[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- CERT-MEXICO/Departamento de Seguridad en Computo/UNAM-CERT Vulnerabilidades en Nombres de Dominio Internacionales =============================== Introduccion El problema Conclusiones Sistemas afectados actualmente Referencias =============================== Introduccion - ------------ Desde que se reporto un problema de engaño (spoofing) en los nombres de dominio internacionales (IDN por sus siglas en ingles), se ha generado un intenso debate de quien es el culpable y por que esto actualmente constituye una vulnerabilidad. El asunto parece ser simple. Actualmente, es posible registrar nombres de dominio bajo los dominios de alto nivel (TLD) como .com, los cuales utilizan un conjunto de caracteres nacionales como chinos, escandinavos, japoneses y otros. Esta gran variedad de caracteres puede ser utilizada para desplegar nombres de dominio, los cuales son muy similares a los dominios basados en los caracteres tradicionales ASCII. Obviamente, esto puede ser explotado para engañar a la gente y hacerle creer que estan actualmente en un sitio web confiable en una forma mas convincente que los dominios basados usualmente en caracteres ASCII con omision de puntos, ligeros cambios en las letras, uso de "1" (uno) en lugar de la "l" (ele) , etcetera. Por ejemplo, suponga que desea entrar a un banco como Banamex (en Mexico) y en lugar de entrar al sitio http://banamex.com.mx/eng/personal/login.html, es llevado a http://banarnex.com/ o http://boveda.banammex.com Aquellos que estan en favor de usar dominios IDN, argumentan que ya sea que los vendedores de navegadores deberian proporcionar informacion al usuario cada vez que es visitado un dominio internacional con una indicacion clara de que se deberian utilizar listas negras de nombres de dominios y caracteres que podrian ser explotados para engañar a los usuarios. Existen muchas razones por las que ICANN, los vendedores de navegadores y otras partes deberian regresar al tema y reconsiderar la implementacion del estandar IDN antes que Microsoft libere Internet Explorer con soporte para IDN, ya que esto se expandira de forma masiva entre negocios legitimos, quienes intentaran proteger sus marcas y evitar fraudes tipo scam, de quienes desean obtener detalles de tarjetas de credito y otra informacion valiosa de los usuarios. El problema - ------------ El problema es causado cuando un resultado involuntario de la implementacion de IDN (International Domain Name), la cual permite usar caracteres internacionales en nombres de dominio. Esto puede ser explotado al registrar nombres de dominio con ciertos caracteres internacionales que reensamblan otros caracteres usados comunmente, de tal forma que causa que el usuario cree que esta en un sitio confiable. La solucion es no seguir ligas de fuentes no confiables, y por el contrario, escribir manualmente el URL en la barra de direcciones del navegador. Sin embargo, ya existen medidas que estan tomando los fabricantes de navegadores, como es el caso de Firefox, que deshabilito el soporte para IDN como una defensa ante el phising. Otro caso es la barra de Netcraft, que al momento de ingresar a un sitio verifica si este no puede ser de procedencia dudosa, advirtiendo al usuario. ¿Como saber si es vulnerable? Secunia ha diseñado una pagina de prueba (http://secunia.com/multiple_browsers_idn_spoofing_test/), y en caso de ser vulnerable abre una pagina de Secunia con el URL: http://www.paypal.com/. Conclusiones - ------------ Es claro que la Internet tiene un cierto grado de discrimincion de la parte del mundo que no habla ingles, solo un sub conjunto limitado de caracteres del estandar ASCII son permitidos en los nombres de dominio, el estandar IDN actualmente permite para cualquier persona una solucion muy facil que no descrimina a nadie y al mismo tiempo deja los dominios tan confiables como lo son actualmente: Permite a los japoneses utilizar caracteres de su idioma bajo .jp, los chinos bajo .cn, los alemanes bajo .de, etc. Esto efectivamente limitara el uso de caractere nacionales a dominios nacionales y los usuarios, quienes utilizan dichos caracters - esos usuarios tambien son los usuarios que confiaran en los beneficios del uso de caracteres nacionales. Despues de todo, el dominio de alto nivel (TLD por sus siglas en ingles) .com fue pensado para ser un dominio destinado al comercio que podria ser utilizado y accedido por los negocios de todo el mundo. Accediendo al dominio .com con letras chinas podria ser casi imposible utilizando un teclado ingles. No podemos negar la importancia del uso de caracteres internacionales en la definicion de dominios, mas que ser un mal es provechoso para los usuarios que no son de habla inglesa. Sin embargo, las implementaciones de dicho estandar, exceptuando IE de Microsoft que aun no la ha realizado, sufren problemas de engaño (spoofing) que pueden derivar en los muy conocidos ataques de phishing scam, estafas repercutiendo en la economia de muchas personas y organizaciones. Sistemas afectados actualmente - ------------------------------ CVE: CAN-2005-0233 Mozilla Firefox CVE: CAN-2005-0234 Safari CVE: CAN-2005-0235 Opera i-Nav de VefiSign CVE: CAN-2005-0236 OmniWeb 5x CVE: CAN-2005-0237 Konqueror Netscape Referencias - ------------ Secunia (www.secunia.org) NetCraft (news.netcraft.com) ....................................................................... Para Subscribirse a Listas y Foros de Discusion Incluyendo DNS-SEG http://www.seguridad.unam.mx/mailman/listinfo/ ....................................................................... Fernando Zaragoza <fzaragoza en seguridad.unam.mx> CERT-MEXICO Equipo de Respuesta a Incidentes http://www.cert.org.mx de Seguridad en Computo DSC Departamento de Seguridad http://www.seguridad.unam.mx en Computo DGSCA, Circuito Exterior, C.U. Col. Copilco Universidad Del. Coyoacan 04510 Mexico D.F. seguridad en seguridad.unam.mx Tel: (+52 5) 6 22 81 69 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQhZ98nAvLUtwgRsVAQHxPQf+IT70MmrCnskmAQ7jMZ/py7UzoKe9SRRg 3GGbl2gv4Y9Ts1l8WKOBcrvOig1GkNVWGpJ0n2yFHn5Jz9lN48xmgd2VRX91bSA+ QH5SYbEr76sq1LvW2WeNhsU5Xag3qiGI05owS2u2ubq+E2Y0SY8QXMj/N2mxqDkq 6S3Fj43VTBa4NwPiqICcdtPZs92rnpOr7z20Qr/MthiGzO2Ft2fEzBPgqf/UcQZY O2fTkIXi56mVmHCMpAXiLZErNODy/Wce9Cy2TzqbnEOxAo7CMTfahFRFinQtWSs7 PSm/pqvZVh6XQHSWPsPPPK/pkvKUyeOurEVaTzBLSwuzwIRUWGkulg== =dYqy -----END PGP SIGNATURE-----