Internettets håndtering af bogstaver gør browsere sårbare over for snydedomæner

18. april 2017 kl. 12:596
Cyberkriminelle kan skabe falske domæner, der fremstår legitime, ved at udnytte, at internettets adressesystem ikke kan håndtere kyrillisk.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Måden, hvorpå internettets adressesystem håndterer bogstaver, der ikke optræder på et engelsk tastatur, gør det muligt at lave tilsyneladende legitime snydedomæner med navne som Apple.com og Epic.com.

Til trods for, at fejlen blev opdaget for 12 år siden, skriver The Register.

Hvis du klikker på de ovenstående links, vil du formentlig se, hvad der i adressebaren ligner legitime sider for de to it-kæmper. I virkeligheden hedder domænerne xn--80ak6aa92e.com and xn--e1awd7f.com.

Angrebet kaldes et homograph-angreb, og det er muligt at lave, fordi internettets adressesystem kun er designet til at håndtere engelske bogstaver.

Artiklen fortsætter efter annoncen

Da andre lande - med andre alfabeter - begyndte at bruge internettet, tildelte ingeniører ASCII-baseret kode til de forskellige symboler.

Men på flere af de ikke-engelske sprog er der bogstaver og tegn, der er så godt som identiske med a, B, p m.fl. Så ved at blande kodede tegn fra f.eks. kyrillisk med almindelige bogstaver kan man lave en side med domænet Apple.com - uden Apples blå stempel.

Allerede i 2015 advarede internetadministratoren ICANN mod angrebet og opfordrede til, at der blev udviklet tekniske modsvar. Det er så tilsyneladende kun sket i et begrænset omfang.

12 år senere er Chrome 57 og Firefox 52 stadig sårbare, mens Safari og Internet Explorer skulle håndtere problemet.

Funktionen, der oversætter navne til engelske bogstaver, kaldes IDN - Internationalized domain names - og er tilsyneladende slået til som standard i de fleste browsere.

De ovenstående snydedomæner starter med 'xn'. Dette fortæller browseren, at domænet bruge kodede repræsentationer af Unicode-karaktere. Når det falske domæne er på plads, kan den originale side klones for at skabe en ideel platform for phishing, bemærker sikkerhedsselskabet Wordfence.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
20. april 2017 kl. 18:26

DET ville Google ikke have siddende på sig... Jeg så artiklen i Chrome ver. 57.0.2987.133 - hvor snydedomænerne så "tilforladelige" ud i statusbaren... Opdateret til Chrome 58.0.3029.81 - NU vises snyde-domænernes sande adresser...

4
18. april 2017 kl. 14:42

Interessant, det var jeg faktisk ikke klar over! Det bevirker jo at phishing-angreb med falske e-boks domæner er blevet gjort meget lettere efter at NETS har valgt at overgå til et .com domæne.

2
18. april 2017 kl. 13:34

Både "xn---boks-ywe.com" og "xn---boks-ywe.dk" er ifølge whois.net ledige (Punycode-udgaver af "е-boks").

Bruger du Firefox kan det anbefales at slå "network.IDN_show_punycode" til i about:config

1
18. april 2017 kl. 13:13

"12 år senere er Chrome 57 og Firefox 52 stadig sårbare, mens Safari og Internet Explorer skulle håndtere problemet."

Edge håndterer det også, og giver besked om at det nok ikke er den side man ønsker at få fat i :-)