False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net

[Briolet]

Ik krijg sinds een paar dagen vele mailtjes per dag met de melding:

De verbinding van DS415-port-A met fp2e7a.wpc.2be4.phicdn[.]net is geblokkeerd om veiligheidsredenen(Phishing).

En ik verwacht dat dit bij velen zal gebeuren die Safe Acces gebruiken.

Ik heb nu zitten te zoeken wat dit was. Deze meldingen worden veroorzaakt door de controle of een certificaat van Digicert op de CRL (Certificaat Revokion List) staat. Digicert gebruikt daar het domein "crl4.digicert.com" voor. En dit is een alias van het domein dat de waarschuwing geeft.

Code: [Selecteer]

$ host crl4.digicert.com
crl4.digicert.com is an alias for crl.edge.digicert.com.
crl.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net.  <-----------
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95
Dit domein kun je dus beter whitelisten in de router. Het kan best zijn dat een phishing site een certificaat van Digicert in gebruik heeft, waardoor dit IP op de blocklist kwam. Maar nu werkt het averechts. Als Digicert dit certificaat ingetrokken heeft, blokkeert de router de controle hierop en krijg je juist geen waarschuwing bij bezoek op die site. En gelijktijdig frustreert deze blokkade de controle van andere certificaten.

[Briolet]

De blokkeringsmailtjes kwamen ook 's nachts. Ik was benieuwd waar dat bij mij vandaan kwam.  Ik denk nu van de stentor app op mijn telefoon omdat die volgens mij ook 's nachts kijkt of er nieuws is.

De Stentor (of eigenlijk alle kranten uit de DPG Media groep) gebruikt in elk geval deze certificaten:



Het linken aan een specifiek device gaat in mijn netwerk lastig omdat ik een eigen DNS server gebruik. De router ziet daardoor alleen dns verzoeken vanaf de nas komen en geeft hem steeds als bron aan. Ik moet dan echt in het dns pakket de logging aan zetten, wat ik niet standaard doe omdat het wel heel veel data genereert.

[Babylonia]

Dank voor de toelichting.  Ik zal het hier in de gaten houden.
(Maar maak geen gebruik van een Stentor app).

[stapper]

Helemaal snappen doe ik dit verhaal niet, ben niet zo thuis in routers vrees ik.
Maar ik krijg wel 20 meldingen per dag.

Zelfs als ik  helemaal niet op internet zit !
( dan schijnt het de TV te zijn en/of de nas.)

Die stendor app gebruik ik ook niet.

Zal komend weekend wel even een lijst van die IP nummers maken.

[Briolet]

Het heeft ook niet perse met de stentor app te maken, maar met het bezoeken van een site die een Digicert certificaat gebruikt. Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.

Een certificaat heeft tegenwoordig een geldigheid van 13 maand. Als voor het aflopen blijkt dat er iets onbetrouwbaar is aan zo'n site. (b.v. als blijkt dat een malafide site een certificaat heeft gekregen), dan kan de verstrekker het certificaat al eerder intrekken. Zo'n certificaat komt dan op een CRL of OCSP lijst te staan.

Dus een browser moet steeds voor hij een certificaat gaat vertrouwen, eerst op die lijst kijken of het certificaat niet ingetrokken is. En juist die URL waarmee de controle plaats heeft, wordt door de router geblokkeerd.

Twee jaar geleden zat er exact diezelfde fout in de lijst, maar dan van een andere certificaat verstrekker. Ik het toen een ticket bij Synology aangemaakt. Maar zij nemen zo'n probleem helemaal niet serieus en verschuilen zich erachter dat zij die lijst niet samenstellen. Maar als zij niet vertellen waar ik dan moet klagen, dan zijn zij degenen die zo'n bug zo snel mogelijk moeten doorgeven aan de samenstellers van de lijst.

Nu leidt deze blokkade ertoe dat een, vanwege phishing ingetrokken certificaat, niet gecontroleerd wordt en door de browser geaccepteerd blijft worden. Echt dubbel fout van de router omdat de blokkade de boel juist onveiliger maakt.

-----

Op de mac kon je in het verleden bij certificaat beheer instellen dat de CRL altijd gecontroleerd moet worden. Faalt die controle dan kun je zo'n site helemaal niet bezoeken. Default was echter om alleen proberen te controleren. Als de controle dan faalt, wordt het certificaat gewoon geaccepteerd.
Deze instellingen zijn echter uit het sluitelhanger beheer programma gehaald. In elk geval kan ik ze niet meer terug vinden.

[Babylonia]

....maar met het bezoeken van een site die een Digicert certificaat gebruikt.
Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.

Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.

Er worden bij mij echter wel achterliggende links van "advertenties" geblokkeerd betrekking hebbende met Digicert certificaat.
(En daarnaast nog een stuk wat domeinen).  Maar dat is bewust blokkeren op basis van mijn eigen instellingen.

[stapper]

Ik vat het een beetje... geloof ik, dat heeft dus te maken met dat certificaat wat ze gebruiken voor HTTPS? of zie ik dat verkeerd.?

Vreemde hier is, ik stapte vanmorgen de mand uit, telefoon gaf 34 meldingen van de router terwijl ik lag te snurken...

[Briolet]

Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.

Zoals gezegd zal het ook sterk van de gebruikte browser afhangen.  De Digicert certificaten bieden twee protocollen aan voor de controle. De OCSP en de CRL.

Voor beide protocollen staan er twee url's in hun certificaten. Browsers kunnen zelf kiezen welk protocol ze gebruiken. Blijkbaar is het OCSP protocol nieuwer en heeft minder overhead. Ik kan alleen vinder dat Firefox het OCSP protocol gebruikt voor de controle. Maar ik lees wel dat er tegenwoordig een tendens is om bij voorkeur OSCP te gebruiken als er een keuze is.

Het probleem alhier treed echter op bij controle via het CRL protocol. Ik gok dat dit aan de gebruikte Android versie 7.x van mijn telefoon ligt waar mijn kranten app op draait.

[Babylonia]

Dat Firefox verklaart dan al veel.  Gebruik hoofdzakelijk die browser, en dan nog op een laptop.
(Kijk al helemaal geen krantenberichten op een smartphone. Te priegelig kleine tekst voor "mijn ogen"  ).

[stapper]

Wat ik dan niet snap...
Ik zet de mobile foons in de avond altijd uit, dan slaap ik 

Dus dan hangt alleen die nas en die tv aan internet..
( toch 34 meldingen)

[Babylonia]

Je kunt in de log bestanden van Safe Access vinden bij welk apparaat de meldingen horen.
Zou evengoed je TV kunnen zijn (m.b.t. smart opties).

[stapper]

Keek even bij save acces.
Blokkerende activiteit.
hele waslijst, maar die kan ik kennelijk niet kopiëren?

Betreft mijn pc, de tv en de nas.
Voor zover ik het zo op het oog kan zien steeds andere Ip nummers.
De mobietjes van mijn vrouw en mij kom ik niet tegen, de nas neemt ongeveer 80% voor zijn rekening.

[Babylonia]

Als je NAS ongeveer 80% voor zijn rekening neemt van alle meldingen in de logbestanden van Safe Access,
zou ik toch eens heel goed alles in je NAS nalopen wat je daar allemaal mee doet, de processen die er lopen, en het "waarom".
(De firewall fatsoenlijk inregelen, en aanvullende instellingen m.b.t. beveiliging van de NAS).

Vanuit mijn NAS'sen heb ik daar werkelijk nog nooit één melding binnen Save Access van waargenomen.

[stapper]

Nou dat valt volgens mij wel mee.. wat ik daar gebruik.
Ik heb alle beveiligingen getroffen die daar ergens op deze site staan.
2fa, net en browser blocking, alles. ( behalve die firewall vrees ik, dat geoblocking.)
Ik gebruik maar 2 poorten 443 en een gekozen poort.

Maar nu ik er over nadenk, ik denk dat ik het wel weet.
Ik was een tijd terug bezig met docker, een tutorial over het opzetten van een calibre browser voor al mijn boeken.

Ik vermoed, weet het niet zeker, dat dit hem is.
Die gooi ik er straks gelijk af.

[Babylonia]

Het gaat niet zozeer in wat er "binnen" zou willen komen met "login" gerelateerd zaken.
Maar wat er aan data - of op te zetten mogelijke connecties (?) van binnenuit naar buiten uitgaat
en dan elders bij een server connectie probeert te zoeken en informatie en verdere gegevens uitwisselt.
Dingetjes binnen zo'n docker applicatie zouden daar mogelijk best verantwoordelijk voor kunnen zijn?