Spør eksperten

Har du spørsmål om bedriften informasjon sikkerhetstrusler for ekspert Nick Lewis? Sende dem via e-post i dag! (Alle spørsmål er anonyme.)

Proxy auto-config-funksjonalitet blir brukt av enkelte nettverk automatisk konfigurere en web proxy for systemer på nettverket. Enkelte populære nettlesere har funksjonalitet som gjør det mulig for dem å sjekke en viss lokal nettside (f.eks wpad.domainname.com) for å laste ned en konfigurasjonsfil. Disse config filer brukes til å angi informasjon om web-proxyer, slik at nettlesere er i stand til å koble til Internett via en proxy. Hvis en nettleser er automatisk konfigurert til å bruke en ondsinnet proxy, kan brukerne bli omdirigert til malware-laden websider, eller deres Internett-trafikk kan kontrolleres av ondsinnede aktører. Noen web-proxyer er selv i stand til å inspisere HTTPS trafikk, noe som kan sette selv kryptert nettrafikk i fare.

Når du bruker en nettleser, er det vanskelig å vite om en WPAD filen er i bruk for auto-konfigurering systemer, slik som identifiserer en ondsinnet proxy ville bli vanskelig. Å identifisere om eller hva proxy er brukt, inspisere IP-trafikk for å se om HTTP-tilkobling går direkte til legitim nettside eller gjennom en annen IP. Du kan også bruke netstat å lete etter åpne nettverkstilkoblinger.

De enkleste forsvar mot proxy auto-config malware er å bare deaktivere proxy auto-config innstillinger eller sette opp en legitim WPAD fil med direkte tilgang til korrekt proxy. I fremtiden kan leserens leverandører bruker signert proxy auto-config filer mye som søknad hvitlisting bruker signerte filer, men selv undertegnet configs kan bli svekket hvis en angriper kunne konfigurere et system for å stole på den nye konfigurasjonsfilen. Anmeldelser