Vulnerabilidades en nombres de dominio internacionales

19/02/2005 - 21:43 por Diego | Informe spam
Vulnerabilidades en nombres de dominio internacionales
http://www.vsantivirus.com/ucert-idn.htm

CERT-MEXICO - Departamento de Seguridad en Computo (*)
http://www.unam-cert.unam.mx/

Introducción

Desde que se reportó un problema de engaño (spoofing) en los nombres
de dominio internacionales (IDN por sus siglas en inglés), se ha
generado un intenso debate de quién es el culpable y por qué esto
actualmente constituye una vulnerabilidad.

El asunto parece ser simple. Actualmente, es posible registrar nombres
de dominio bajo los dominios de alto nivel (TLD) como .COM, los cuáles
utilizan un conjunto de caracteres nacionales como chinos,
escandinavos, japoneses y otros. Esta gran variedad de caracteres
puede ser utilizada para desplegar nombres de dominio, los cuáles son
muy similares a los dominios basados en los caracteres tradicionales
ASCII.

Obviamente, esto puede ser explotado para engañar a la gente y hacerle
creer que están actualmente en un sitio web confiable en una forma mas
convincente que los dominios basados usualmente en caracteres ASCII
con omisión de puntos, ligeros cambios en las letras, uso de "1" (uno)
en lugar de la "l" (ele minúscula) , etcétera.

Por ejemplo, suponga que desea entrar a un banco como Banamex (en
México) y en lugar de ingresar al sitio
http://banamex.com.mx/eng/personal/login.html, es llevado a
http://banarnex.com/ o http://boveda.banammex.com

Aquellos que están en favor de usar dominios IDN, argumentan que los
vendedores de navegadores deberían proporcionar información al usuario
cada vez que es visitado un dominio internacional, con una indicación
clara de que se deberían utilizar listas negras de nombres de dominios
y caracteres que podrían ser explotados para engañar a los usuarios.

Existen muchas razones por las que ICANN, los vendedores de
navegadores y otras partes interesadas, deberían regresar al tema y
reconsiderar la implementación del estándar IDN antes que Microsoft
libere Internet Explorer con soporte para IDN, ya que entonces, esto
se expandirá de forma masiva entre negocios legítimos, los cuáles
intentarán proteger sus marcas y evitar fraudes tipo scam, de quiénes
desean obtener maliciosamente detalles de tarjetas de crédito y otra
información valiosa de los usuarios.

El problema

El problema es causado cuando se produce un resultado involuntario de
la implementación de IDN (International Domain Name), la cuál permite
usar caracteres internacionales en nombres de dominio.

Esto puede ser explotado al registrar nombres de dominio con ciertos
caracteres internacionales que se asemejan a otros caracteres usados
comúnmente, de tal forma que el usuario crea estar en un sitio
confiable.

La solución es no seguir enlaces de fuentes no confiables, y por el
contrario, escribir manualmente el URL en la barra de direcciones del
navegador.

Sin embargo, ya existen medidas tomadas por los fabricantes de
navegadores, como es el caso de Firefox, que deshabilitó el soporte
para IDN como una defensa ante el phishing. Otro caso es la barra de
Netcraft, que al momento de ingresar a un sitio verifica si éste no es
de procedencia dudosa, advirtiendo al usuario.

¿Como saber si es vulnerable?

Secunia ha diseñado una página de prueba
(http://secunia.com/multiple_browser...fing_test/).

En caso de ser vulnerable, el navegador abre una página de Secunia con
el URL: http://www.paypal.com/, en lugar de la página de Paypal.

Conclusiones

Es claro que la Internet tiene un cierto grado de discriminación hacia
la parte del mundo que no habla inglés. Solo un sub conjunto limitado
de caracteres del estándar ASCII son permitidos en los nombres de
dominio. El estándar IDN actualmente permite para cualquier persona,
una solución muy fácil que no discrimina a nadie y al mismo tiempo
deja los dominios tan confiables como lo son actualmente:

Permite a los japoneses utilizar caracteres de su idioma bajo .JP, los
chinos bajo .CN, los alemanes bajo .DE, etc. Esto efectivamente
limitará el uso de caracteres nacionales a dominios nacionales y a sus
usuarios, quienes utilizan dichos caracteres - esos usuarios también
son los que confiarán en los beneficios del uso de caracteres
nacionales.

Después de todo, el dominio de alto nivel .COM, fue pensado para ser
un dominio destinado al comercio que podría ser utilizado y accedido
por los negocios de todo el mundo. Acceder al dominio .COM con letras
chinas podría ser casi imposible utilizando un teclado inglés.

No podemos negar la importancia del uso de caracteres internacionales
en la definición de dominios. Más que tratarse de un mal, es
provechoso para los usuarios que no son de habla inglesa. Sin embargo,
las implementaciones de dicho estándar, exceptuando IE de Microsoft
que aún no la ha realizado, sufren problemas de engaño (spoofing) que
pueden derivar en los muy conocidos ataques de phishing, scam, y
estafas que repercuten en la economía de muchas personas y
organizaciones.

Sistemas afectados actualmente

- i-Nav de VeriSign
- Konqueror
- Mozilla Firefox
- Netscape
- OmniWeb 5x
- Opera
- Safari


Referencias

Secunia (www.secunia.org)
NetCraft (news.netcraft.com)

Riesgo de spoofing en múltiples navegadores (IDN)
http://www.vsantivirus.com/vul-idn-...080205.htm


Fuente

UNAM-CERT
http://www.cert.org.mx/


Tomado de:

Vulnerabilidades en Nombres de Dominio Internacionales
http://www.seguridad.unam.mx/noticias/?noti@0


(*) Este artículo fue publicado originalmente por UNAM-CERT (Equipo de
Respuesta a Incidentes de Seguridad en Cómputo), de la Universidad
Nacional Autónoma de México, y se reproduce en VSAntivirus respetando
las condiciones legales exigidas por dicha publicación:
http://www.cert.org.mx/





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2005 Video Soft BBS
 

Leer las respuestas

#1 noSign
20/02/2005 - 18:56 | Informe spam
La ultima version build compilada de Firefox 1.0+ en Ingles
con el parche idioma castellano instalado correctamente,

no reproduce el fallo.

saludos.

"Diego" escribió en el mensaje news:
Vulnerabilidades en nombres de dominio internacionales
http://www.vsantivirus.com/ucert-idn.htm

CERT-MEXICO - Departamento de Seguridad en Computo (*)
http://www.unam-cert.unam.mx/

Preguntas similares