LUK
19-04-2017, 17:23
Los ataques homográficos, segun detalla el experto en seguridad Xudong Zheng, son muy dificiles de detectar en la mayoría de navegadores como Chrome, Firefox, Opera...etc
Se puede explotar esta conocida vulnerabilidad en la mayoría de navegadores (Chrome, Firefox y Opera) y así mostrar a los usuarios un dominio ficticio en la barra de navegación que parece el dominio legítimo a los ojos del usuario; por ejemplo con Apple y Google. Este ataque es conocido como ataque homográfico (homograph attack (https://goo.gl/l8qDjk)), los hackers pueden registrar dominios como “xn--pple-43d.com”, que es el equivalente a "apple.com". Esto es posible usasndo un lenguaje extranjero para registrar el dominio, por ejemplo usando del lenguaje Cirílico el caracter “а” (U+0430) en vez del de ASCII “a” (U+0041).
Para dar una idea de la técnica reportada por Zheng podéis echar un vistazo a esta página de demostración (https://xn--80ak6aa92e.com/) creada por el mismo.
Muestra en la barra de navegación:
https://www.apple.com/
Y tambiñen utiliza el protocolo HTTPs.
Pero, si lo copias y lo pegas en otra pñagina verás la siguiente dirección:
https://www.xn--80ak6aa92e.com/
Asi que, en caso de que la página mostrada sea un clon de la oficial no habría dudas respecto a su autenticidad (a menos que se examine el certificado SSL/TLD ofrecido por el servidor)
https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2017/04/Homograph-Phishing-Attacks-1.png?resize=800%2C590
A pesar de que el ataque homográfico se conoce desde 2001, la mayoría de navegadores aún no ha solventado el problema y son vulnerables a ataques homográficos de phising.
"El mecanismo de protección de Chrome y Firefox desafortunadamente falla si todos los caracteres son reemplazados por uno similar de un lenguaje extranjero. El dominio "apple.com", registrado como “xn--80ak6aa92e.com”, sobrepasa el filtro al usar sólo caracteres Cirílicos" Dijo Xudong Zheng en un post (http://www.xudongz.com/blog/2017/idn-phishing/). "Puedes comprobarlo en la prueba de concepto (https://www.xn--80ak6aa92e.com/) usando Chrome o Firefox. En muchos ejemplos, la fuente utilizada en Chrome y Firefox hace imposible detectar la diferencia a menos que se examine detenidamente la URL del site o el certificado SSL. Este programa (https://goo.gl/kFjYJV) muestra bien la diferencia entre los dos grupos de caracteres. Internet Explorer y Safari afortunadamente no son vulnerables."
La mayoría de navegadores utilizan "Punycode encoding" por defecto para representar los caracteres Unicode en una URL, Pnicode convierte los caracteres Unicode al juego de caracteres ASCII (A-Z 0-9), soportado por el sistema IDN (International Domain Names system).
Zheng reportó el problema a los navegadores afectados a principios de 2017. Google lo ha solventado en la versión experimental Chrome Canary 59, y lo lanzará como parche estable en Chrome 58.
La única manera de prevenir este tipo de ataques es deshabilitando el soporte Punycode en tu navegador hasta que éstos lo arreglen, desafortunadamente solo Firefox permite deshabilitarlo:
Entrando en "about:config" y cambiar poner el valor "true" (doble click) en "network.IDN_show_punycode"; esto forzará a Firefox a mostrar siempre la información de dominios en forma Punicode, facilitando la indentificación de sites que utilicen ataques homográficos.
Esperamos que pronto ambos navegadores lo arreglen.
Se puede explotar esta conocida vulnerabilidad en la mayoría de navegadores (Chrome, Firefox y Opera) y así mostrar a los usuarios un dominio ficticio en la barra de navegación que parece el dominio legítimo a los ojos del usuario; por ejemplo con Apple y Google. Este ataque es conocido como ataque homográfico (homograph attack (https://goo.gl/l8qDjk)), los hackers pueden registrar dominios como “xn--pple-43d.com”, que es el equivalente a "apple.com". Esto es posible usasndo un lenguaje extranjero para registrar el dominio, por ejemplo usando del lenguaje Cirílico el caracter “а” (U+0430) en vez del de ASCII “a” (U+0041).
Para dar una idea de la técnica reportada por Zheng podéis echar un vistazo a esta página de demostración (https://xn--80ak6aa92e.com/) creada por el mismo.
Muestra en la barra de navegación:
https://www.apple.com/
Y tambiñen utiliza el protocolo HTTPs.
Pero, si lo copias y lo pegas en otra pñagina verás la siguiente dirección:
https://www.xn--80ak6aa92e.com/
Asi que, en caso de que la página mostrada sea un clon de la oficial no habría dudas respecto a su autenticidad (a menos que se examine el certificado SSL/TLD ofrecido por el servidor)
https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2017/04/Homograph-Phishing-Attacks-1.png?resize=800%2C590
A pesar de que el ataque homográfico se conoce desde 2001, la mayoría de navegadores aún no ha solventado el problema y son vulnerables a ataques homográficos de phising.
"El mecanismo de protección de Chrome y Firefox desafortunadamente falla si todos los caracteres son reemplazados por uno similar de un lenguaje extranjero. El dominio "apple.com", registrado como “xn--80ak6aa92e.com”, sobrepasa el filtro al usar sólo caracteres Cirílicos" Dijo Xudong Zheng en un post (http://www.xudongz.com/blog/2017/idn-phishing/). "Puedes comprobarlo en la prueba de concepto (https://www.xn--80ak6aa92e.com/) usando Chrome o Firefox. En muchos ejemplos, la fuente utilizada en Chrome y Firefox hace imposible detectar la diferencia a menos que se examine detenidamente la URL del site o el certificado SSL. Este programa (https://goo.gl/kFjYJV) muestra bien la diferencia entre los dos grupos de caracteres. Internet Explorer y Safari afortunadamente no son vulnerables."
La mayoría de navegadores utilizan "Punycode encoding" por defecto para representar los caracteres Unicode en una URL, Pnicode convierte los caracteres Unicode al juego de caracteres ASCII (A-Z 0-9), soportado por el sistema IDN (International Domain Names system).
Zheng reportó el problema a los navegadores afectados a principios de 2017. Google lo ha solventado en la versión experimental Chrome Canary 59, y lo lanzará como parche estable en Chrome 58.
La única manera de prevenir este tipo de ataques es deshabilitando el soporte Punycode en tu navegador hasta que éstos lo arreglen, desafortunadamente solo Firefox permite deshabilitarlo:
Entrando en "about:config" y cambiar poner el valor "true" (doble click) en "network.IDN_show_punycode"; esto forzará a Firefox a mostrar siempre la información de dominios en forma Punicode, facilitando la indentificación de sites que utilicen ataques homográficos.
Esperamos que pronto ambos navegadores lo arreglen.