Vlákno názorů k článku Phishingový útok výměnou IDN znaků v doméně znovu na scéně od Starous - IDN ke strašné zlo, to taky říkám pořád......
-
Starous (neregistrovaný)
A co takhle aby registrator udelal dns dotaz na vsechny podobne domeny a pokud uz existuje tak to nepovolil ? Je jedno jestli je registrovana v pakistanu nebo u nas, stejne to pak musi byt dohledatelne pres dns. Podobnost se da definovat jako pocet stejnych znaku s tim ze se berou v potaz i pismena co vypadaji stejne - pak uz staci nastavit jenom nejaky treshold. Trebe ze ápple.com nebo cokoli kde je jen 1 jine písmeno neni v poradku ale napr aaapple.com uz ano. Proste trochu zmenšit adresní prostor. Nevyřeší to vše ale ty největší zvěrstva by mohlo...nebo treba vyuzit databazi certificate transparency a hledat jestli tam uz neni podobna domena ? Hmm ? Phishing stejne miri predevsim na https weby...
-
a1ds (neregistrovaný)
rika se tomu Hummingova vzdalenost.
Ale fungovat to nebude, prijde vam tohle podobne?
https://www.xn--80ak6aa92e.com/ (https://www.apple.com) -
Petr M (neregistrovaný)
Jo, tak se na ten genitální nápad podíváme.
1) Potřebuješ substituční tabulku. Ta definuje znaky se stejnou grafickou reprezentací, jako A a %ALPHA%, že V v azbuce vypadá jako B a podobně.
2) Potřebuješ seznam subdomén v dané doméně
3) při požadavku procházíš doménu po doméně, znak po znaku a kontroluješ, jestli požadavek nekoliduje s něčím v substituční tabulce. Triky s hash table apod. ti nepomůžou.
4) Po nalezení shody musíš zkontrolovat, jestli požadavek dal ten, kdo si registroval původní doménu.A teď si vem, v tabulce bude tak 300k kolizních párů znaků (střeleno od boku) , TLD má řekněme 500k domén sse stejnou délkou jména, jakou má požadavek... Jak dlouho se ti bude hledat kolize? Jak silnou mašinu potřebuješ na ověření řekněm 5 požadavků/s s předpokladem 99% legitimních? (počítej, že se iteruje přes databázi, do RAMky to nenarveš).
-
Petr M (neregistrovaný)
Btw, bude třeba tenhle registrátor cokoliv ověřovat? Jaká je šance ho k tomu donutit?
-
Ondřej CaletkaZlatý podporovatelPravidla registrace musí být vynucována na úrovni registru. Registrátor je jen osoba, co přijímá objednávky a vystavuje faktury.
-
Petr M (neregistrovaný)
Jasně, registr ověří, ale jak a na základě čeho?
Řekněme, že registr má super duper funkci, která zachytí spolehlivě shodu s jinou doménou v registru, která v adresním řádky vypadá stejně. Funkce vyplivne 80% shodu. Je to dost na zakázání, nebo ne? Pokud je požadavek legitimní, nehrozí spory?
A pokud není proces ověření na 100%, lumpárna s registrací projde, tak co? Pude aspoň klepnout přes prsty lumpa? Nepude, registr se pokusil udělat maximum, n-tý registrátor v řetězci je v tramtárii...
Furt je lepší, než se spolehnout na registr/registrátora, je nepřipustit situaci, kdy je potřeba cokoliv z jejich ověřovat. IDN prostě nedává smysl. Buďto se zobrazí znaky, ale to nepoznám A od ALFA nebo C od ruskýho S a dostane na prdel bezpečnost, nebo se zobrazí hatmatilka a v tom případě nevím, kde je smysl čitelnějšího a použitelnějšího DN.
-
Ondřej CaletkaZlatý podporovatel
Moje odpověď „Pravidla registrace musí být vynucována na úrovni registru.“ patřila k otázce: „Btw, bude třeba tenhle registrátor cokoliv ověřovat? Jaká je šance ho k tomu donutit?“.
Pravidla registrace domén je možné průběžně měnit v reakci na podobné hrozby. Rozhodně si myslím, že „oprava,“ se kterou teď přicházejí prohlížeče, měla spíše přijít ze strany pravidel registrace. Implementovat podobnou logiku do každého DNS klienta je cesta do pekel.
-
j (neregistrovaný)
2Petr M: Taky potrebujes aby ti maminka chodila na zachod utirat ? ... moh by sis potencielne umazat tlapku ...
... je to vyhradne o debilite uzivatele, pokud nekdo do adresy adresu napise, tak zadnej problem nema. Kdyz lezu do banky, tak tam rozhodne nelezu pres nakej odkaz z mailu ...
-
Filip JirsákStříbrný podporovatelFunkce vyplivne 80% shodu.
Proč byste to řešil jakousi podivnou fuzzy funkcí? Daleko jednodušší je určit pravidla, která budou vracet ano/ne – doména je v konfliktu s jinou registrovanou doménou, nebo není. Stačí pár pravidel:
1. Všechny znaky v doméně kromě pomlček musejí být z jedné znakové sady.
2. Povolené jsou jen znakové sady národních a jiných abeced (tj. žádné smajlíky, šipky, matematické symboly).
3. Z každé znakové sady je povolená jen vybraná množina znaků (např. z latinky jen malá písmena, tj. nejsou povolená velká písmena, slitky apod.).
To jsou pravidla, která jsou nezávislá na ostatních registrovaných doménách. A pak se definují skupiny zaměnitelných znaků – pro generické domény by to byly stejně vypadající znaky, třeba pro TLD .cz se většinou předpokládá, že zaměnitelné znaky by byly znaky s diakritikou a odpovídající znak bez diakritiky (třeba e, é, ě). A toho se využije ve čtvrtém pravidle závislém na jiných registrovaných doménách:
4. Doménu, která se liší od jiné registrované domény jen v zaměnitelných znacích, může zaregistrovat jen majitel té jiné domény.
To je to pravidlo, které by třeba v TLD.czumožnilo domény zive.cz, živě.cz, živé.cz a zíve.cz zaregistrovat jen jednomu majiteli, stejné pravidlo by zafungovalo i pro ten pravý a falešný apple.com. -
Filip JirsákStříbrný podporovatel
Ne, to nemusí nikdo naprogramovat. Na to se vytvoří tabulka. Nevím, co byste chtěl programovat na tom, že v TLD
.czmají být „e“, „é“ a „ě“ považovány za zaměnitelné znaky. -
NULL (neregistrovaný)
Ano, a protože se jednou nějaký markeťák ráno vzbudil a řekl si, že ěščřžýáéůúť .... v doméně spasí obrat firmy, tak budeme jak blbečci neustále filtrovat domény, vymýšlet tabulky a slovníkové fuzzy funkce aby se nedalo šmělit s dalším paklem překlepovek. Ještě že takhle onehdá nevymýšleli žebřík nebo kolo . . .
-
Filip JirsákStříbrný podporovatel
Na to odstranění diakritiky nepotřebujete knihovnu, to je definované přímo v Unicode standardu – třeba „ě“ (latin small letter e with caron) lze dokomponovat na „e“ plus háček (latin small letter e + combining caron).
-
Filip JirsákStříbrný podporovatel
Kristova noho, a co to má společného s homografy?
Vy už zase nestíháte sledovat, o čem se diskutuje? Abyste z toho zase neměl nějaké trauma.
