Szyfrowanie transmisji
W podróży (a pan Edward Snowden przekonuje nas że tak naprawdę zawsze) powinniśmy korzystać jedynie z bezpiecznych stron szyfrowanych za pomocą HTTPS. Oznaczenie takich stron zależy od przeglądarki, ale zazwyczaj znajduje się bezpośrednio koło adresu strony. Nie należy mylić tego (i ufać) informacjom na samej stronie, które informują o szyfrowanej komunikacji, bo zwyczajnie mogą one nie być wiarygodne.
Jest z tym pewien kłopot, a właściwie dwa.
Po pierwsze musimy o tym pamiętać, czyli przed każdym logowaniem czy inną czynnością jaką wykonujemy musimy się upewnić czy nasza przeglądarka lub aplikacja korzysta z szyfrowania. Warto to zrobić, bo to jedyna darmowa metoda na zapewnienie sobie przyzwoitego poziomu bezpieczeństwa.
Jednak w przypadku aplikacji mobilnych ich twórcy nie informują zazwyczaj jakiego rodzaju połączeń używają. Warto więc używać tylko popularnych aplikacji, w których brak zastosowania szyfrowania zapewne zostałby szybko odkryty, a na czas podróżowania nie uruchamiać innych aplikacji jakie mogłyby przesyłać nasze dane do sieci. Niestety to dotyczy też aplikacji bankowych – dla banków mobilny świat to coś zupełnie nowego i adopcja rozwiązań mobilnych dopiero postępuje. Oni będą się zastrzegać, że wszystko jest zgodne z zasadami sztuki i nie ma mowy o żadnej wpadce, ale realnie mają trochę mniejsze doświadczenie niż Facebook, Twitter, Instagram i spółka, więc na czas podróży dałbym sobie z tymi aplikacjami spokój.
Także wiele portali internetowych (w tym chyba wszystkie polskie) używa bezpiecznego szyfrowanego połączenia jedynie do logowania, a potem wyłącza szyfrowanie, aby oszczędzić sobie kosztu przesyłu danych (szyfrowane są nieco większe) i mocy obliczeniowej serwerów (to już mocno dyskusyjne przy dzisiejszych superwydajnych procesorach). To nie jest bezpieczne, po logowaniu nasze dane oraz nasze konto może zostać w takim przypadku podsłuchane a nawet przechwycone (tzw. atak session hijacking).
Rozwiązanie?
Nie korzystać z portali, które nie pozwalają na szyfrowanie całości transmisji? A jeśli piszemy własnego bloga, a platforma blogowa nie umożliwia szyfrowanego połączenia?
Na własnym WordPressie możemy ustawić szyfrowany tryb administracyjny i zakupić certyfikat. Jeśli nasz dostawca hostingu nie oferuje możliwości serwowania szyfrowanych stron taką usługę za darmo dostarcza firma CloudFlare.
Dość wygodnym rozwiązaniem jest VPN, czyli usługa, która – niezależnie od tego czy szyfrowane jest połączenie docelowe – dodatkowo zaszyfruje nasz ruch pomiędzy naszym urządzeniem (aplikacja jest łatwa dla zainstalowania i dostępna zarówno na smartfony, tablety jak i komputery) a serwerami dostawcy usługi (np. popularnego hidemyass). Dzięki temu ktoś podsłuchujący nasze łącze zobaczy tylko jedno połączenie do serwera VPN i nie będzie miał pojęcia co tak na prawdę robimy i z kim oraz jak (z szyfrowaniem czy bez) się łączymy. Taka usługa zazwyczaj nie będzie bezpłatna (chyba że dysponujemy własnym serwerem – hosting nie wystarczy – wtedy możemy sami zainstalować oprogramowanie OpenVPN), trzeba będzie na nią wydać ok $10 miesięcznie.
Czytelne porównanie ofert dostawców VPN oferują strony vpn Mentor oraz Find the Best VPNs.
Trzeba także pamiętać, że po dotarciu do serwera dostawcy VPN nasza komunikacja może nie być już szyfrowana (o ile docelowa strona nie jest szyfrowana), a co za tym idzie ów dostawca może się z nią zapoznać. Nadal weryfikujmy więc czy przy okazji płatności, połączeń do banków i poczty dodatkowo chroni nas bezpieczne połączenie z daną stroną. Możemy mieć duże zaufanie do firmy, która pozwala nam bezpiecznie korzystać z sieci o nieznanej reputacji, ale nadal nie powinniśmy jej powierzać naszych prywatnych informacji – oni też mogą zostać kiedyś zhakowani.
Reasumując:
- kontroluj szyfrowanie na stronach – tylko ono gwarantuje że komunikacja jest prywatna od twojego komputera aż po serwer do którego się łączysz i nikt po drodze nie będzie w stanie jej podsłuchać
- w niezaufanych sieciach (czyli praktycznie zawsze poza domem) używaj usługi VPN – zagwarantuje ona szyfrowanie (nawet jeśli strona docelowa nie jest szyfrowana – choć powinna) oraz zapewni ci prywatność (podsłuchujący będzie widział tylko pojedyńcze połączenie do serwera VPN, nie będzie w stanie stwierdzić z jakimi innymi zasobami łączysz się przy jego wykorzystaniu)
- na smartfonie i tablecie korzystaj tylko z popularnych aplikacji używanych masowo, niszowe aplikacje mogą wysyłać twoje dane niezaszyfrowane, a nie ma możliwości zweryfikowania tego jaki typ transmisji jest właśnie wykorzystywany