Säilytä selainvarmenteita DNS-virheen vuoksi

Muutama päivä sitten kirjoitin DNS Domain Name Service (DNS) -protokollasta, joka käsittelee hakutapa ihmisen luettavia nimiä käsin käsittelemättöminä IP-osoitteina, neuvomalla kaikkia lukijoita määrittelemään haavoittuvuutensa ja ryhtymään toimiin.

On vielä yksi varoitus, jota minun pitäisi kuitenkin välittää. Koska tämä virhe mahdollistaa hyökkääjän vahingoittavan DNS: n kenelle tahansa, jonka järjestelmä liittyy epäsuoraan DNS-palvelimeen, hyökkääjä voi myös ohittaa suojauksen, joka on rakennettu salattaviin Web-istuntoihin.

Web-salaus käyttää SSL / TLS: tä (Secure Sockets Layer / Transport Layer

[Lue lisää: parhaita NAS-ruutuja mediasoittimeen ja varmuuskopiointiin)

Ensin, jokaisella SSL / TLS: tä käyttävällä Web-palvelimella on oltava joko yksi palvelimelle tai ryhmätodistukselle. Tämä sertifikaatti tunnistaa palvelimen.

Toiseksi sertifikaatti sitoo palvelimen verkkotunnuksen nimen. Voit hankkia todistuksen osoitteesta www.infoworld.com ja käyttää sitä osoitteessa www.pcworld.com.

Kolmanneksi todistuksen myöntäjä valvoo tietyn verkkotunnuksen varmenteen pyytävän osapuolen henkilöllisyyttä. Yritys, joka käyttää tällaista viranomaista, vahvistaa todistuksen pyytävän henkilön ja yrityksen henkilöllisyyden ja luo sitten todistuksen, jonka siunaus on salakuuntelussa. (Korkeammat validointitasot ovat nyt käytettävissä, minkä vuoksi näet suuren vihreän alueen Internet Explorerin ja Firefoxin uusimmista versioista, jotka osoittavat, että laajennettu validointi suoritettiin.)

Näillä varmenneviranomaisilla on itse jotka osoittavat henkilöllisyytensä ja jotka on esiasennettu selaimiin ja käyttöjärjestelmiin. Kun muodostat yhteyden Web-palvelimeen, selaimesi hakee julkisen varmennuksen ennen istunnon aloittamista, vahvistaa IP-osoitteen ja verkkotunnuksen nimen yhteensopivuuden, vahvistaa todistuksen eheyden ja tarkistaa viranomaisen allekirjoituksen sen voimassaolon.

Jos mikä tahansa testi epäonnistuu, selaimesi varoittaa sinua. DNS-puutteen vuoksi hyökkääjä voi ohjata pankki- tai verkkokauppasovelluksen eri yritysten hallitsemiin suojattujen sivustojen jäljitteleihin. Selaimesi ei huomannut IP-osoitteen eroa, koska väärässä varmennuksessa verkkotunnus vastaa IP: tä osoite, jonka hyökkääjä oli istuttanut.

Selaimesi huomasi kuitenkin, että luotettavia varmenteiden allekirjoituksia ei ole liitetty. (Tähän mennessä ei ole mitään selvitystä siitä, että näiden viranomaisten onnistunut sosiaalinen konstruktio on sidottu DNS-virheeseen.) Selaimesi kertoisi, että todistus oli allekirjoitettu, eli hyökkääjä käytti pikakuvaketta ja jätti viranomaisen allekirjoituksen tai käytti luottamuksellista viranomaista, jonka hyökkääjä luotiin. (Se on yksinkertaista luoda viranomaisia ​​avoimen lähdekoodin avulla, ja tämä on hyödyllistä yrityksissä ja organisaatioissa. Olen tehnyt sen itsekin, mutta selaimet eivät ole vahvistaneet näitä riippumattomia viranomaisia, ellet ole asentanut erillistä sertifikaattia näille koneille käsin.)

Varoitukseni tässä on, että jos saat selaimestasi jonkinlaisen sertifikaatin tai SSL / TLS-varoituksen, lopeta yhteys, soita Internet-palveluntarjoajasi tai IT-osastolle ja älä anna mitään henkilökohtaisia ​​tai yritystietoja.