Сигурност

Интернационализираните домейни затрудняват борбата с фишинга

Computer World

Последната версия на уеб браузъра Google Chrome, пусната в обръщение миналата седмица, ограничава начина на изобразяване на домейните, използващи символи различни от латиницата. Тази промяна представлява реакция на разработчиците към наскоро разкрита техника, позволяваща създаване достоверно изглеждащи фалшификати на популярни интернет сайтове, използвани за заблуждаване на потребителите.

Възможността за регистрация на домейн имена с използване на символи от различни азбуки съществува вече над десетилетие. От 2009 г. ICANN (Internet Corporation for Assigned Names and Numbers) е одобрила голямо количество интернационализирани домейни от първо ниво.

Когато се използват в системата за имена на домейните (DNS), адресната книга на интернет, тези имена биват конвертирани в ASCII-съвестима форма чрез т.нар. punycode. Чрез него всички символи от всички азбуки се изписват в кодиран вид с използване на 26-те символа на латинската азбука и цифрите от 0 до 9. При визуализацията им в съвременните браузъри обаче се използват оригиналните символи.

Всичко това несъмнено помага много за увеличаване използваемстта на интернет, но носи със себе си и проблеми свързани със сигурността. Някои азбуки съдържат букви, които визуално наподобяват символи от латиницата, които могат да бъдат използвани за създаване на фалшиви сайтове. Буквата „а“ например изглежда идентично на кирилица и латиница, но в Unicode се считат за различни символи, с кодове съответно U+0430 и U+0061.

Това позволява на злоумишленици да създадат домейн аpple.com с използване на „а“ на кирилица, а останалата част – на латиница. Подобен адрес може а бъде използван за фишинг атаки, при които за потребителите ще е трудно да различат истинския сайт от фалшивия, гледайки адресното поле в браузъра.

За предотвратяване на подобни омографски атаки (homograph attacks) бразузърите провеждат серии от сложни проверки, за да установят дали да покажат истинските букви или еквивалентните punycode комбинации. Едно от тези правила гласи, че ако е налице смесване на символи от различни азбуки, то винаги се използва punycode.

Punnycode версията на споменатия по-горе фалшифициран аpple.com ще е x--pple-43d.com. Това е комбинацията, която ще види потребителят в адресното поле на своя браузър.

Разработчикът на уеб приложения Худон Зън обаче демонстрира, че при някой домейн имена и марки е възможна пълна замяна на символите. Английската дума apple например може да бъде изписана само с букви на кирилица и по този начин да бъде заобиколено описаното правило. За да демонстрира проблема Зън е регистрирал домейна xn—80ak6aa92e.com, който визуално изглежда идентичен с apple.com в браузърите Chrome, Firefox и Opera, работещи под Windows. В macOS символът „l“ изглежда малко по-различно, но все пак приликата е голяма.

Специалистът е докладвал за проблема на разработчиците на интернет браузъри. От Google например са го адресирали в споменатата в началото на статията версия Chrome 58 чрез добавяне на допълнителна проверка. Сега софтуерът визуализира punycode адреса, ако в него присъстват приличащи си символи от латиницата и килирилицата и ако домейн името от горно ниво не е интернационализирано. Това означава, че проверката се прилага само при традиционни латински домейни и кодове на страни: .com, .net, .org, .uk, .de и т.н.

Например адресът xn--80ak6aa92e.xn--p1ai ще изглежда като apple в аресното поле, след което ще се изобрази интернационализирания код за Русия (.рф). За България (.бг) адресът би имал вида: xn--80ak6aa92e.xn--90ae, за Китай – xn--80ak6aa92e.xn--fiqs8s и т.н. Подобни домейни вероятно не биха били подходящи за фишинг атаки в страни, в които се използва латинската азбука, но биха могли да изглеждат достатъчно легитимни за потребители в други държави.

Политиката за изобразяване на адресите на Google Chrome вече се състои от десет проверки с различни условия, от които се вижда колко е трудно да бъдат обхваната всички възможни злоупотреби свързани с домейн имената.

В Mozilla все още не са решили как да реагират на информацията, споделена от Худон Зън. В дискусия в системата за проследяване на бъгове на организацията са налице противоположни мнения за това кой трябва да е отговорен за предотвратяването на подобни атаки.

Някои вярват, че борбата с омографските атаки не трябва да бъде провеждана от браузърите, а от компаниите и собствениците на търговски марки, чиито страници биха могли да бъдат фалшифицирани. Според тях Apple, например, трябва да поеме отговорност и превантивно да регистрира адреси, като описания с такъв „а“ на кирилица.

Джервейз Маркхъм, policy engineer в Mozilla, публикува неофициален списък с въпроси и отговори, обясняващи как браузърът Firefox определя визуализацията на домейна и какви са възможните усложнения от по-рестриктивни правила в тази насока.

Потребителите на Firefox могат да се възползват от специална опция, след активирането на която бразузърът винаги ще показва punycode варианта на адресите. Функцията може да бъде включена след набиране на командата about:config в адресното поле, откриване на реда network.IDN_show_punycode и промяна на съдържанието на полето стойност (value) от false на true.

Омографските атаки със сигурност няма да изчезнат, тъй като няма как всички сценарии за злоупотреба да бъдат покрити от общи политики. Дебатът в момента е дали рискът оправдава жертването на част от използваемостта за голяма част от потребителите. В същото време обаче трябва а се отчете и значителният успех на фишинг атаките, възползващи се от по-прости техники и без перфектно имитиране на чужди интернет сайтове.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X