Prieš kelias dienas Tirpūs mokslininkai paskelbė savo naują atradimą de naujas būdas užregistruoti domenus su homoglifais kurie atrodo kaip kiti domenai, tačiau iš tikrųjų skiriasi dėl to, kad yra kitokios prasmės veikėjų.
Tokie internacionalizuoti domenai (IDN) iš pirmo žvilgsnio gali nesiskirti iš žinomų kompanijų ir paslaugų domenų, leidžiančių juos naudoti apgaulingumui, įskaitant teisingų TLS sertifikatų gavimą.
Sėkminga šių domenų registracija atrodo teisinga ir gerai žinomi, ir yra naudojami vykdant socialinės inžinerijos išpuolius prieš organizacijas.
„Soluble“ tyrėjas Mattas Hamiltonas nustatė, kad įmanoma užregistruoti kelis domenus bendrasis aukščiausio lygio (gTLD), naudojant „Unicode Latin“ IPA plėtinio simbolį (pvz., ɑ ir ɩ), taip pat galėjo užregistruoti šiuos domenus.
Klasikinis pakeitimas per akivaizdžiai panašų IDN domeną jau seniai blokuojamas naršyklėse ir registratoriuose, nes draudžiama maišyti skirtingų abėcėlių simbolius. Pvz., Padirbtas domenas apple.com („xn--pple-43d.com“) negali būti sukurtas pakeičiant lotynišką „a“ (U + 0061) kirilica „a“ (U + 0430), nes Maišyti raidžių iš skirtingų abėcėlių meistriškumą draudžiama.
2017 m. Buvo atrastas būdas apeiti tokią apsaugą domene naudojant tik „unicode“ simbolius, nenaudojant lotyniškos abėcėlės (pavyzdžiui, naudojant kalbos simbolius, kurių simboliai panašūs į lotynų kalbą).
Dabar rastas kitas apsaugos apėjimo būdas, remiantis tuo, kad registratoriai blokuoja lotynų ir „Unicode“ derinys, bet jei domene nurodyti „Unicode“ simboliai priklauso lotyniškų simbolių grupei, toks maišymas yra leidžiamas, nes simboliai priklauso tai pačiai abėcėlei.
Problema ta, kad „Unicode Latin“ IPA plėtinys yra homoglifų, kurių rašyba panaši į kitus lotyniškus simbolius: simbolis „ɑ“ primena „a“, „ɡ“ - „g“, „ɩ“ - „l“.
Galimybė registruoti domenus, kuriuose lotynų kalba sumaišyta su nurodytais „Unicode“ simboliais, buvo identifikuotas su „Verisign“ registratoriumi (kiti registratoriai nebuvo patvirtinti), o „Amazon“, „Google“, „Wasabi“ ir „DigitalOcean“ tarnybose buvo sukurti padomeniai.
Nors tyrimas buvo atliekamas tik su „Verisign“ valdomais gTLD, problema kilo Tinklo milžinai į tai neatsižvelgė ir nepaisant išsiųstų pranešimų, praėjus trims mėnesiams, paskutinę akimirką, jis buvo ištaisytas tik „Amazon“ ir „Verisign“, nes tik jie ypač rimtai žiūrėjo į problemą.
Hamiltonas saugojo savo pranešimą privatų kol įmonė „Verisign“, valdanti žinomų aukščiausio lygio domenų plėtinių (gTLD), pvz., .com ir .net, domenų registracijas, išspręs problemą.
Tyrėjai taip pat pradėjo internetinę paslaugą, kad patikrintų jų domenus. ieškoma galimų alternatyvų su homoglifais, įskaitant jau užregistruotų domenų ir panašių pavadinimų TLS sertifikatų patikrinimą.
Kalbant apie HTTPS sertifikatus, per „Certificate Transparency“ įrašus buvo patikrinta 300 domenų su homoglifais, iš kurių 15 buvo užregistruoti kuriant sertifikatus.
Realiose „Chrome“ ir „Firefox“ naršyklėse adresų juostoje žymimi panašūs domenai su priešdėliu „xn--“, tačiau domenai nuorodose matomi be konversijos, kuriuos galima naudoti kenkėjiškiems ištekliams ar nuorodoms puslapių, dingstimi juos atsisiųsti iš teisėtų svetainių.
Pavyzdžiui, viename iš domenų, identifikuojamų su homoglifais, buvo užfiksuotas kenkėjiškos „jQuery“ bibliotekos versijos išplitimas.
Eksperimento metu tyrėjai išleido 400 USD ir užregistravo šiuos domenus su „Verisign“:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑnroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si norite sužinoti daugiau apie tai apie šį atradimą galite pasikonsultuoti šią nuorodą.