É seguro usar a Internet a partir de hotspots WiFi públicos abertos?

Sim, você pode usar WiFi público, com algumas advertências. Eu realmente tenho que questionar a validade das respostas até agora, já que várias delas são alarmistas ao extremo e parece que se está tentando promover ou vender um serviço VPN específico.

Wifi público pode ser pensado como uma rua pública ou calçada. Se você fizer algo idiota, como andar com o cartão de crédito colado na testa, então sim, seus dados serão trivialmente coletados. Na verdade, eu recomendaria que você evite fazer qualquer transação financeira enquanto estiver conectado a uma rede WiFi pública, da mesma forma que eu digo aos executivos para não discutirem os detalhes dos negócios enquanto estiver no metrô. As chances são de que ninguém esteja ouvindo nem se importe com o fato de que você possa estar comprando um prédio em um bairro específico, mas se alguém estiver, as conseqüências podem ser muito negativas. Para a grande maioria das pessoas elas não são suficientemente valiosas em termos de informação ou finanças para que um profissional as vise especificamente. O que todos nós somos muito mais vulneráveis é a escumação não específica (na maioria das vezes via leitores de cartão de crédito) e MITM não direccionado (muitas vezes via APs ou dispositivos IOT comprometidos).

Não direccionado significa apenas isso, alguém colocou um dispositivo que pode descobrir informações valiosas. Isso significa mais comumente as informações do seu cartão de crédito, mas também informações pessoais como aniversários, nomes completos, endereços, assim como nomes de usuário e senhas. Agora, como se trata de WiFi, vou me ater a esses vetores de ataque. Se alguém tiver comprometido o AP WiFi num hotel ou cafetaria, terá acesso a todo o seu tráfego, mas isso não garante que possa fazer algo com ele e se você tiver cuidado, eles não poderão fazê-lo. A primeira coisa é (novamente) não exponha informações financeiras através de uma rede pública. Isso significa não pagar contas, não comprar na Amazon (mesmo que você não tenha que colocar o seu número CC), e não entrar no site do seu banco, a menos que você esteja confiante de que entende a rede à qual você está conectado e que os sites que você está usando têm certificados TLS apropriados (sem certificados auto assinados) e o seu tráfego está sendo criptografado. Os browsers modernos tornam isto relativamente fácil de verificar, normalmente procurando na barra de endereços. Se você não estiver confiante, então conecte-se a uma VPN (e nesse caso você deve estar confiante na VPN) ou espere até estar em uma rede privada para fazer a sua transação. A razão pela qual uma VPN ajuda é a mesma razão pela qual a TLS ajuda, que é a encriptação do seu tráfego na rota. O que não ajuda, e eu argumento que muitas vezes dá aos utilizadores uma falsa sensação de segurança, é que uma VPN não o ajuda se o website que está a visitar tiver sido comprometido.

Esta história conta-nos sobre um site que recolhe contribuições políticas e que teve um software CC skimmer no local durante meses.

Site republicano manipulado com malware de cartão de crédito por 6 meses

Se você estiver interessado em como esse tipo de escumação funciona em detalhes (e pode pelo menos ler JavaScript) isso pode ser interessante:

Código de escumação de cartão de crédito @ store.nrsc.org

Nenhuma VPN (ou conexão TLS para esse fim) teria ajudado as pessoas que usaram esse site. Seus dados foram enviados para um servidor na Rússia e seus detalhes e número CC certamente já foram vendidos em massa, provavelmente várias vezes.

O ponto que estou tentando fazer é que a criptografia ajuda, mas dificilmente é uma garantia, e na maioria das vezes a criptografia "normal" para sites a partir de TLS é suficiente para proteger seus dados. Quando não é, é muitas vezes porque o site em si está comprometido e o VPN não vai ajudar de qualquer maneira. Eu sou muito mais a favor de ter a maioria/todas as nossas comunicações HTTP a passar para HTTPS do que sou de uma utilização generalizada do VPN, que tem os seus próprios problemas de segurança. Afinal, não há garantia que um determinado fornecedor de VPN seja confiável ou seguro e se a sua rede está comprometida, então você se tornou mais vulnerável em vez de menos.