Punycode a phishing, na který se prý nachytají i bezpečnostní experti

Publikováno: 19. 04. 2017, v rubrice: Bezpečnost, autor: , zobrazeno: 2 772x

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycodehomografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

V zásadě jde o to, že pomocí výše uvedeného algoritmu může být libovolných řetězec, např. i název domény převeden z Unicode na ASCII a naopak. Výstupem tohoto algoritmu je pak řetězec složený jen ze základních písmen, číslic a pomlček. Schválně si to vyzkoušejte sami, třeba zde.

Takže např. čínský název domény „短.co“ lze pomocí Punycode zapsat jako „xn--s7y.co“, což je pro našince jistě srozumitelnější. Punycode však nefunguje jen pro enkódování čínštiny, ale i cyrilice, a zde nastává zásadní problém.

V okamžiku, kdy tento algoritmus v adresním řádku prohlížeče má zobrazit doménu „xn--80ak6aa92e.com“ zobrazí místo ní „apple.com“, a pokud je tato doména navíc opatřena i certifikátem, nikoho nenapadne zkoumat, že uvedený název není v latince, nýbrž v cyrilici a že ony dvě „pé“ jsou vlastně „er“ a „el“ je tzv. paločka, kterou je možné zadat jako Alt+1231.

Důležité je v té cyrilici napsat celý název domény, protože v okamžiku, kdy je část názvu domény napsána v jednom jazyce a část zase v jiném, tak zafunguje ochrana a prohlížeč zobrazí punycode.

Byť je tato staronová zranitelnost jistě závažná, možnosti jejího zneužitá jsou částečně omezené množinou znaků, které lze použít. Schválně, kam myslíte, že vás zavede xn--e1awj4e7zzda.cz anebo xn--e1a6a7b.com? Dokážete vymyslet nějaké další stejně smysluplné příklady?

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Punycode a phishing, na který se prý nachytají i bezpečnostní experti – 2. díl
  2. Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 2. díl
  3. Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 3.díl
  4. Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 4. díl
  5. Phishing with style, aneb jak dostat maligní email skrz antiphishing filtry

Štítky: ,

  1. Miroslav Čermák 23.04.2017, 19:52:53 napsal:

    Nová verze Google Chrome 58 odstraňuje problém s IDN doménami, takže pokud je název domény složen výhradně ze znaků cyrilice, které by mohly být zaměněny se znaky latinky, zobrazí název domény jako punycode.

K článku “Punycode a phishing, na který se prý nachytají i bezpečnostní experti” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik