Advar advarsler om browserværdier på grund af DNS-fejl

For nogle dage siden skrev jeg om en grundlæggende fejl i DNS-protokollen (Domain Name Service), der håndterer opslaget fra menneskelige læsbare navne til maskinbehandlede IP-adresser (Internet Protocol), rådgive alle læsere til at bestemme deres sårbarhed og handle.

Der er dog endnu en advarsel, jeg skulle videregive. Fordi denne fejl gør det muligt for en hacker at forbyde DNS'en for alle, hvis system forbinder til en updateret DNS-server, kan en angriber også omgå en beskyttelse, der er indbygget i krypterede websessioner.

Webkryptering bruger SSL / TLS (Secure Sockets Layer / Transport Layer Sikkerhed), en standard, der afhænger af tre metoder for at sikre, at din browser kun forbinder den korrekte part i den anden ende for et sikkert link.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Først, skal hver webserver, der bruger SSL / TLS, have et certifikat, enten en pr. server eller et gruppecertifikat. Dette certifikat identificerer serveren.

For det andet binder certifikatet serverens domænenavn. Du kan få et certifikat til www.infoworld.com og bruge det med www.pcworld.com.

For det tredje bekræftes identiteten af ​​den part, der anmoder om certifikatet for et givet domænenavn, af en certifikatmyndighed. Et firma, der driver en sådan myndighed, bekræfter identiteten på den person og virksomhed, der anmoder om et certifikat, og opretter derefter et certifikat med deres velsignelse kryptografisk bundet til det. (Højere niveauer af validering er nu tilgængelige, og derfor ser du et stort grønt område i stedet for de seneste versioner af Internet Explorer og Firefox, hvilket tyder på, at udvidet validering blev udført.)

Disse certifikatmyndigheder har selv en sæt certifikater, der beviser deres identitet, og som er forudinstalleret i browsere og operativsystemer. Når du opretter forbindelse til en webserver, henter din browser offentligt certifikat inden du starter en session, bekræfter, at IP-adressen og domænenavnet matcher, validerer certifikatets integritet og derefter kontrollerer autoritets signaturen for dens gyldighed.

Hvis enhver test fejler, du advares af din browser. Med DNS-fejlen kan en angriber omdirigere din bank- eller e-handelssession til deres efterligne versioner af sikre websteder, der drives af forskellige firmaer, og din browser vil ikke bemærke IP-adresseforskellen, fordi domænenavnet i det falske certifikat ville matche IP adresse, som angriberen havde plantet.

Din browser vil dog bemærke, at der ikke er nogen tillid til certifikatmyndighedens signatur. (Hidtil er der ingen rapporter om nogen succesfulde sociale ingeniørvirksomhed af disse myndigheder i forbindelse med DNS-fejlen.) Din browser ville fortælle dig at certifikatet var selvsigneret, hvilket betyder, at angriberen brugte en genvej og udeladt en myndigheds underskrift eller Brugte en ikke-betroet myndighed, som angriberen selv skabte. (Det er trivielt at oprette en myndighed ved hjælp af open source-værktøjer, og det er nyttigt inden for virksomheder og organisationer. Jeg har gjort det selv. Men disse uafhængige myndigheder valideres ikke af browsere, medmindre du separat installerer et certifikat på disse maskiner for hånd.)

Min advarsel her er, at hvis du får nogen form for certifikat eller SSL / TLS advarsel fra din browser, skal du stoppe forbindelsen, ringe til din internetudbyder eller it-afdeling og ikke indtaste personlige eller firmaoplysninger. >