13 元月, 2010 07:54
推文( 0 )
趨勢科技 2009 資安威脅回顧與2010 資安趨勢預測 提到導入區域性頂層網域 (採用俄羅斯文、中文與阿拉伯文字元) 將會替舊的攻擊方式創造新的機會,讓駭客運用長相類似的網域名稱發動網路釣魚攻擊,例如,使用俄羅斯文字元來替代看起來很像的拉丁字元。如此將造成一些不易防止的信譽與濫用問題。想想看,目前光是要封鎖一些惡意的 .cn 網域就已經很困難了,一旦導入了新的頂層網域名稱,此一問題勢必雪上加霜。使用者在開啟電子郵件時必須更加小心,而且,毫無疑問地,傳統的垃圾郵件過濾器也將無法應付這項升高的威脅。趨勢科技資安威脅高級研究員Ben April 針對這個議題發表入更深入的文章。
---------------------------------------------------------------------------------------
國際化網域名稱 IDN 是否會引來一堆 Unicode 蠕蟲?
作者:Ben April (趨勢科技資安威脅高級研究員)
最近我造了兩個沒有意義的網域名稱:eixpay.com 和 eixpay.com,您可以分得出其中的差別嗎?
在具備 Unicode 解讀能力的現代瀏覽器上,這兩個名稱看起來可能完全相同,但是若您將它們複製再貼入搜尋引擎當中,您將獲得不同的搜尋結果。右邊的網域名稱是使用俄羅斯文 (Cyrillic) 字元所組成,左邊的網域名稱則是用西歐語系 (Western) 字元所組成。雖然大多數的俄羅斯文字元都與 US-ASCII 字元迥異,但有一小部份的符號卻看起來沒什麼不同 (請見此表的第二頁)。
如果用十六進位碼來顯示,您就可以看出這兩個網域名稱的差異。如圖所示,.com 在兩個名稱當中都是 ASCII 字碼 (請看圖 1)。
接著,我製作了一個簡單的 HTML 檔案,裡面包含這兩個網域名稱的連結。請注意,在 anchor 標籤 (<a>) 當中,ASCII 網域名稱以斜體字顯示,而 Unicode 網域名稱則為正常字體 (請看圖 2)。
當我第一次在 Firefox 3.5 當中載入這個檔案時,字元編碼會設成 ISO-8859-1(Western),因此 Unicode 連結看起來會明顯不同 (請看圖 3)。
不過,在將字元編碼設定成 Unicode(UTF-8) 之後,情況就全然不同 (請看圖 4)。
GIZMODO 指出,這對其他字串也有效。因此,攻擊者只需找出共通的字碼頁,就能拼湊出假冒合法網站的字元。在我的短暫測試過程當中,我發現,在單一 URL 當中使用一個以上的 Unicode 區段會產生不可預期的結果。
最近對於 Internet Corporation for Assigned Names and Numbers (ICANN) 核准使用國際化網域名稱 (IDN) 的消息以及這樣的作法如何造成安全風險有諸多的討論。有些人認為,如果核准 IDN 的使用,將導致網路釣魚 Phishing更難防範。
簡單的說,IDN 會在瀏覽器查詢網域名稱系統 (DNS) 之前先將 Unicode 字串轉換成 punycode 字串。例如,eixpay.com 轉成 punycode 之後將變成 xn--80aj7anh5h.com。在 www.IDNstuff.com/ 網站上提供了一些工具可將 Unicode 字串轉換成 punycode,或是互轉。
我花了一些時間,終於讓我找到幾個可接受頂層網域名稱(.com、.net 等等) 以 punycode 編碼的註冊機構。一旦網路犯罪者註冊了 xn--80aj7anh5h.com 這個網域,就能建立一個通透的 ASCII eixpay.com 網頁,然後利用電子郵件、即時訊息 (IM) 或者社交網路來引誘使用者點選 Unicode 連結至假冒的網路釣魚 Phishing網頁。如此一來,光是單純地檢查一下網站名稱,已經不足以防範。
如果您想看看真正的 IDN 在瀏覽器當中的效果以及其他的工具,請到這裡查看現成的範例。
@本文來源:Can IDN Use Open a Can of Unicode Worms?)
更多網路釣魚 Phishing文章,請 <按這裡>
@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪
@歡迎加入趨勢科技毒賣新聞粉絲團
@瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2010 即刻免費試用
