Respectați avertismentele privind browser-ul Având în vedere defectarea DNS

Cu câteva zile în urmă, am scris despre un defect fundamental în protocolul DNS (DNS) care gestionează căutările de la nume care pot fi citite de oameni în adrese IP (IP) prelucrate de mașină, sfătuindu-i pe toți cititorii să-și determine vulnerabilitatea și să ia măsuri.

Există însă un alt avertisment pe care ar trebui să-l transmit. Deoarece acest defect permite unui atacator să otrăvească DNS-ul pentru oricine al cărui sistem se conectează la un server DNS neatins, un atacator poate de asemenea să ocolească o protecție integrată în sesiuni Web criptate.

Criptarea Web utilizează SSL / TLS (Secure Sockets Layer / Transport Layer Securitate), un standard care se bazează pe trei metode pentru a vă asigura că browser-ul dvs. se conectează doar la partidul corect din celălalt capăt pentru o legătură securizată.

[Citiți în continuare cele mai bune casete NAS pentru streaming media și copii de rezervă]

, fiecare server Web care utilizează SSL / TLS trebuie să aibă un certificat, fie unul pe server sau un certificat de grup. Acest certificat identifică serverul.

În al doilea rând, certificatul leagă numele de domeniu al serverului. Puteți obține un certificat pentru www.infoworld.com și îl puteți utiliza cu www.pcworld.com

În al treilea rând, identitatea părții care solicită certificatul pentru un anumit nume de domeniu este validată de o autoritate de certificare. O firmă care operează o astfel de autoritate validează identitatea persoanei și a societății care solicită un certificat, iar apoi creează un certificat cu binecuvântarea legată criptografic de ea. (Mai multe niveluri de validare sunt acum disponibile, motiv pentru care vedeți o zonă verde mare în locația fișierelor din cele mai recente versiuni ale Internet Explorer și Firefox, care indică faptul că a fost efectuată validarea extinsă.)

Aceste autorități de certificare au ele însele set de certificate care își dovedesc identitatea și care sunt pre-instalate în browsere și sisteme de operare. Când vă conectați la un server Web, browserul dvs. preia certificatul public înainte de a începe o sesiune, confirmă faptul că adresa IP și numele domeniului se potrivesc, validează integritatea certificatului și apoi verifică validitatea semnăturii autorității.

Dacă orice test nu reușește, sunteți avertizat de browserul dvs. Cu defectul DNS, un atacator ar putea redirecționa sesiunea dvs. bancară sau de comerț electronic către versiunile lor imediate de site-uri sigure gestionate de diverse firme, iar browserul dvs. nu ar observa diferența de adresă IP, deoarece numele de domeniu din certificatul fals ar corespunde IP-ului adresa pe care atacatorul a plantat-o.

Cu toate acestea, browserul dvs. ar reține că nu este atașată nicio semnătură de autoritate de certificare sigură. (Până în prezent, nu există rapoarte privind ingineria socială de succes a acestor autorități legate de defectul DNS.) Browser-ul v-ar spune că certificatul a fost semnat de sine, în sensul că atacatorul a folosit o scurtătură și a lăsat semnătura autorității sau a folosit o autoritate non-sigura, pe care a creat-o atacatorul. (Este banal să creezi o autoritate utilizând instrumente open source și acest lucru este util în cadrul companiilor și organizațiilor, dar eu însă am făcut-o singură, însă aceste autorități independente nu sunt validate de browsere decât dacă instalați manual un certificat manual pe aceste mașini.)

Avertizarea mea este că dacă primiți un avertisment despre SSL / TLS de la browserul dvs., opriți conexiunea, contactați departamentul de ISP sau IT și nu introduceți informații personale sau de companie.