Obbedire avvisi del certificato del browser a causa di un difetto DNS

Qualche giorno fa, ho scritto su un difetto fondamentale nel protocollo DNS (Domain Name Service) che gestisce la ricerca da nomi leggibili da umani in indirizzi IP (Internet Protocol) elaborati dalla macchina, consigliando a tutti i lettori di determinare la loro vulnerabilità e agire.

C'è un altro avvertimento che dovrei trasmettere, comunque. Poiché questa imperfezione consente a un utente malintenzionato di avvelenare il DNS per chiunque il cui sistema si connette a un server DNS senza patch, un utente malintenzionato può anche ignorare una protezione incorporata in sessioni Web crittografate.

La crittografia Web utilizza SSL / TLS (Secure Sockets Layer / Transport Layer Sicurezza), uno standard che si basa su tre metodi per garantire che il browser si connetta solo alla parte corretta sull'altra estremità per un collegamento protetto.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Primo ogni server Web che utilizza SSL / TLS deve avere un certificato, uno per server o un certificato di gruppo. Questo certificato identifica il server.

In secondo luogo, il certificato associa il nome di dominio del server. È possibile ottenere un certificato per www.infoworld.com e utilizzarlo con www.pcworld.com.

In terzo luogo, l'identità della parte che richiede il certificato per un determinato nome di dominio è convalidata da un'autorità di certificazione. Un'impresa che gestisce tale autorità convalida l'identità della persona e della società che richiede un certificato, e quindi crea un certificato con la sua benedizione crittografata in esso. (Ora sono disponibili livelli più elevati di convalida, motivo per cui si vede una grande area verde nella posizione archiviata delle ultime versioni di Internet Explorer e Firefox, che indicano che è stata eseguita una convalida estesa.)

Queste autorità di certificazione hanno una set di certificati che dimostrano la loro identità e che sono preinstallati nei browser e nei sistemi operativi. Quando ci si connette a un server Web, il browser recupera il certificato pubblico prima di avviare una sessione, conferma che l'indirizzo IP e il nome di dominio corrispondono, convalida l'integrità del certificato e quindi controlla la firma dell'autorità per la sua validità.

Se qualsiasi test fallisce, sei avvisato dal tuo browser. Con il difetto DNS, un utente malintenzionato potrebbe reindirizzare la tua sessione bancaria o e-commerce alle versioni imitate di siti sicuri gestiti da varie aziende e il tuo browser non noterebbe la differenza di indirizzo IP, perché il nome di dominio nel certificato fasullo corrisponderebbe all'IP indirizzo che l'utente malintenzionato aveva piazzato.

Tuttavia, il browser noterà che non è presente alcuna firma dell'autorità di certificazione attendibile. (Finora, non ci sono notizie di un'ingegneria sociale di successo di queste autorità legata al difetto DNS.) Il tuo browser ti direbbe che il certificato è stato autofirmato, il che significa che l'attaccante ha usato una scorciatoia e ha lasciato fuori la firma dell'autorità, o ha usato un'autorità non affidabile, che l'autore dell'attacco ha creato da sé. (È banale creare un'autorità utilizzando strumenti open source, e questo è utile all'interno di aziende e organizzazioni. L'ho fatto io stesso, ma quelle autorità indipendenti non sono convalidate dai browser a meno che non installi manualmente un certificato su tali macchine a mano.)

Il mio avviso qui è che se si ottiene qualsiasi tipo di certificato o avviso SSL / TLS dal browser, interrompere la connessione, chiamare l'ISP o il dipartimento IT e non inserire alcuna informazione personale o aziendale.