Názory k článku Phishingový útok výměnou IDN znaků v doméně znovu na scéně

Rika to kazdy IT-rozumny, krom hackeru/phishe­ru/rybaru: Jdete s IDN do PRDELE!

tiez nechapem kto toto vymyslel. Povolene znaky A-Z a 0-9 a ziadne kraviny.

inak dost sa smejem, ze v IE11 (a pozeram ze aj v edge) tento "bug" nefunguje a oba prehliadace korektne ukazuju v adresarovom riadky aj pri nabehnuti myskou na linku skutocnu adresu xn--blabla. Co je ale divne, ze ked si kliknem na zamok pre info o cert tak tam uz pise apple.com a epic.com a nie xn--
To akoze firefoxu a chrome ide o co? Su padnuty na hlavu?

Ako dobre ze pouzivam vacsinou by default IE :)

lol kvoli comu ten downvote? kvoli tomu ze som napisal ze v edge/ie to nejde?

mam Linux v mutliboote a v robote prevazne robim s linuxami takze klidek ziaden trolling :)

Lepe bych to nenapsal, HOWGH.

IDN ke strašné zlo, to taky říkám pořád... btw nebylo by lepší aby se zpřísnily podmínky pro registrátory aby nevydavávaly phishingové domény tak snadno?

Jak posoudi registrator nekde v Pakistanu, jestli IDN domena v Czekistanu neni nahodou rip-off existujici domeny v XYZ jazyce? Tudy cesta imho bohuzel nevede,

A co takhle aby registrator udelal dns dotaz na vsechny podobne domeny a pokud uz existuje tak to nepovolil ? Je jedno jestli je registrovana v pakistanu nebo u nas, stejne to pak musi byt dohledatelne pres dns. Podobnost se da definovat jako pocet stejnych znaku s tim ze se berou v potaz i pismena co vypadaji stejne - pak uz staci nastavit jenom nejaky treshold. Trebe ze ápple.com nebo cokoli kde je jen 1 jine písmeno neni v poradku ale napr aaapple.com uz ano. Proste trochu zmenšit adresní prostor. Nevyřeší to vše ale ty největší zvěrstva by mohlo...nebo treba vyuzit databazi certificate transparency a hledat jestli tam uz neni podobna domena ? Hmm ? Phishing stejne miri predevsim na https weby...

rika se tomu Hummingova vzdalenost.
Ale fungovat to nebude, prijde vam tohle podobne?
https://www.xn--80ak6aa92e.com/ (https://www.apple.com)

Jo, tak se na ten genitální nápad podíváme.

1) Potřebuješ substituční tabulku. Ta definuje znaky se stejnou grafickou reprezentací, jako A a %ALPHA%, že V v azbuce vypadá jako B a podobně.
2) Potřebuješ seznam subdomén v dané doméně
3) při požadavku procházíš doménu po doméně, znak po znaku a kontroluješ, jestli požadavek nekoliduje s něčím v substituční tabulce. Triky s hash table apod. ti nepomůžou.
4) Po nalezení shody musíš zkontrolovat, jestli požadavek dal ten, kdo si registroval původní doménu.

A teď si vem, v tabulce bude tak 300k kolizních párů znaků (střeleno od boku) , TLD má řekněme 500k domén sse stejnou délkou jména, jakou má požadavek... Jak dlouho se ti bude hledat kolize? Jak silnou mašinu potřebuješ na ověření řekněm 5 požadavků/s s předpokladem 99% legitimních? (počítej, že se iteruje přes databázi, do RAMky to nenarveš).

@Petr M
Tabulka je k ničemu. Na to potřebuješ buď armádu lingvisticky zdatných neomylných indů nebo dokonalou AI proti které jsou vyhledávací algoritmy na googlu jenom select. No, každopádně by vznikly nové CA :-)

Btw, bude třeba tenhle registrátor cokoliv ověřovat? Jaká je šance ho k tomu donutit?

> DN jsou identifikátory pro uživatele, zobrazovat cokoli jiného než IDN je nesmysl, protože uživatel neví, o co jde.

nesouhlasim, kdyz kliknu na apple.com (a chci na ascii apple.com), browser by mi mel zobrazit jak navrhoval kolega vyse: apple.com: (xn-idn-garbage-blabla) ---a ja si posoudim, jestli jsem chtel na ascii verzi, nebo na tu idn

pouzivatel sice nemusi vediet co je xn-- a ani mu to netreba vediet, pretoze ked bude v browser vidiet ze je na xn--lalalla namiesto www.mojabanka.sk tak to dojde uplne kazdemu ze oops nieco je zle...

nechapem co si chcel povedat tym ze mozes mat domenu zapisanu na papiery, to akoze ked budes z papiera opisovat apple.com tak sa mozes pomylit a napisat to vazbuke a dostanes sa na fake apple.com ???

Hele Jirsáku, a už nám konečně moudře poradíš, jak pozná uživatel tu správnou důvěryhodnou CA? :-P

Asi tak.

Současný přístup k IDN je stejnej, jako když schovávaly Widle přípony a přípona byla to jediný, co rozhodovalo, jestli se při double clicku soubor spustí, nebo otevře v nějakým programu. A furt se řešilo, jak BFU mají poznat, co je to za soubor...

Nejhorsi je, ze tu priponu widle schovavaji dodnes (v defaultnim nastaveni). Pritom je to ta nejsnaze zalepitelna bezpecnostni dira.

Chrome 58 již vyšlo v noci na dnešek.

Tak ono by bohatě stačilo, aby jakmile se zjistí takový útok, registrátor danou doménu přesměroval na stránku s varováním, že se jedná o podvod a následně ji odstranil úplně a dal si ji na veřejný blacklist a tím zajistil nemožnost budoucí registrace.

Taky jste nemuseli po rozdělení federace kopírovat tuhle überhovadinu.

Celkem jednoduše ta doména se začne objevovat třeba v podvodných emailech, to by mohlo stačit, já neříkám, že registrátor má takové domény aktivně hledat, ono stačí až by je nahlásil některý z národních cisrt teamů místo toho, že na své stránky do novinek napíšou pozor na emaily od .... vedou na podvodné stránky.

Ano to by byl ideální stav, ale to jaksi nefunguje.
Úplně ideální by byla kombinace, snažit se o odhalení při registraci a v případě, že už se něco stane tak na to reagovat blokací.
Jinak proto jsem navrhoval veřejný blacklist, ze kterého by mohly čerpat jiní registrátoři. Také by se hodil na vytvoření algoritmů pro odchytávání i při registraci.

Osobně si myslím, že registrátor by neměl odchycovat vůbec nic, zavádí to do systému nedeternimistický bordel a subjektivní posuzování. Jedná-li se technicky o různé domény, pak různými jsou (bez ohledu na překlepy či fonty) a je každého volba či blbost, zda si vybere doménu, ke které se dobře dělají domény podobné. Vedle toho má být uživatel zřetelně upozorněn (v prohlížeči, nyní už i v emailu) na skutečný (technický) zápis domény (který je jediným správným). Není možno donekonečna řešit problémy za líné lemply.

Myslím, že by stačilo, kdyby prohlížeče při pokusu o přístup na takovou adresu zobrazily něco jako:

Pozor! Chystáte se navštívit stránku, jejíž adresa je v jiné znakové sadě, než jakou používáte vy a může se vám tedy zobrazovat jinak. Vaše zobrazení: www.apple.com Skutečné zobrazení: www.xn--80ak6aa92e.com

Opravdu chcete tuto stránku navštívit? ANO | NE

Podobně Firefox už nějakou dobu upozorňuje na zadávání přihlašovacích údajů při nešifrovaném spojení. Chrome zase nějak takhle varuje před návštěvou webu s malwarem. Tak proč nepřidat další varování? Připadá mi to jednodušší, než vymýšlet technické způsoby, jak uživatele ochránit, což může být občas i kontraproduktivní.

A co v tomto kontextu znamená "v jiné znakové sadě, než jakou používáte vy"? Jsou třeba Ä, Ă nebo Ĺ v sadě, kterou používám, nebo ne?

Jojo, určitě bude nejlepší zasrat prohlížeče dalším varováním, ať se uživatelé naučej klikat na ANO co nejvíc automaticky. Varování není nikdy dost!!!

Co srbština? Používá latinku i cyrilici zároveň. Co když budu mít prostředí v arménštině, ale budu navštěvovat anglicky psané weby? A pak tu máme několik případů, kdy dvě různá písmena v latince vypadají stejně, ale v Unicode jsou to dva různé znaky (třeba Ð/Đ, jejich malá písmena jsou ð/đ).

Kazachstan prechádza od azbuky k latinke. Nakoľko spolupracujem s Rusmi či Kazachmi, ja to len vítam. Jednak sa budeme jednoduchšie dorozumievať, a tiež odpadne ten nepekný mix znakových sád, ak im človek posiela ponku, kde napr. stroje sú napísané latinkou a zvyšok textu vb azbuke... Dtto Srbsko (časť)...

To je důležitým rozhodnutím každé země, jak chce psát. Dívat se na to z pohledu Slovenska (či Česka) je sebestřednost. Azbuka není o nic lepším či horším písmem než latinka.

O tom právě mluvím - prostředí IT je latinkově-centristické. To mi nepřijde dobré nejen z technického, ale ani uživatelského hlediska.
K té evoluční teorii: Bylo by bývalo lepší, aby Němci českou kulturu zničili?

Já bych zakázal azbuku a byl by klid.

IDN JE CISTE ZLO!Popravde me prekvapuje, ze se o tomhle pise az ted... ale prijde mi absolutne silene, ze v unicode jsou pravdepodobne DESITKY symbolu, ktere jsou prakticky IDENTICKE, nicmene maji jiny kod.

Mimochodem - nekolikrat jsem silel nad tim, proc nejaky kus kodu co jsem zkopiroval z webu NEFUNGUJE, jenom abych po 2h absolutniho zoufalstvi zjistil ze uvozovky nejsou vzdycky uvozovky... KDOKOLIV kdo podporuje unicode v programovacich jazycich jinde nez uprostred stringu v uvozovkach si zaslouzi facku!

Psalo se o tom tuším již kolem roku 2000 (vzpomínám si že příkladem byla doména paypal.com). S tím že je to velký problém a musí se to nějak vyřešit. Do té doby IDN nebude.

Koukám, že se to nijak nevyřešilo. A IDN je.

Zase někdo chtěl páchat dobro za každou cenu a vyšel mu z toho prakticky neřešitelný průšvih.

Nejspíše to dopadne tak, že po prvních velkých aférách to začnou prohlížeče zobrazovat jinak než UTF8 písmenky. (a celé IDN tím bude popřeno). Nebo to nějak vybarvovat a upozorňovat (další otravování uživatelů).

Zakázat a basta. Kdo chce používat Internet, ať se naučí latinku. Nebo ať si vynalezne svůj.
IDN je užitečné je to akorát pro podvodníky a zločince.

Ve skutecnosti se to davno vyresilo, protoze to zadnej problem neni, dela se tu halo kolem velkyho hovna....

Protoze 99,999999% lidi je uplne uprdele, jestli si kliknou na ceskasporitelna mebo ceskakradatelna .... kdyz to to bude chtit jejich heslo, tak ho zadaj.

Tovize jo, tech 6G cinanu, indu, japoncu, arabu ... se kvuli tobe bude ucit psat nejakejma bukvama ...

Jo, aktorát že
- Čína - silně proexportní, povinná angličtina na škole, není problém.
- Indie - bývalá britská kolonie. Problémy se samostatnou prací bez dozoru, ne s latinkou.
- Japonsko - silná ekonomika, která vyrostla na exportu do USA, takže ASCII / US English není problém
- Arabi - ti ať si klidně IDN nechají. Aspoň jim to zkomplikuje verbování do IS.
- Rusi - taky mám pocit, že je ve škole povinná anglina.
...

Takže pro IDN v DNS fakt nevidím důvod.

Angličtina se svou abecedou není nijak výsadní jazyk (přestože si to někteří myslí), není to tak dávno, co za mezinárodní jazyk platila francouzština. Nikde není psáno, že angličtina nepůjde za 10 let do pr-dele a nebude tu ruština nebo čínština (tu bych teda fakt nerad). Co budete dělat s DNS pak?
Přeloženo: Postavit IT výhradně na angličtině bylo chybou a ještě doteď se z toho svět nevyhrabal.

Tak ono IDN je na vině jen napůl, pořádnou přes držku by to chtělo i těm co do unicode ty stejné znaky z různými kódy nasypali.

„...prijde mi absolutne silene, ze v unicode jsou pravdepodobne DESITKY symbolu, ktere jsou prakticky IDENTICKE, nicmene maji jiny kod.“
Obávám se, že zde půjde o absolutní nepochopení kódování - kód určuje význam znaku, ne jeho vzhled. To, že jsou 2 znaky vizuálně shodné, může být čirou náhodou, přičemž za 10 let to už o nich nemusí platit.

To nejde. Význam a vzhled znaku jsou 2 různé věci. A s unicodem to nemá co dělat, i v rámci jedné abecedy existují podobné znaky, (třeba I a l).
Tak vzhledem k tomu, že DNS vzniklo jako lidské pojmenování pro adresu, tak se předpokládá, že budou použity existující abecedy, které své jednoznačné kódování již mají (přestože je zde vůle jej skrýt za každou cenu). Z tohoto pohledu omezení na jednu abecedu jde proti smyslu DNS. Vlastně se říká: Pokusíme se zapsat adresy lidskou řečí, ale nesmí to být zase moc. Řešení pro lidi tak zůstalo na půl cesty. Ale jestli se neanglicky mluvící lidi mezi lidi nepočítají, tak je vše v pořádku.

V .CZ nie sú háčky a čárky?? a čo je potom https://www.lepší.tv/ ???

Správně. A kolik jste už potkal serverů, které používají v doméně třetího řádu IDN? Já ani jednu, ačkoli. jak správně uvádíte, tomu nic nebrání. Tolik tedy k tom, jak "moc" je IDN potřeba.

Dobře Caletka! ;)
Takže když bude registrátor, který bude vlastnit doménu x.cz a registrovat domény třetího řádu, třeba nejneobhospoda­řovatelnějšími­.x.cz, tak můžeme mít IDN všichni? :D

Sorry Peto mam maslo na hlave :-) Inak to sposobuje ucrite problemy, odkaz v palemoone napriklad nechce fungovat.

Mineno ten odkaz na lepsi tv? Ten v palemoonu funguje uplne vpohode.

Co se mysli tim "U ostatních prohlížečů taková cesta neexistuje" .... jakoze u IE a Edge se to nastavovat nemusi, protoze to zobrazuji korektne??? A hlavne LOGICKY, pokud jde o jine kodovani nez vychozi, tak je snad jasne, ze ma zobrazit dlouhou formu zapisu, aby se to nepletlo. Se divam na statistiky prohlizecu a ten chromy paskvil ma skoro pulka lidi, to fakt nechapu ....

Pravdou je, že použití vzdálených znaků v doméně by mělo být zřejmé na první pohled, neboli nějak rozlišit vizuálně znaky, aby v případě podobnosti byl znát rozdíl. Uvedení punycode je určitě možností (která padne, až přejde DNS na unicode), ale např. je možné obarvení znaků - drtivá většina domén by byla jednobarevná, strakatá doména by byla jasně viditelná a podezřelá.

Tady každý nadává na to jaká je to blbost a jak je to snadno zneužitelné. Přitom už dneska se podobné útoky dají použít i bez IDN. Stačí záměny l1I, 0o apod, které jsou v některých fontech těžko odhalitelné. A přesto se podobné útoky zas tak často neobjevují. Je to čistě technický problém, který se dá rozumně řešit pomocí nastavení pravidel registrace. A pak konečně budeme moct psát česky a cesky. Je to jenom neschopnost/ne­ochota to vyřešit a domluvit se na rozumných pravidlech.

asi bychom měli začít weby identifikovat podle něčeho jiného než podle domény. Je nereálné, aby si každý přesně zapamatoval všechny domény, na které pravidelně chodí a které jsou zásadní při zneužití.

Tady se řeší záměna podobných písmen, přitom člověk se nechá obelhat i při změna jejich pořadí.

EV certifikáty jsou také matoucí, copak já vím, která společnost je za kterým webem? Už je to ale daleko lépe dohledatelné a ověřitelné.

Ano, tohle nikam nevede, spoléhat na to, že uživatel 100% pozná doménu je alibismus. Demonstrací, kdy i špičkám v oboru se úspěšně podvrhla nastražená doména jsem viděl několik.

Musíme zrušit hesla, resp. uživatelsky zadávaná hesla, správce hesel by se měl stát chráněnou součástí systému stejně jako antivirus a stroje se budou ověřovat sami mezi sebou, záměna domény pak nebude hrát tak velký vliv. Vidíte někdo jinou cestu?

Ve firemní světě už jsou běžné čipové karty v noteboocích, zadávání hesel se pomalu vytrácí nebo funguje jen jako fyzická ochrana před zneužitím stanice.

Mě popisovaný problém nenastává. Jeden website se mi zobrazuje jako xn--něco, druhý jako apple. Ono to totiž závisí prohlížeč od prohlížeče. Myslím si proto že to není problém IDN nebo certifikátů, ale jednotlivých prohlížečů.

Na Linksu problém nenastane, na Firefoxu ano.

Už má nějaká verze Linksu CSS? Zrovna jsem si zkusil ROOT otevřít v Linksu, číst se to se zatnutými zuby dá, ale je to hoodně spartánské. Většina webů dopadne bez CSS daleko hůř, lidi si dnes "naked" weby otevírají jen pro zábavu, místo toho aby udělali web alespoň vzdáleně přístupný i nevidomým.

P.S. Tuto odpověď schválně píšu v Linksu (grafické verzi), ale hned jak to zavřu, tak se vracím k mému firefoxu s pentadactylem. (Jako jediný má rozumné ovládání, tedy Vimové)

Ve Firexofu lze upravit takto:

about:config
network.IDN_show_pu­nycode
nastavit na hodnotu: true

sorry, ve Firefoxu :)

... servery v CR ...

Kolik asi tak promile uzivatelu leze na zahranicni servery s idn ... a to kdekoli na svete? Mno a kdyz v ty cesky domene to prej nejde ... tak se divim ze to neni cista nula.

Já to říkal od začátku, že IDN je zvěrstvo.