Składniki

Obey ostrzeżenia o przeglądarkach z powodu luki DNS

Darek Piskorski - Bo życie jedno mam

Darek Piskorski - Bo życie jedno mam
Anonim

Kilka dni temu napisałem o podstawowej luce w protokole DNS (Domain Name Service), która obsługuje wyszukiwanie z nazw czytelnych dla człowieka na adresy IP przetwarzane przez maszyny, doradzając wszystkim czytelnikom, aby określili swoją słabość i podjęli działania.

Jest jeszcze jedno ostrzeżenie, które powinienem przekazać. Ponieważ ta luka umożliwia osobie atakującej zatruć DNS dla każdego, kogo system łączy się z niezałatanym serwerem DNS, osoba atakująca może również ominąć ochronę wbudowaną w zaszyfrowane sesje internetowe.

Szyfrowanie internetowe używa SSL / TLS (Secure Sockets Layer / Transport Layer Security), standard, który opiera się na trzech metodach, aby zapewnić, że przeglądarka łączy się tylko z odpowiednią stroną na drugim końcu w celu uzyskania bezpiecznego łącza.

[Dalsze informacje: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i tworzenia kopii zapasowych]

Najpierw każdy serwer WWW korzystający z protokołu SSL / TLS musi mieć certyfikat, jeden na serwer lub certyfikat grupy. Ten certyfikat identyfikuje serwer.

Po drugie, certyfikat wiąże nazwę domeny serwera. Możesz uzyskać certyfikat na www.infoworld.com i użyć go na stronie www.pcworld.com.

Po trzecie, tożsamość strony żądającej certyfikatu dla danej nazwy domeny jest sprawdzana przez urząd certyfikacji. Firma, która prowadzi taki organ, potwierdza tożsamość osoby i firmy wnioskującej o certyfikat, a następnie tworzy certyfikat z ich błogosławieństwem kryptograficznie związanym z nim. (Dostępne są teraz wyższe poziomy sprawdzania poprawności, dlatego w polu lokalizacji najnowszej wersji przeglądarki Internet Explorer i Firefox widzisz duży zielony obszar, co wskazuje, że została przeprowadzona rozszerzona walidacja.)

Te same urzędy certyfikacji mają zestaw certyfikatów potwierdzających ich tożsamość, które są preinstalowane w przeglądarkach i systemach operacyjnych. Podczas łączenia się z serwerem sieci Web przeglądarka pobiera certyfikat publiczny przed rozpoczęciem sesji, potwierdza, że ​​adres IP i nazwa domeny są zgodne, sprawdza integralność certyfikatu, a następnie sprawdza podpis urzędu pod kątem jego ważności.

Jeśli test się nie powiedzie, zostaniesz ostrzeżony przez przeglądarkę. W przypadku usterki DNS osoba atakująca może przekierować sesję bankowości lub e-commerce do swoich zmanipulowanych wersji bezpiecznych witryn obsługiwanych przez różne firmy, a przeglądarka nie zauważy różnicy adresów IP, ponieważ nazwa domeny w fałszywym certyfikacie będzie zgodna z adresem IP adres, który atakujący podrzucił.

Przeglądarka zauważy jednak, że nie ma podpisu zaufanego urzędu certyfikacji. (Do tej pory nie ma doniesień o udanej inżynierii społecznej tych organów związanych z luką DNS.) Twoja przeglądarka powie Ci, że certyfikat był samopodpisany, co oznacza, że ​​atakujący użył skrótu i ​​pominął podpis organu, lub użył niezaufanego organu, który został stworzony przez atakującego. (Tworzenie organów za pomocą narzędzi open-source jest trywialne, a to jest pomocne w firmach i organizacjach, zrobiłem to sam, ale te niezależne autorytety nie są sprawdzane przez przeglądarki, chyba że oddzielnie zainstalujesz certyfikat na tych maszynach ręcznie..)

Moje ostrzeżenie jest takie, że jeśli otrzymasz jakiekolwiek ostrzeżenie o certyfikacie lub SSL / TLS z przeglądarki, zatrzymaj połączenie, zadzwoń do swojego dostawcy usług internetowych lub działu IT i nie podawaj żadnych informacji osobistych lub firmowych.