Gehoorzaam Browsercertificaatwaarschuwingen vanwege DNS Flaw

Een paar dagen geleden schreef ik over een fundamentele tekortkoming in het Domain Name Service (DNS) -protocol dat de opzoeking van door mensen leesbare namen naar door computers verwerkte Internet Protocol (IP) adressen afhandelt, alle lezers adviseren om hun kwetsbaarheid te bepalen en actie te ondernemen.

Er is echter nog een waarschuwing die ik moet doorgeven. Omdat deze fout een aanvaller in staat stelt de DNS te vergiftigen voor iedereen wiens systeem verbinding maakt met een niet-gepatchte DNS-server, kan een aanvaller ook een beveiliging omzeilen die is ingebouwd in gecodeerde websessies.

Webversleuteling gebruikt SSL / TLS (Secure Sockets Layer / Transport Layer Beveiliging), een standaard die afhankelijk is van drie methoden om ervoor te zorgen dat uw browser alleen verbinding maakt met de juiste partij aan de andere kant voor een beveiligde koppeling.

[Meer informatie: de beste NAS-boxen voor mediastreaming en back-up]

, elke webserver die SSL / TLS gebruikt, moet een certificaat hebben, één per server of een groepscertificaat. Dit certificaat identificeert de server.

Ten tweede bindt het certificaat de domeinnaam van de server. U kunt een certificaat verkrijgen voor www.infoworld.com en dit gebruiken op www.pcworld.com. <> Ten derde wordt de identiteit van de partij die het certificaat aanvraagt ​​voor een bepaalde domeinnaam gevalideerd door een certificeringsinstantie. Een bedrijf dat een dergelijke autoriteit beheert, valideert de identiteit van de persoon en het bedrijf die een certificaat aanvragen en maakt vervolgens een certificaat met hun zegening cryptografisch eraan gebonden. (Er zijn nu hogere validatieniveaus beschikbaar. Daarom ziet u een groot groen gebied op de locatie van de nieuwste versies van Internet Explorer en Firefox, die aangeven dat uitgebreide validatie is uitgevoerd.)

Deze certificaatautoriteiten hebben zelf een een reeks certificaten die hun identiteit bewijzen en vooraf zijn geïnstalleerd in browsers en besturingssystemen. Wanneer u verbinding maakt met een webserver, haalt uw browser het openbare certificaat op voordat een sessie wordt gestart, wordt bevestigd dat het IP-adres en de domeinnaam overeenkomen, wordt de integriteit van het certificaat gecontroleerd en wordt de machtigingssignatuur gecontroleerd op geldigheid.

elke test mislukt, je wordt gewaarschuwd door je browser. Met de DNS-fout zou een aanvaller uw bank- of e-commercesessie kunnen omleiden naar hun nagebootste versies van beveiligde sites van verschillende bedrijven, en uw browser zou het IP-adresverschil niet opmerken, omdat de domeinnaam in het valse certificaat zou overeenkomen met het IP-adres adres dat de aanvaller had geplant.

Uw browser zou echter opmerken dat er geen handtekening van een vertrouwde certificeringsautoriteit is bijgevoegd. (Tot nu toe zijn er geen meldingen van enige geslaagde social engineering van deze autoriteiten die verband houden met de DNS-fout.) Uw browser zou u vertellen dat het certificaat zelfondertekend was, wat betekent dat de aanvaller een snelkoppeling gebruikte en een handtekening van een autoriteit wegliet, of een niet-vertrouwde autoriteit heeft gebruikt die de aanvaller zelf heeft gemaakt. (Het is triviaal om een ​​autoriteit te creëren met behulp van open-sourcehulpprogramma's, en dit is nuttig binnen bedrijven en organisaties.Ik heb het zelf gedaan.Maar die onafhankelijke autoriteiten worden niet gevalideerd door browsers, tenzij u afzonderlijk handmatig een certificaat op die machines installeert.)

Mijn waarschuwing is hier dat als u een certificaat of SSL / TLS-waarschuwing van uw browser ontvangt, de verbinding stopt, uw ISP of IT-afdeling belt en geen persoonlijke of bedrijfsinformatie invoert.