Nie ma czegoś takiego, jak czysty tekst. Ataki IDN

Strona główna Aktualności

O autorze

Nie trzeba było wiele czasu, by możliwość rejestrowania domen z symbolami Unicode i brak regulacji bezpieczeństwa doprowadziły do zalewu rejestracji domen z homograficznymi literami. Pojawiły się adresy wyglądające jak Microsoft, Ebay, Amazon i PayPal, w praktyce korzystające z cyrylicy dla znaków wyglądających tak samo w obu alfabetach. Skala problemu nie była drastycznie duża, ale zakładano wzrost popularności oszustw opartych o IDN i homografy, więc rozpoczęto wprowadzanie zabezpieczeń i mitygacji. Odbywają się one po stronie klienta (przeglądarek internetowych) oraz opiekunów top-domen DNS (registrars).

Dzisiejsze przeglądarki internetowe wyświetlają na pasku adresu URL-e z wykorzystaniem Unicode'u, ale tylko wtedy, gdy adres wykorzystuje zbiory znaków należące do kategorii bez homografów. Dlatego domena ノoヮoノ.みんな będzie wyświetlana jako ノoヮoノ.みんな, a nie xn--oo-7j4ac2n.xn--q9jyb4c, ponieważ katakana i alfabet łaciński nie mają homografów. Gdybym jednak zdecydował się zastąpić jedno "o" symbolem "о" z cyrylicy, adres (jeżeli udałoby mi się go zarejestrować) byłby już wyświetlany jako xn--o-1tb6335aca2n.xn--q9jyb4c, aby zapewnić prezentację domeny za pomocą symboli z jednego alfabetu.

А а Б б В в Г г Д д Е е Ё ё Ж ж З з И и Й й К к Л л М м Н н О о П п Р р С с Т т У у Ф ф Х х Ц ц Ч ч Ш ш Щ щ Ъ ъ Ы ы Ь ь Э э Ю ю Я я
А а Ә ә Б б В в Г г Һ һ Д д Е е Ж ж Җ җ З з И и Й й К к Л л М м Н н Ң ң О о Ө ө П п Р р С с Т т У у Ү ү Х х Ц ц Ч ч Ш ш Ь ь Э э Ю ю

Ѥ Ѧ Ѩ Ѫ Ѭ Ѯ Ѱ Ѳ Ѵ Ҁ !

Zabezpieczenia opiekunów domen

Rejestratorzy domen także wprowadzili ograniczenia dotyczące zakupu domen IDN. Operator Dynadot poinformuje użytkownika chcącego mieszać alfabety, że "zgłaszana domena nie musi korzystać z takich znaków, proszę użyć zwykłego alfabetu". Próba rejestracji domeny "d𝒐breprogramy.pl" zakończy się więc niepowodzeniem. Operator Gandi miewa częste problemy z rozkładaniem zgłaszanych adresów na poprawny punycode, ale problem ten dotyczy tylko kreatora. Rzeczywiste operacje DNS są już pilnowane w porządny sposób. Poza kontrolą homografów, zachodzi też odpytywanie właścicieli TLD o preferencje alfabetyczne.

Dla przykładu: Litery y oraz γ nie są ściśle homografami, są do siebie jedynie bardzo podobne. Rejestracja domeny "dobreprogramγ.pl" w Gandi i Dynadot jest więc (teoretycznie) możliwa, a kreator zaproponuje też alternatywne TLD (jak .online, .flowers, .tech i tak dalej). Jednakże, operatorzy top-domen zostają odpytani pod kątem dopuszczania mieszanych alfabetów. W ten sposób możemy się dowiedzieć, że:

  • gTLD .page zakazuje używania mieszanych alfabetów
  • gTLD .info automatycznie rzutuje znaki z innych alfabetów na odpowiedniki łacińskie. γ zmienia się więc w gTLD
  • gTLD .online prosi o wybór konkretnego alfabetu, po czym odrzuca każdy dokonany wybór
  • ccTLD .pl (NASK) informuje, że każda domena z mieszanymi alfabetami jest "zajęta", za dowód przedstawiając pusty wpis WHOIS, efektywnie ogłaszając więc "nie da się"
  • gTLD .ninja nie stosuje ograniczeń i kupienie "dobreprogramγ.ninja" jest możliwe, gdy ma się kilka euro wolnych środków. Punycode takiego adresu to "xn--dobreprogram-tyi.ninja"

Wciąż udoskonalany atak

Coraz trudniej znaleźć operatorów pozwalających na kupowanie u nich podejrzanych domen, a zarządcy TLD także wprowadzili blokady techniczne mające przed tym ustrzec. Jednak mimo tych ograniczeń, nie wszystkie problematyczne znaki zostały skutecznie wykluczone. Nie dalej, jak miesiąc temu Matt Hamilton z Soluble informował, że choć mieszanie alfabetów jest już niewykonalne, możliwe jest stosowanie znaków nienależących technicznie do żadnego językowego alfabetu. Amazon, Google i Verisign przegapiły bowiem homoglify z palety Międzynarodowego Alfabetu Fonetycznego. Dostępność takich adresów, jak ɡmɑil.com i pɑypɑɩ.com była zdecydowanie groźnym przeoczeniem.

Wskutek owego przeoczenia, możliwe było rejestrowanie domen o naprawdę homograficznych symbolach, także u respektowanych operatorów. Luka ta została załatana. Ale to jeden z wielu przykładów na to, że nadmiar wygody, oferowany przez UTF-8, może serwować sporą dawkę problemów technicznych. Unicode potrafi stanowić zagrożenie bezpieczeństwa nie tylko w ramach przepełnień bufora w kodowaniu wielobajtowym, ale także właśnie w ramach domen IDN. Nawet, gdy wydawało się już, że ryzyko ataków homograficznych zostało już zażegnane.

© dobreprogramy
s