Come difendersi dagli attacchi omografi?

14

In riferimento a questo esempio di Wikipedia di un attacco omografo , l'URL di Wikipedia ha sostituito i caratteri latini A ed E con una copia cirillica simile ( wikipediа.org ). Questi personaggi sembrano così simili, come possono essere differenziati?

    
posta toffee.beanns 31.03.2018 - 17:43
fonte

3 risposte

19

I produttori di browser già cercano di proteggerti dagli attacchi omografi applicando le policy su come IDN ( Nomi di dominio internazionalizzati ) dovrebbe essere visualizzato nella barra degli indirizzi.

Le loro misure includono la lista nera di simboli potenzialmente confondibili (ad esempio ֊ , il "trattino armeno" U + 058A) e la visualizzazione di URL con caratteri da alfabeti non latini come Punycode in determinate condizioni. Quindi, se visiti

https://wikipediа.org

l'URL verrà visualizzato nella barra dell'URL come

https://xn--wikipedi-86g.org/

seguendo le regole di conversione di Punycode, che puoi facilmente distinguere da wikipedia.org .

Se ti interessa l'algoritmo specifico utilizzato dal browser per visualizzare gli IDN, consulta:

Tuttavia, la conversione di IDN non validi mantenendo l'usabilità (ad es. si vorrebbe comunque mostrare un% letterale% co_de a qualcuno in Germania) si è rivelata in qualche modo elusiva, motivo per cui anche nel 2018 sono sorti nuovi attacchi.

Se non ti fidi della protezione integrata del browser, è disponibile anche un'estensione del browser che ti avverte dei domini IDN (come sottolinea @defalt). Oppure puoi scegliere un modo di rilevamento manuale, come descrive @wchargin in la sua risposta .

    
risposta data 31.03.2018 - 18:15
fonte
5

La risposta di Arminius menziona le condizioni in cui i browser rendono punycode al posto dei glifi Unicode effettivi. Nella mia esperienza, queste condizioni non sono sufficienti: ad esempio, l'URL link (il collegamento è sicuro, ma potrebbe essere un sito di phishing!) è reso come punycode da Chrome ma non da Firefox:

Eccolasoluzionecheusopersonalmente.Potrebbeessereeccessivo,maproteggeesattamentedaquestoattacco.

Èunprerequisitoperquestasoluzioneche,quandostaiperimmetterecredenzialiinqualsiasisitoweb,leggisemprelabarradegliindirizziprimadiinserirequalsiasidato.*Dovrestifarlocomunque!-Maèinrealtànecessarioperciòchesegue.

Lamiaproceduraèsemplice.Primadiinserirelecredenziali,copioiltestonellabarradegliindirizzi,quindilancioilprogrammahexob,chehodefinitocomesegue(inunfile~/bin/hexob):

#!/bin/shxsel-ob|xxd|xmessage-file-

QuestoprogrammavisualizzaleunitàdicodiceperlacodificaUTF-8degliappuntiinunafinestradimessaggio,comequesta:

Possoverificarerapidamenteleggendol'hostchequestoèunURLdiaccessovalido:poichél'hostapparecorrettamentesullatodestro,tuttiipuntidicodicedell'hostsonoinASCII.

D'altraparte,sequalcunomiavessecollegatoal link , che esemplifica un attacco di omografo, quindi la finestra di messaggio appare in questo modo:

Qui,vedoleunitàdicodiceperlacodificaUTF-8dihttps://аррӏе.com/,cheèmoltodiversadallacodificaUTF-8dihttps://apple.com/.LamaggiorpartedeipuntidicodicenonsonoinASCII,quindilelorounitàdicodiceUTF-8hannoilsetdiMSB,equindiappaionocomeuncertonumerodi.ssullatodestro.Sevedo.ssullatodestronellapartehostdell'URL,Istopenoninserirealcunacredenziale.

DigitoC-lC-cSuper-phexobRETpercompletarel'interoprocesso,cherichiedesolopochisecondi.(IlmioSuper-ppotrebbeessereiltuoAlt-F2osimile.)

*Notachedevifarequestoognivoltachestaiperinserireidati.Adesempio,seaccediaGoogleeinseriscilatuapassword,Googledice"password errata", devi eseguire nuovamente questa procedura. Questo perché la pagina di accesso di Google ha un reindirizzamento aperto: posso creare una pagina che ti indirizza al sistema di accesso effettivo di Google e, dopo aver effettuato l'accesso, ti reindirizza automaticamente alla mia pagina di phishing che assomiglia esattamente a Il sistema di accesso di Google, ma è controllato da me.

    
risposta data 31.03.2018 - 23:13
fonte
3

Un'altra cosa non menzionata nelle altre risposte: oltre ai suoi altri vantaggi, un gestore di password ti aiuterà a proteggerti da quegli attacchi: le tue credenziali salvate per www.google.com non verranno compilate automaticamente su www.googIe.com (il penultimo carattere è un maiuscolo I), suggerendo che qualcosa è spento. Devi copiare e incollare la password manualmente ed esplicitamente per accedere a quel sito.

    
risposta data 01.04.2018 - 11:26
fonte

Leggi altre domande sui tag