¿Cómo defenderse contra los ataques de homógrafos?

14

Haciendo referencia a este ejemplo de Wikipedia de un ataque de homógrafos , la URL de Wikipedia tuvo los caracteres latinos A y E reemplazados con una copia cirílica similar ( wikipediа.org ). Estos personajes se ven tan similares, ¿cómo pueden ser diferenciados?

    
pregunta toffee.beanns 31.03.2018 - 17:43
fuente

3 respuestas

19

Los proveedores de navegadores ya intentan protegerlo de los ataques homógrafos mediante la aplicación de políticas como los IDN ( Nombres de dominio internacionalizados ) debe mostrarse en la barra de URL.

Sus medidas incluyen una lista negra de símbolos potencialmente confusos (por ejemplo, ֊ , el "guión armenio" U + 058A) y mostrar las URL con caracteres de alfabetos no latinos como Punycode bajo ciertas condiciones. Por lo tanto, si usted visita

https://wikipediа.org

la URL se mostrará en su barra de URL como

https://xn--wikipedi-86g.org/

siguiendo las reglas de conversión de Punycode, que puede distinguir fácilmente de wikipedia.org .

Si está interesado en el algoritmo específico que utiliza su navegador para mostrar los IDN, consulte:

Sin embargo, convertir IDN incorrectos al tiempo que se mantiene la facilidad de uso (por ejemplo, aún desea mostrar un ä literal a alguien en Alemania) ha resultado ser un tanto esquivo, por lo que incluso en 2018 han surgido nuevos ataques.

Si no confía en la protección integrada de su navegador, también hay una extensión de navegador disponible que le advierte sobre los dominios de IDN (como señala @defalt). O puede elegir una forma manual de detección, como @wchargin describe en su respuesta .

    
respondido por el Arminius 31.03.2018 - 18:15
fuente
5

La respuesta de Arminius menciona las condiciones en las que los navegadores representan punycode en lugar de los glifos de Unicode reales. En mi experiencia, estas condiciones no son suficientes: por ejemplo, la URL enlace (el enlace es seguro, pero podría ser un sitio de phishing). Chrome lo codifica, pero no lo hace Firefox:

Aquíestálasoluciónqueyopersonalmenteuso.Puedeserunaexageración,peroprotegeexactamentecontraesteataque.

Esunrequisitoprevioparaestasoluciónque,cuandoestéapuntodeingresarcualquiercredencialencualquiersitioweb,siemprelealabarradedireccionesantesdeingresarcualquierinformación.*Debehacerlodetodosmodos.!Peroenrealidadesnecesarioparaloquesigue.

Miprocedimientoessimple.Antesdeingresarlascredenciales,copioeltextoenlabarradedireccionesyluegoejecutoelprogramahexob,quehedefinidodelasiguientemanera(enunarchivo~/bin/hexob):

#!/bin/shxsel-ob|xxd|xmessage-file-

EsteprogramamuestralasunidadesdecódigoparalacodificaciónUTF-8delportapapelesenuncuadrodemensaje,comoeste:

PuedoverificarrápidamenteleyendoelhostqueesteesunURLdeiniciodesesiónválido:comoelhostaparececorrectamenteenelladoderecho,todoslospuntosdecódigodelhostestánenASCII.

Porotrolado,sialguienmehubieravinculadoa enlace , que ejemplifica un ataque de homógrafo, entonces el cuadro de mensaje tendría este aspecto:

Aquí,veolasunidadesdecódigoparalacodificaciónUTF-8dehttps://аррӏе.com/,queesmuydiferentedelacodificaciónUTF-8dehttps://apple.com/.LamayoríadelospuntosdecódigonoestánenASCII,porloquesusunidadesdecódigoUTF-8tienenelMSBestablecidoy,porlotanto,aparecencomounacantidadde.senelladoderecho.Siveo.senelladoderechoenlapartedelhostdelaURL,medetengoynoingresoningunacredencial.

EscriboC-lC-cSuper-phexobRETparacompletartodoesteproceso,locualtomasolounossegundos.(MiSuper-ppodríasersuAlt-F2osimilar).

*Tengaencuentaquedebehacerestocadavezqueestéapuntodeingresardatos.Porejemplo,siestáiniciandosesiónenGoogleeingresasucontraseña,entoncesGoogledice"contraseña incorrecta", usted debe ejecutar este procedimiento nuevamente. Esto se debe a que la página de inicio de sesión de Google tiene un redireccionamiento abierto: puedo crear una página que lo dirija al sistema de inicio de sesión actual de Google y, después de iniciar sesión, lo redirige automáticamente a mi página de phishing que se ve exactamente como El sistema de inicio de sesión de Google está controlado por mí.

    
respondido por el wchargin 31.03.2018 - 23:13
fuente
3

Otra cosa que no se menciona en las otras respuestas: además de sus otros beneficios, un administrador de contraseñas lo ayudará a protegerse contra esos ataques: sus credenciales guardadas para www.google.com no se completarán automáticamente en www.googIe.com (el segundo hasta el último carácter es una I mayúscula), dando a entender que algo está apagado. Debe copiar y pegar la contraseña de forma manual y explícita para iniciar sesión en ese sitio.

    
respondido por el Federico Poloni 01.04.2018 - 11:26
fuente

Lea otras preguntas en las etiquetas