Peringatan Peringatan Peramban Peramban Karena Cacat DNS

Beberapa hari yang lalu, saya menulis tentang kesalahan mendasar dalam protokol Layanan Nama Domain (DNS) yang menangani pencarian dari nama yang dapat dibaca manusia ke dalam alamat Protokol Internet (IP) yang diproses mesin., menyarankan semua pembaca untuk menentukan kerentanan mereka dan mengambil tindakan.

Ada satu lagi peringatan yang harus saya sampaikan, bagaimanapun. Karena cacat ini memungkinkan penyerang meracuni DNS untuk siapa pun yang sistemnya terhubung ke server DNS yang tidak dipatch, penyerang juga dapat melewati perlindungan yang dibangun ke sesi Web yang dienkripsi.

Enkripsi web menggunakan SSL / TLS (Lapisan Soket Aman / Lapisan Transport Keamanan), standar yang bergantung pada tiga metode untuk memastikan bahwa browser Anda hanya terhubung ke pihak yang benar di ujung lain untuk tautan aman.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Pertama, setiap server Web yang menggunakan SSL / TLS harus memiliki sertifikat, baik satu per server atau sertifikat grup. Sertifikat ini mengidentifikasi server.

Kedua, sertifikat mengikat nama domain server. Anda bisa mendapatkan sertifikat untuk www.infoworld.com dan menggunakannya dengan www.pcworld.com.

Ketiga, identitas pihak yang meminta sertifikat untuk nama domain tertentu divalidasi oleh otoritas sertifikat. Perusahaan yang mengoperasikan otoritas semacam itu memvalidasi identitas orang dan perusahaan yang meminta sertifikat, dan kemudian membuat sertifikat dengan restu mereka yang secara kriptografis terikat padanya. (Tingkat validasi yang lebih tinggi sekarang tersedia, itulah sebabnya Anda melihat area hijau besar di lokasi yang diajukan dari versi Internet Explorer dan Firefox terbaru, yang menunjukkan bahwa validasi diperpanjang dilakukan.)

Otoritas sertifikat ini sendiri memiliki set sertifikat yang membuktikan identitas mereka, dan yang sudah dipasang sebelumnya di browser dan sistem operasi. Ketika Anda terhubung ke server Web, browser Anda mengambil sertifikat publik sebelum memulai sesi, mengonfirmasi bahwa alamat IP dan nama domain cocok, memvalidasi integritas sertifikat, dan kemudian memeriksa tanda tangan otoritas untuk keabsahannya.

Jika tes apa pun gagal, Anda diperingatkan oleh peramban Anda. Dengan kecacatan DNS, penyerang dapat mengalihkan sesi perbankan atau e-niaga Anda ke versi situs aman yang dijalankan oleh berbagai perusahaan, dan peramban Anda tidak akan melihat perbedaan alamat IP, karena nama domain di sertifikat palsu akan cocok dengan IP alamat penyerang yang telah ditanam.

Namun, peramban Anda akan mencatat bahwa tidak ada tanda tangan otoritas sertifikat tepercaya yang dilampirkan. (Sejauh ini, tidak ada laporan tentang rekayasa sosial yang sukses dari otoritas ini yang terkait dengan kecacatan DNS.) Peramban Anda akan memberi tahu Anda bahwa sertifikat itu ditandatangani sendiri, yang berarti penyerang menggunakan pintasan dan meninggalkan tanda tangan otoritas, atau menggunakan otoritas yang tidak dipercaya, bahwa penyerang menciptakan diri mereka sendiri. (Ini sepele untuk membuat otoritas menggunakan alat sumber terbuka, dan ini sangat membantu dalam perusahaan dan organisasi. Saya sudah melakukannya sendiri. Tetapi otoritas independen tersebut tidak divalidasi oleh browser kecuali Anda secara terpisah menginstal sertifikat pada mesin tersebut dengan tangan.)

Peringatan saya di sini adalah jika Anda mendapatkan sertifikat atau peringatan SSL / TLS apa pun dari browser Anda, hentikan koneksi, hubungi ISP atau departemen TI Anda, dan jangan masukkan informasi pribadi atau perusahaan apa pun.