فعالیت شما

یک VPN این موارد را حل نمی‌کند:

  • هشدار گواهی که به هر حال روی آن کلیک می‌کنید
  • صفحات فیشینگ که فعالانه وارد آن‌ها می‌شوید
  • بدافزاری که قبلاً روی دستگاهتان است
  • این واقعیت که سایت‌هایی که بازدید می‌کنید هنوز می‌توانند از طریق حساب‌ها و کوکی‌ها شما را شناسایی کنند

این یک ابزار تیز برای یک دسته خاص از خطرات Wi-Fi عمومی است. یک سپر جادویی نیست، و محصولاتی که آن را اینگونه می‌فروشند اغراق می‌کنند. مرور ما از افسانه‌های رایج VPN بیشتر به شکاف بازاریابی در مقابل واقعیت می‌پردازد.

نتیجه‌گیری

HTTPS نسخه آسان مشکل را حل کرد. نسخه سخت‌تر، لایه زیر اتصال که در آن DNS، captive portalها، و اکسس‌پوینت‌های جعلی زندگی می‌کنند، تا زمانی که چیزی اشتباه نرود عمدتاً نامرئی است.

نیازی نیست مهندس شبکه شوید تا درباره این موضوع معقول باشید. اتصال خودکار را خاموش کنید، نسبت به captive portalها محتاط باشید، روی هشدارهای گواهی کلیک نکنید، و از شبکه سلولی یا VPN استفاده کنید وقتی اهمیت دارد.

اگر می‌خواهید بخش VPN را به‌صورت تمیز روی iOS مدیریت کنید — بدون ایمیل در هنگام ثبت‌نام، بدون لاگ ترافیک، اشتراک که از طریق Apple ID شما به‌آرامی پرداخت می‌شود — Snap دقیقاً حول آن موضع ساخته شده است. macOS در راه است. در هر صورت، مهم‌ترین چیز این نیست که کدام اپ را نصب می‌کنید؛ این است که متوقف شوید از اینکه شبکه کافه را مثل شبکه خودتان در نظر بگیرید.

The Snap VPN Team
Editorial