Nuestro servicio de trenes local ha agregado Wi-Fi gratis.
He estado revisando GMail e iniciando sesión en algunas aplicaciones. Luego inicie sesión en sitios web utilizando HTTPS. ¿Es seguro, especialmente si se hace a través de la aplicación?
La red está almacenada en mi lista de Wi-Fi y la recoge automáticamente cuando subo al tren.
Si no está usando una VPN, entonces cada sitio que visite que envíe o reciba algo sensible ( especialmente contraseñas) debe ser HTTPS en lugar de solo HTTP. La 's' en HTTPS significa seguro que se proporciona mediante el protocolo de enlace y cifrado TLS. En efecto, al usar TLS (es decir, HTTPS, al que me refiero aquí de manera intercambiable), está utilizando efectivamente una VPN separada para cada sitio.
Podría valer la pena agregar un comentario sobre por qué esto es una buena práctica. Hay varias preocupaciones al usar cualquier punto de acceso público. La primera es que algún otro usuario de Wi-Fi ha configurado su dispositivo (computadora portátil, teléfono, ...) para recibir todo el tráfico que se emite desde los sistemas cercanos. Esto también se puede evitar si el punto de acceso está configurado correctamente para usar el cifrado, pero eso no es del todo confiable, ya que los protocolos de cifrado de Wi-Fi más antiguos son atacables.
El segundo riesgo es que el propio dispositivo de punto de acceso se haya visto comprometido. Hay varias formas en que esto puede suceder, incluyendo la red inalámbrica, la red cableada y el acceso físico. Otro ataque es falsificar la zona activa para que los usuarios se conecten al sistema del atacante en lugar del servicio legítimo.
En lugar de tratar de evaluar la seguridad de cada entorno inalámbrico, le recomiendo que tome conciencia de la seguridad de la comunicación con cada uno de los servicios de Internet que usa y se traslade a TLS para cualquier cosa que comunique información que no quisiera que se divulgara públicamente. Este hábito debe seguirse tanto para la conexión inalámbrica como para la inalámbrica, ya que también puede proteger contra los ataques (generalmente raros) que exponen los datos de Internet por cable.
Se me ocurrió agregar un par de exenciones de responsabilidad:
Esta discusión es sobre los datos en tránsito. No asuma que sus datos están bien protegidos en el servicio de destino solo porque se cifraron durante la transmisión. Esa protección se pierde una vez que llega al destino y deben existir otras protecciones para el procesamiento y almacenamiento de datos confidenciales en el sitio remoto.
TAMBIÉN, puede haber visto titulares sobre problemas con TLS. Se trata de implementaciones específicas o versiones anteriores del protocolo. Si el proveedor del servicio ha actualizado y mantenido correctamente su sistema y está utilizando un software moderno y actualizado (como mantener actualizado el software de su navegador), TLS es un protocolo muy poderoso y completamente confiable.
Todo depende de la seguridad del propio servicio de Wi-Fi: ¿utiliza WEP, WPA, WPA2? ( La diferencia entre el cifrado inalámbrico WEP, WPA y WPA2 (y por qué es importante )
Otro problema para los usuarios es que, como en lugares públicos, cualquier atacante puede usar la conexión Wi-Fi gratuita que se proporciona en su tren para configurar un punto de acceso no autorizado para supervisar sus actividades en línea.
P.S.
Interesante de leer: Vulnerabilidades y ataques de WEP .
Según mi conocimiento, incluso cuando utiliza aplicaciones con conexión encriptada, su información personal también puede filtrarse debido a los anuncios de terceros que aparecen en la mayoría de sus aplicaciones. Dicha información puede incluir su versión de iOS, la información de su dispositivo, su proveedor de servicios, su idioma de visualización y el más serio: la aplicación que está abriendo, su ciudad y país actuales. Se debe a que los anuncios de terceros no vienen con cifrado, por lo que su información personal es muy vulnerable a un tipo de ataque conocido como "hombre en el medio".
Si estás haciendo algo sensible, entonces sí, deberías usar VPN siempre que te conectes a cualquier tipo de red pública WiFi / 802.11. Dependiendo de HTTPS, el uso de TLS no es suficiente cuando la naturaleza humana está involucrada (tendemos a ser complacientes / cómodos y olvidamos permanecer siempre vigilantes).
Para ser claro a menos que usted
sin una alternativa de VPN segura, eres vulnerable. Y si las personas evalúan honestamente si cumplen con estos requisitos, muy pocos (si alguno de nosotros) podrían responder lo que hacen.
La mayoría de las personas no ingresan la URL completa comenzando con "HTTPS: //" incluso cuando se conectan a sitios web seguros. En su lugar, normalmente escriben algo como "google.com" y presionan enter, dependiendo (generalmente sin saber) que esta solicitud predeterminada es HTTP y que los redireccionará al recurso HTTPS.
Ahora es relativamente trivial configurar un ataque MitM en el que un dispositivo pretende ser la red WiFi pública (y posiblemente negar el acceso a la red WiFi real). Cuando se detecta una redirección al recurso HTTPS, el atacante establecerá la sesión TLS en el servidor, pero seguirá enviando la información al cliente a través de HTTP.
Esta es simplemente la operación opuesta que tiene lugar en muchos controladores de entrega de aplicaciones (también conocidos como equilibradores de carga) cuando realizan la terminación SSL / TLS en el hardware. Y todo lo que se necesita para realizar tal ataque es de alrededor de $ 100 en hardware, un poco de conocimiento y naturaleza humana.
Si quieres estar seguro, asume que la naturaleza humana ganará y usará VPN en redes WiFi públicas.