Pirms dažām dienām Šķīstošie pētnieki izlaida savu jauno atklājumu de jauns veids, kā reģistrēt domēnus ar homoglifiem kas izskatās kā citi domēni, bet patiesībā atšķiras atšķirīgas nozīmes rakstzīmju dēļ.
Šādi internacionalizēti domēni (IDN) no pirmā acu uzmetiena var neatšķirties zināmu uzņēmumu un pakalpojumu domēnu, ļaujot tos izmantot krāpšanai, tostarp par tiem saņemot pareizos TLS sertifikātus.
Veiksmīga šo domēnu reģistrācija izskatās kā pareizie domēni un labi pazīstami, un tos izmanto, lai veiktu sociālās inženierijas uzbrukumus organizācijām.
Soluble pētnieks Mets Hamiltons identificēja, ka ir iespējams reģistrēt vairākus domēnus vispārējs augstākā līmeņa (gTLD), izmantojot unikoda latīņu IPA paplašinājuma rakstzīmi (piemēram, ɑ un ɩ), kā arī varēja reģistrēt šādus domēnus.
Klasiskā aizstāšana ar acīmredzami līdzīgu IDN domēnu jau sen ir bloķēta pārlūkprogrammās un reģistratoros, jo ir aizliegts sajaukt dažādu alfabētu rakstzīmes. Piemēram, viltoto domēnu apple.com ("xn--pple-43d.com") nevar izveidot, aizstājot latīņu "a" (U + 0061) ar kirilicu "a" (U + 0430), jo sajaukšana dažādu alfabētu burtu meistarība nav atļauta.
2017. gadā tika atklāts veids, kā apiet šādu aizsardzību domēnā izmantojot tikai unikoda rakstzīmes, neizmantojot latīņu alfabētu (piemēram, izmantojot valodas rakstzīmes ar latīņu rakstzīmēm līdzīgām rakstzīmēm).
Tagad ir atrasta cita aizsardzības apiešanas metode, pamatojoties uz to, ka reģistratori bloķē latīņu un unikoda sajaukums, bet, ja domēnā norādītās Unicode rakstzīmes pieder latīņu rakstzīmju grupai, šāda sajaukšana ir atļauta, jo rakstzīmes pieder tai pašai alfabētam.
Problēma ir tā, ka paplašinājums Unicode Latin IPA satur homoglifus, kas pēc burtiem ir līdzīgi citām latīņu rakstzīmēm: simbols "" "atgādina" a "," ɡ "-" g "," ɩ "-" l ".
Spēja reģistrēt domēnus, kuros latīņu valoda ir sajaukta ar norādītajām Unicode rakstzīmēm, tika identificēta ar Verisign reģistratoru (citi reģistratori netika pārbaudīti), un Amazon, Google, Wasabi un DigitalOcean pakalpojumos tika izveidoti apakšdomēni.
Lai gan izmeklēšana tika veikta tikai ar Verisign pārvaldītiem gTLD, problēma tīkla milži to neņēma vērā un, neskatoties uz nosūtītajiem paziņojumiem, trīs mēnešus vēlāk, pēdējā brīdī, tas tika fiksēts tikai Amazon un Verisign, jo tikai viņi īpaši uztvēra problēmu ļoti nopietni.
Hamiltons savu ziņojumu glabāja kā privātu līdz uzņēmums Verisign, kas pārvalda domēna reģistrāciju ievērojamiem augstākā līmeņa domēnu paplašinājumiem (gTLD), piemēram, .com un .net, novērsa problēmu.
Pētnieki arī uzsāka tiešsaistes pakalpojumu, lai pārbaudītu viņu domēnus. meklējot iespējamās alternatīvas ar homoglifiem, tostarp pārbaudot jau reģistrētus domēnus un TLS sertifikātus ar līdzīgiem nosaukumiem.
Attiecībā uz HTTPS sertifikātiem, izmantojot sertifikātu caurspīdīguma ierakstus, tika pārbaudīti 300 domēni ar homoglifiem, no kuriem 15 tika reģistrēti sertifikātu paaudzē.
Real Chrome un Firefox pārlūkprogrammās adreses joslā apzīmējumos ar prefiksu "xn--" tiek rādīti līdzīgi domēni, tomēr domēni saitēs tiek rādīti bez pārveidošanas, kurus var izmantot ļaunprātīgu resursu vai saišu ievietošanai lapas, aizbildinoties ar to lejupielādi no likumīgām vietnēm.
Piemēram, vienā no domēniem, kas identificēti ar homoglifiem, tika reģistrēta jQuery bibliotēkas ļaunprātīgas versijas izplatīšanās.
Eksperimenta laikā pētnieki iztērēja 400 USD un reģistrēja šādus domēnus ar Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑnroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si vēlaties uzzināt vairāk par to par šo atklājumu varat konsultēties šo saiti.