Preciso de uma VPN se não tiver nada a esconder?

VPNs são para todos. Isso é por que.

Sim. Fim da história. Pare de ler e pegue um. Faça. Agora.

Está bem. Estou aqui para fazer mais do que apenas dizer-lhe para obter VPN. Vamos dividir por que você precisa de VPN (mesmo se você não tem nada a esconder).

Primeiramente, a menos que você seja o Rei Bach , e transmita grande parte da sua vida para o mundo inteiro, você provavelmente tem algumas coisas que deseja manter privadas. Mas mesmo que você seja um “participante” profissional, é provável que você tenha segredos que deseja manter ou simplesmente coisas que o mundo inteiro não precisa conhecer. O rei Bach provavelmente não quer que o mundo saiba seu número de seguridade social (SSN), quem ele está enviando por e-mail e todos os sites que ele visita. Uma VPN pode ajudar com isso.

Credenciais Roubadas

Muitas das informações transmitidas on-line são vulneráveis ??à escuta clandestina. Muitos sites ainda se recusam a usar o HTTPS, mesmo que solicitem informações confidenciais, como nome de usuário e senha.

Vamos dar uma olhada nisso em ação. Abaixo está um exemplo de uma página de login insegura. Observe a ausência de "HTTPS" na barra de URL. Isso permite que um invasor na mesma rede faça o que é chamado de captura de pacote ou detecte credenciais conforme elas são enviadas ao site.

Página de login insegura

Outros sites são parcialmente protegidos, enviando apenas credenciais por HTTPS, mas todas as comunicações subsequentes são enviadas de forma insegura por HTTP. O resultado é que um invasor com acesso à rede pode adulterar o site de login inicial e alterar o login para HTTP sem o seu conhecimento. O código abaixo mostra essa mudança – algo que um usuário normal não notaria.

URL de envio alterado e alterado para HTTP

Se as credenciais forem enviadas por HTTP, elas ficarão visíveis para os atacantes usando ferramentas prontamente disponíveis (como o Wireshark ). Aqui está um exemplo de envio do formulário através de HTTP regular e roubo de credenciais usando o Wireshark.

Roubando Credenciais

As situações acima são ruins, porque o invasor pode roubar completamente suas credenciais de login. Mesmo que um invasor não consiga roubar suas credenciais ao adulterar o URL de envio durante o processo de login, ele poderá roubar seu acesso ao site. Isso acontece pegando seu “cookie de sessão” e se passando por você no site. Veja um exemplo de roubo do cookie de sessão sem qualquer adulteração de URL inicial.

Cookie de Sessão de Roubo

Privacidade comprometida

Mesmo que toda a sua navegação seja feita por HTTPS, os olhos de espionagem ainda podem aprender coisas sobre você que você pode preferir manter privadas. Usando os mesmos métodos que eles usaram para ver sua senha e roubar seu cookie, um atacante pode detectar seu tráfego de DNS e ver em quais domínios você está indo. Se, por exemplo, você gostar de ver os GIFs no GIPHY , o invasor poderá ver quando e por quanto tempo você navegará nesse site. Eles não conseguiriam ver os GIFs que você visualiza, mas poderiam começar a desenvolver um perfil do seu uso da Internet, com o objetivo de criar ataques direcionados subsequentes.

Tráfego em segundo plano do processo de segundo plano do nsurlsessiond

Além do surf que você faz por meio de um navegador da web, há processos em segundo plano em execução no computador e no telefone que estão constantemente procurando por atualizações, sincronização e gerando ruído na rede. Use um firewall local como o Little Snitch ou o NetLimiter para ver todos os dados de segundo plano que o seu computador envia.

Um invasor qualificado pode usar esse ruído para saber mais sobre você, como quais aplicativos você usa. Um invasor pode usar essas informações para realizar um ataque de phishing direcionado contra você.

Mas eu não sou um alvo

Acredita-se que apenas criminosos, ou aqueles "com algo a esconder", usavam VPNs. E eles fazem. Mas nós, pessoas comuns, também devemos usá-los para adicionar uma camada de segurança à nossa atividade na Internet, proteger nossa privacidade e convencer um possível invasor de que simplesmente não vale a pena.