A böngésző tanúsítványainak figyelmen kívül hagyása a DNS-hiba miatt

Néhány nappal ezelőtt a Domain Name Service (DNS) protokoll alapvető hibájáról írtunk, amely az ember által olvasható nevekről kezeli a géppel feldolgozott internetes protokoll (IP) címeket, tanácsot adva minden olvasónak, hogy meghatározza a sebezhetőségüket és tegyen lépéseket.

Van még egy figyelmeztetés, amelyet továbbadnom kell. Mivel ez a hiba lehetővé teszi a támadó számára, hogy mérgezze meg a DNS-t bárkinek, akinek a rendszere csatlakozik egy behatolatlan DNS-kiszolgálóhoz, a támadó megkerülheti a titkosított webes munkamenetekbe beépített védelmet is.

A webes titkosítás SSL / TLS (Secure Sockets Layer / Transport Layer Biztonság), egy olyan szabvány, amely három módszerre támaszkodik annak biztosítására, hogy a böngésző csak a megfelelő partnerhez csatlakozzon a másik oldalon egy biztonságos linkért.

[További olvasmány: A legjobb NAS-fiókok médiafájl-adatfolyamhoz és mentéshez]

Első, minden SSL / TLS-t használó webszervernek rendelkeznie kell egy tanúsítvánnyal, egy szerveren vagy egy csoport tanúsítványonként. Ez a tanúsítvány azonosítja a kiszolgálót.

Másodszor, a tanúsítvány megköti a kiszolgáló domainnevét. A www.infoworld.com webhelyen tanúsítványt szerezhet, és felhasználhatja a www.pcworld.com webhelyen.

Harmadszor, az adott domainnévre vonatkozó tanúsítványt kérő fél azonosítását tanúsító hatóság hitelesíti. Az ilyen hatóságot működtető cég hitelesíti a tanúsítványt kérő személy és vállalat azonosságát, majd tanúsítványt állít fel benne rejtjelezett áldásukkal. (A magasabb érvényesítési szintek mostantól elérhetők, ezért nagy zöldterületet láthat az Internet Explorer és a Firefox legújabb verzióinak helyén, amelyek azt jelzik, hogy a kiterjesztett érvényesítést elvégezték.)

Ezeknek a tanúsító hatóságoknak maguknak van egy amelyek igazolják azonosságukat, és amelyek előre telepítve vannak a böngészőkben és az operációs rendszerekben. Amikor egy webkiszolgálóhoz csatlakozik, a böngésző a munkamenet megkezdése előtt visszakeréli a nyilvános tanúsítványt, megerősíti, hogy az IP-cím és a domain név egyezik, érvényesítik a tanúsítvány sértetlenségét, majd ellenőrzi a hatósági aláírás érvényességét.

Ha minden teszt sikertelen, a böngésző figyelmeztet. A DNS-hibával a támadó átirányíthatja a banki vagy az e-kereskedelmi munkameneteket a különböző cégek által üzemeltetett biztonságos webhelyek utánozódott változataira, és a böngészője nem veszi észre az IP-cím különbséget, mert a hamis tanúsítványban szereplő domainnév megegyezik az IP-címmel cím, amelyet a támadó ültetett.

A böngésző azonban megjegyzi, hogy nincs megbízható hitelesítő hatósági aláírás. (Eddig nem jelentettek be semmiféle sikeres szociális tervezést ezeknek a hatóságoknak a DNS-hibával összekapcsolva.) A böngészője azt mondaná, hogy a tanúsítvány önaláírt, vagyis a támadó egy parancsikont használ, és elhagyta a hatóság aláírását, vagy egy nem megbízható szervet használ, amelyet a támadó saját magának teremtett. (Nem kötelező a nyílt forráskódú eszközök használatával létrehozni egy hatóságot, ami hasznos a vállalatoknál és a szervezeteknél, de magam is megcsináltam, de ezeket a független hatóságokat a böngészők nem hitelesítik, hacsak külön nem telepítenek igazolást ezekre a gépekre.)

Az én figyelmeztetésem az, hogy ha valamilyen tanúsítványt vagy SSL / TLS figyelmeztetést kap a böngészőből, állítsa le a kapcsolatot, hívja az internetszolgáltatóját vagy az informatikai osztályát, és ne adjon meg semmilyen személyes vagy céginformációt.