Advarsler om nettleserattest på grunn av DNS-feil

For noen dager siden skrev jeg om en grunnleggende feil i DNS-protokollen (Domain Name Service) som håndterer oppslaget fra menneskelige lesbare navn til maskinbehandlede IP-adresser (IP-adresser), rådgir alle leserne til å avgjøre deres sårbarhet og iverksette tiltak.

Det er imidlertid en advarsel jeg bør passere på. Fordi denne feilen tillater en angriper å forgifte DNS for alle som har et system som kobler seg til en ikke-oppdatert DNS-server, kan en angriper også omgå en beskyttelse som er bygget inn i krypterte web-økter.

Webkryptering bruker SSL / TLS (Secure Sockets Layer / Transport Layer Sikkerhet), en standard som bygger på tre metoder for å sikre at nettleseren din bare kobler til riktig parti i den andre enden for en sikret link.

[Videre lesing: Best NAS-bokser for media streaming og backup]

Først, må hver webserver som bruker SSL / TLS, ha et sertifikat, enten en per server eller et gruppesertifikat. Dette sertifikatet identifiserer serveren.

For det andre binder sertifikatet domenenavnet til serveren. Du kan få et sertifikat for www.infoworld.com og bruke det med www.pcworld.com.

Tredje, identiteten til partiet som ber om sertifikatet for et bestemt domenenavn, er validert av en sertifikatmyndighet. Et firma som driver en slik myndighet, bekrefter identiteten til personen og selskapet som ber om et sertifikat, og oppretter deretter et sertifikat med sin velsignelse kryptografisk bundet inn i den. (Høyere nivåer av validering er nå tilgjengelige, og derfor ser du et stort grønt område i stedet arkivert av de nyeste versjonene av Internet Explorer og Firefox, noe som indikerer at utvidet validering ble utført.)

Disse sertifikatmyndighetene har selv en sett med sertifikater som viser deres identitet, og som er forhåndsinstallert i nettlesere og operativsystemer. Når du kobler deg til en webserver, henter nettleseren din offentlige sertifikatet før du starter en økt, bekrefter at IP-adressen og domenenavnet samsvarer, validerer sertifikatets integritet og kontrollerer autorisasjonssignaturen for gyldigheten.

Hvis noen test feiler, du blir advart av din nettleser. Med DNS-feilen kan en angriper omdirigere bank- eller e-handelssesjonen til sine etterligne versjoner av sikre nettsteder som drives av ulike firmaer, og nettleseren din vil ikke merke forskjellen på IP-adressen, fordi domenenavnet i det falske sertifikatet vil matche IP-adressen adresse som angriperen hadde plantet.

Din nettleser vil imidlertid merke seg at det ikke er noen påloggingsbevis for godkjent sertifisering. (Så langt er det ingen rapporter om noen vellykkede sosialteknikk av disse myndighetene knyttet til DNS-feilen.) Nettleseren din vil fortelle deg at sertifikatet var selvsignert, noe som betyr at angriperen brukte en snarvei og utelatt en autorisasjons signatur, eller brukte en ikke-klarert autoritet, som angriperen opprettet seg selv. (Det er trivielt å skape en autoritet ved hjelp av åpen kildekodeverktøy, og dette er nyttig innen bedrifter og organisasjoner. Jeg har gjort det selv. Men de uavhengige myndighetene er ikke validert av nettlesere, med mindre du separat installerer et sertifikat på disse maskinene for hånd.)

Min advarsel her er at hvis du får noen form for sertifikat eller SSL / TLS advarsel fra nettleseren din, må du stoppe forbindelsen, ringe din ISP eller IT-avdeling, og ikke oppgi personlig eller bedriftsinformasjon.