[Sop.Tec.LinuxPPP] Vulnerabilidades en Nombres de Dominio Internacionales

To: seguridad en seguridad unam mx
Subject: [Sop.Tec.LinuxPPP] Vulnerabilidades en Nombres de Dominio Internacionales
From: Seguridad en Computo - UNAM <seguridad en seguridad unam mx>
Date: Fri, 18 Feb 2005 17:44:43 -0600 (CST)
List-archive: <http://mail.linuxppp.com/pipermail/linux/>
List-help: <mailto:linux-request@linuxppp.com?subject=help>
List-id: Soporte Tecnico LinuxPPP <linux.linuxppp.com>
List-post: <mailto:linux@linuxppp.com>
List-subscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=subscribe>
List-unsubscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=unsubscribe>
Reply-to: linux en linuxppp com
Sender: linux-admin en linuxppp com

-----BEGIN PGP SIGNED MESSAGE-----


     CERT-MEXICO/Departamento de Seguridad en Computo/UNAM-CERT

          Vulnerabilidades en Nombres de Dominio Internacionales

===============================
Introduccion
El problema
Conclusiones
Sistemas afectados actualmente
Referencias
===============================

Introduccion
- ------------
Desde que se reporto un problema de engaño (spoofing) en los nombres de
dominio internacionales (IDN por sus siglas en ingles), se ha generado
un intenso debate de quien es el culpable y por que esto actualmente
constituye una vulnerabilidad.

El asunto parece ser simple. Actualmente, es posible registrar nombres de
dominio bajo los dominios de alto nivel (TLD) como .com, los cuales
utilizan un conjunto de caracteres nacionales como chinos, escandinavos,
japoneses y otros. Esta gran variedad de caracteres puede ser
utilizada para desplegar nombres de dominio, los cuales son muy
similares a los dominios basados en los caracteres tradicionales
ASCII.

Obviamente, esto puede ser explotado para engañar a la gente y hacerle
creer que estan actualmente en un sitio web confiable en una forma mas
convincente que los dominios basados usualmente en caracteres ASCII
con omision de puntos, ligeros cambios en las letras, uso de "1" (uno)
en lugar de la "l" (ele) , etcetera.

Por ejemplo, suponga que desea entrar a un banco como Banamex (en
Mexico) y en lugar de entrar al sitio
http://banamex.com.mx/eng/personal/login.html, es llevado a
http://banarnex.com/ o http://boveda.banammex.com

Aquellos que estan en favor de usar dominios IDN, argumentan que ya
sea que los vendedores de navegadores deberian proporcionar
informacion al usuario cada vez que es visitado un dominio
internacional con una indicacion clara de que se deberian utilizar
listas negras de nombres de dominios y caracteres que podrian ser
explotados para engañar a los usuarios.

Existen muchas  razones por las que ICANN, los vendedores de
navegadores y otras partes deberian regresar al tema y reconsiderar la
implementacion del estandar IDN antes que Microsoft libere Internet
Explorer con soporte para IDN, ya que esto se expandira de forma masiva
entre negocios legitimos, quienes intentaran proteger sus marcas y
evitar fraudes tipo scam, de quienes desean obtener detalles de
tarjetas de credito y otra informacion valiosa de los usuarios.

El problema
- ------------

El problema es causado cuando un resultado involuntario de la
implementacion de  IDN (International Domain Name), la cual permite
usar caracteres internacionales en nombres de dominio.

Esto puede ser explotado al registrar nombres de dominio con ciertos
caracteres internacionales que reensamblan otros caracteres usados
comunmente, de tal forma que causa que el usuario cree que esta en un
sitio confiable.

La solucion es no seguir ligas de fuentes no confiables, y por el
contrario, escribir manualmente el URL en la barra de direcciones del
navegador.

Sin embargo, ya existen medidas que estan tomando los fabricantes de
navegadores, como es el caso de Firefox, que deshabilito el soporte
para IDN como una defensa ante el phising. Otro caso es la barra de
Netcraft, que al momento de ingresar a un sitio verifica si este no
puede ser de procedencia dudosa, advirtiendo al usuario.

¿Como saber si es vulnerable?

Secunia  ha diseñado una pagina de prueba
(http://secunia.com/multiple_browsers_idn_spoofing_test/), y en caso
de ser vulnerable abre una pagina de Secunia con el URL:
http://www.paypal.com/.


Conclusiones
- ------------
Es claro que la Internet tiene un cierto grado de discrimincion de la
parte del mundo que no habla ingles, solo un sub conjunto limitado de
caracteres del estandar ASCII son permitidos en los nombres de
dominio, el estandar IDN actualmente permite para cualquier persona
una solucion muy facil que no descrimina a nadie y al mismo tiempo
deja los dominios tan confiables como lo son actualmente:

Permite a los japoneses utilizar caracteres de su idioma bajo .jp, los
chinos bajo .cn, los alemanes bajo .de, etc. Esto efectivamente
limitara el uso de caractere nacionales a dominios nacionales y los
usuarios,  quienes utilizan dichos caracters - esos usuarios tambien
son los usuarios que confiaran en los beneficios del uso de caracteres
nacionales.

Despues de todo, el  dominio de alto nivel (TLD por sus siglas en
ingles) .com fue pensado para ser un dominio destinado al comercio que
podria ser utilizado y accedido por los negocios de todo el
mundo. Accediendo al dominio .com con letras chinas podria ser casi
imposible utilizando un teclado ingles.

No podemos negar la importancia del uso de caracteres internacionales
en la definicion de dominios, mas que ser un mal es provechoso para
los usuarios que no son de habla inglesa. Sin embargo, las
implementaciones de dicho estandar, exceptuando IE de Microsoft que
aun no la ha realizado, sufren problemas de engaño (spoofing) que pueden
derivar en los muy conocidos ataques de phishing scam, estafas
repercutiendo en la economia de muchas personas y organizaciones.

Sistemas afectados actualmente
- ------------------------------
CVE: CAN-2005-0233 Mozilla Firefox
CVE: CAN-2005-0234 Safari
CVE: CAN-2005-0235 Opera
                   i-Nav de VefiSign
CVE: CAN-2005-0236 OmniWeb 5x
CVE: CAN-2005-0237 Konqueror
                   Netscape

Referencias
- ------------
Secunia (www.secunia.org)
NetCraft (news.netcraft.com)

.......................................................................
Para Subscribirse a Listas y Foros de Discusion Incluyendo DNS-SEG
http://www.seguridad.unam.mx/mailman/listinfo/
.......................................................................
 Fernando Zaragoza <fzaragoza en seguridad.unam.mx>
      CERT-MEXICO             Equipo de Respuesta a Incidentes
 http://www.cert.org.mx            de Seguridad en Computo
          DSC                    Departamento de Seguridad
 http://www.seguridad.unam.mx          en Computo

 DGSCA, Circuito Exterior, C.U. Col. Copilco Universidad
 Del. Coyoacan 04510 Mexico D.F.
 seguridad en seguridad.unam.mx       Tel: (+52 5) 6 22 81 69

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQhZ98nAvLUtwgRsVAQHxPQf+IT70MmrCnskmAQ7jMZ/py7UzoKe9SRRg
3GGbl2gv4Y9Ts1l8WKOBcrvOig1GkNVWGpJ0n2yFHn5Jz9lN48xmgd2VRX91bSA+
QH5SYbEr76sq1LvW2WeNhsU5Xag3qiGI05owS2u2ubq+E2Y0SY8QXMj/N2mxqDkq
6S3Fj43VTBa4NwPiqICcdtPZs92rnpOr7z20Qr/MthiGzO2Ft2fEzBPgqf/UcQZY
O2fTkIXi56mVmHCMpAXiLZErNODy/Wce9Cy2TzqbnEOxAo7CMTfahFRFinQtWSs7
PSm/pqvZVh6XQHSWPsPPPK/pkvKUyeOurEVaTzBLSwuzwIRUWGkulg==
=dYqy
-----END PGP SIGNATURE-----

Previo por Fecha: [Sop.Tec.LinuxPPP] Enviar correos al exterior
Siguiente por Fecha: [Sop.Tec.LinuxPPP] vsftpd y acceder a el...
Previo por Hilo: [Sop.Tec.LinuxPPP] vsftpd y acceder a el...
Siguiente por Hilo: [Sop.Tec.LinuxPPP] help

[Hilos de Discusión] [Fecha] [Tema] [Autor]