Tento druh spoofing
útoku je
také známý jako skript
falšování . Unicode obsahuje
četné systémy psaní, a pro řadu důvodů,
podobně vypadající znaky, jako jsou
řecké Ο ,
latina O a
cyrilice О ,
nebyly přiřazeny stejný kód. Jejich
nesprávné či škodlivé
použití je možnost útokům. [ 1 ]
Registrace doménových jmen homographic je podobný typosquatting . Hlavní
rozdíl je, že v typosquatting pachatel
spoléhá na přirozenou lidskou překlepy,
zatímco v homograph spoofing pachatel úmyslně klame surfující po webu s
vizuálně nerozeznatelný jména. Opravdu,
to by bylo vzácné nehody na web uživatele typu, např. cyrilice dopis v jinak
anglické slovo jako "Citibank". Existují
případy, kdy zápis může být jak typosquatting a homograph spoofing,
dvojice l
/ I , i
/ j ,
a 0
/ O jsou
oba blízko sebe na klávesnici a nést určitou podobnost ke každému jiný.
Pravěk
Časné obtíž tohoto druhu, pre-datování internetu a dokonce i textové
terminály ,
byl záměně "l" (malé písmeno "ell")
/ "1" (číslo "jedna") a "O" (velké písmeno
"oh ") /" 0 "(číslo" nula "). Většina psací
stroje v
pre-éra počítače dokonce
sjednotil ell
a jedna; uživatelé museli zadat malé písmeno L, když jeden byl potřeba číslo. Nulové
/ ach zmatek vedla
k tradici křížení nul (Ø) tak, aby počítač
operátorby
typu je správně. [ 2 ] Unicode
může přispět k tomuto velmi se svou
kombinací znaků, akcenty, několik druhů pomlčkou vozidla
podobná-, atd., často kvůli nedostatečné vykreslování
podpory,
zejména s menšími fonty velikostí a širokou škálu fontů. [ 1 ]
Dokonce časnější, rukopis podle
bohaté příležitosti k záměně. Pozoruhodný
příklad je etymologie slova
" Zenith ". Překladu
z arabštiny "samt" zahrnoval písaře matoucí "m" do "ni". Druhé,
stejně jako "rn" / "m"
zmatek, je stále možné, aby lidské oko ani s moderní
moderní výpočetní technikou.
Úmyslné-podobný charakter nahrazení různých abeced také byl známý v různých
kontextech.
Například, Faux
cyrilice byl
používán jako pobavení nebo pozornost-hmatat a " Volapuk
kódování "byl
použit v prvních dnech internetu jako
způsob, jak překonat nedostatek podpory pro azbuky.
homographs v ASCII
ASCII znaky nebo má několik párů znaků, které vypadají stejně a jsou známé
jako homoglyphs (podskupina homographs ).
spoofing
útoky založené
na těchto podobností jsou známé jako spoofing
útoky homograph . Například
0 (číslo) a
O (písmeno), "l" malé písmeno L, a "já" velké "i".
V typickém příkladu hypotetického útoku, mohl někdo zaregistrovat doménu ,
která se zobrazí téměř identická s
existující domény, ale jde někde jinde. Například
doména "rnicrosoft.com" obsahuje "r" a "n", ne "m".
Jiné
příklady jsou G00GLE.COM ,
která vypadá podobně jako GOOGLE.COM v
některých fontů.
Použití kombinace
velká a malá písmena, googIe.com (kapitálové i ,
ne malé L ),
vypadá podobně jako google.com
v
některých fontů. PayPal byl
cíl využívání této podvod typu phishing, pomocí domény PayPaI.com .
V
některých úzkých-rozložený fonty jako Tahoma (výchozí
adresního řádku v systému
Windows XP ),
umístění c před
aj, l nebo budu vyrábět homoglyphs jako cl
cj ci (DGA).
homographs v zmezinárodněné doménových jmen
Ve vícejazyčných počítačových
systémů, logické znaky mohou mít totožné různé vzhledy.
Například, Unicode znak
U +0430, cyrilice malým
písmenem ("а"), může vypadat totožný s
Unicode znak U +0061, latina malým
písmenem, (""), které je malými písmeny "a" použitý v angličtině.
Problém vychází z rozdílné zacházení z postav v uživatelské paměti a
počítačové programování.
Z hlediska
uživatele, Cyrilice "а" v rámci Latinské řetězec je latina
"" není žádný rozdíl v glyfů pro tyto znaky ve většině písem.
Nicméně,
počítač zachází s nimi odlišně při zpracování řetězec znaků jako
identifikátor.
Uživatel tak má
předpoklad one-to-one "korespondence mezi vizuální vzhled jméno, a jmenoval
subjekt, se porouchá.
Internacionalizovaných doménových jmen poskytují
zpětně kompatibilní-cesta pro doménových
jmen pro plné využití znakovou sadu
Unicode, a tento standard se již široce podporován.
Nicméně
tento systém rozšířil repertoár znaků z několika desítek postav v jedné
abecedě na
mnoho tisíc znaků v mnoha skriptech, což značně zvýšilo možnost
homograph útoky.
Tím se otevře bohaté žíly příležitostí pro phishing a
jiné druhy podvodů. Útočník by mohl
zaregistrovat doménové jméno, které vypadá podobně
jako na legitimní webové stránky,
ale v nichž se z písmen některé byly
nahrazeny homographs v jiné abecedě. Útočník
by pak
mohl poslat e-mailových zpráv, které směřují k pocházet z původního
webu, ale nařizovat lidem
falešnou stránku. Spoof
místo by pak mohl zaznamenat informace jako jsou hesla nebo
podrobnosti o
účtu, zatímco kolem provozu až do skutečné stránky. Obětí
může nikdy nevšimne rozdílu,
až podezřelé nebo trestné činnosti dochází s
jejich účty.
V prosinci 2001 Jevgenij
Gabrilovich a Alex
Gontmakher ,
oba z Technion , Izraele ,
vydal referát titulovaný
"Homograph Attack",, který
popisoval útok, který používá Unicode URL spoof adresu URL webových stránek.
Chcete-li
prokázat proveditelnost tohoto druhu útoku, vědci úspěšně registrované
varianty názvu domény
Microsoft .
com ,
který přejímá ruského jazyka znaků.
Tento druh problémů se očekávala dříve, než byl představen IDN, a pokyny byly
vydány , na
registry, aby
se pokusili vyhnout nebo snížit problém. Například,
to bylo doporučeno, že registry akceptovat pouze znaky
z latinky, a že jejich
vlastní země, ne všechny znaky Unicode, ale toto doporučení bylo zanedbané
hlavními TLD .
7. února 2005, Slashdot hlásil,
že toto využití bylo zveřejnit 3ric Johanson na hackerské konferenci Shmoocon .
Webové
prohlížeče podporující IDNA se objevil na přímé URL http://www.pаypal.com/, ve
kterém první znak je
nahrazen
cyrilice а ,
na místě dobře známé platební stránky Paypal ,
ale ve skutečnosti vedla k falešné webové
stránky s různým obsahem.
Následující abecedy mají znaky, které mohou být použity pro spoofing útoky
(dovolujeme si upozornit, že jde
pouze nejvíce zjevné a časté, vzhledem
umělecké licence a jak velké riziko Spoofer bude přistižení, možnosti jsou
daleko početnější, než může být uveden zde):
cyrilice
Azbuka, zdaleka, je nejvíce běžně používané abecedy pro homoglyphs, z velké
části proto, že obsahuje 11 malá
glyfy, které jsou totožné nebo téměř totožné
s latinské protějšky.
Ruská dopisy а , с , е , о , р , х a у mají
optické protějšky v základní latinské abecedy a podívejte se zblízka nebo
totožné , c , e , o , p , x a y . Azbuka З , Ч a б připomínají
číslice 3 , 4 a 6 . kurzívougeneruje
více homoglyphs:
дтпи ( д т п Ø ve
standardní typ), připomínající g m n u (i
když v mnoha písem д místo podobá parciálních
diferenciálních znamení, ∂ ).
Pokud velká písmena jsou počítány, × Н К Cement
M Т může
nahradit B H K M T ,
kromě hlavních měst pro
malá homoglyphs cyrilice.
Cyrilice non-ruské problematické dopisy jsou һ a h , і a já , ј a aj , ѕ a to , Ғ a F . Cyrilice ¨ ї lze
také použít v
případě, že IDN je sama spoofed, na falešné ë ï .
Dobrým příkladem je ruská vláda internetových stránkách. Následovat
odkaz poskytovat dílčí snímky
obrazovky, které vysvětlují, jak stejný název
domény vypadá v:
* (a) IDN prohlížeče (slunečními hodinami) v ruštině
* (b) non-IDN prohlížeče (chrom) v ruštině přeložen do Punnycode
* (b) non-IDN prohlížeče (chrom) v angličtině
řečtině
Z řecké
abecedy ,
pouze omikron ο
a někdy nu ν
se zdají totožné s latinskou abecedu písmeno v malé používané pro
URL. Písma,
která jsou v kurzívou vystoupí
řecké alfa α vypadat
jako latina .
Tento seznam se zvyšuje, pokud zavřete zápasy jsou také povoleny (např. řecký
εικηρτυωχγ pro eiknptuwxy).
Používání velkých
písmen ,
rozšiřuje seznam velmi. Řecké
ΑΒΕΗΙΚΜΝΟΡΤΧΥΖ vypadá stejně jako latina
ABEHIKMNOPTXYZ. Řecké
ΑΓΒΕΗΚΜΟΠΡΤΦΧ vypadá podobně jako cyrilice АГВЕНКМОПРТФХ,
řecká písmena a κ о
vypadat podobně azbukou к a о. Kromě
tohoto řeckého τ může být podobné azbuce т v
některých fontů, a cyrilice а také
italicizes stejně jako jeho latinský protějšek, aby bylo možné nahradit ji
alfa nebo naopak.
Pokud se IDN je sama spoofed, beta β může řecký být náhradou za německou
esszet ß v
některých fontů
(a ve skutečnosti, kódové
stránce 437 zachází
s nimi jako ekvivalent), jak může řecké sigma ς pro C, s
diakritikou řeckých
náhradníků όίά lze
obvykle být použita pro Oi á v
mnoha písem, s posledním z nich (alfa),
opět pouze podobat kurzívou.
arménské
Také arménskou
abecedu může
přispět kritické znaky: Několik arménské znaky jako օ, ո, ս, jakož i
kapitálové Տ a Լ
jsou často kompletně totožné s latinkou v moderní písma. Symboly
jako ա, může připomínají cyrilice ш.
Mimo
to, že tam jsou symobols, které vypadají podobně. Ցհոօզս, které vypadají jako
ghnoqu, յ který se
podobá j (i když dotless), a ք, což může podobat p nebo f v
závislosti na písmo. Nicméně,
použití arménského
je problematická. Ne
všechny standardní funkce písma arménská glyfy (vzhledem k tomu, řecké a
cyrilice
skripty jsou ve většině písem). Protože
toto, Windows před Windows 7 poskytované v arménské odlišné písmo,
Sylfaen ,
který podporuje arménské a míchání arménského s Latinskou objevil samozřejmě
jiná, pokud
používáte písmo jiné, než Sylfaen nebo
písmo
Unicode . Aktuální
verze Tahoma ,
který se používá ve Windows 7,
podporuje arménské (předchozí verze nebyla). Navíc,
toto písmo latinské odlišuje g od
arménských ց.
Dva dopisy v arménské (Ձշ), také může podobat číslo 2, Յ podobá 3, zatímco
jiný (վ) někdy se podobá číslo 4.
hebrejštiny
Hebrejština spoofing je obecně vzácné. Pouze
tři písmena z abecedy, které lze spolehlivě použít: samekh (ס),
který někdy
připomíná o, vav s diakritikou (וֹ), který se podobá i, a Het (ח), který se
podobá dopisu n.
Méně přesné
approximants pro některé další alfanumerické znaky lze nalézt také, ale tito
jsou obvykle jen
dostatečně přesné k použití pro účely zahraniční
značky ,
a nikoli jako náhradu.Kromě toho, hebrejská
abeceda
je
psána zprava doleva a snaží se míchat s odešel-k-pravý piktogramy může
způsobit problémy.
Obrana proti útoku
Nejjednodušší obrana je pro webové prohlížeče nepodporovat IDNA nebo jiných
podobných mechanismů, nebo
pro uživatele, vypnout bez ohledu na podporu svých
webových prohlížečů mají. To by
mohlo znamenat
zablokování přístupu k IDNA stránky, ale obecně prohlížečů
umožňují přístup a jen displej IDN v Punycode .
Ať
tak či onak, toto se rovná upuštění od non-ASCII názvy domény.
Jeden problém se zobrazením IDN v Punycode je,
že poté, účinně, každá taková adresa je "homograph" každé jiné.
Vzhledem
k tomu, typičtí uživatelé neumí číst punycode, čínské místě poskytované v
jakékoli Punycode by být k
nerozeznání od jiných čínských stránek.
Firefox a Opera zobrazí
punycode pro IDN, pokud top-level domény (TLD, například .
ac nebo .
muzeum )
zabraňuje homograph útoky omezení, které znaky mohou být použity v doménových
jmen.[ 4 ] Oba
také umožňují
uživatelům ručně přidat TLD do seznamu povolených.
Internet Explorer 7 umožňuje
IDNs kromě etikety, které mix skripty pro různé jazyky. Štítky,
které mix skripty jsou
zobrazeny v Punycode. Tam
jsou výjimky z locales, kde jsou znaky ASCII běžně ve směsi s lokalizovaným
skripty.
Jako další obranu, Internet Explorer 7, Firefox 2.0 a výše, Opera 9.10
obsahují filtry proti phishingu, které se snaží
upozornit uživatele, když
navštíví hrozbami z webových stránek.
Od verze 7, Internet
Explorer byl
schopný používat IDNs, ale klade omezení na zobrazování non-ASCII názvy
domény
na základě uživatelem definované-seznamu povolených jazyků a poskytuje
anti-phishing filtr, který
kontroluje podezřelé weby proti vzdálené databázi
známých phishingových webů. [ pochvalná
zmínka potřebovala ]
17. února 2005, Mozilla vývojáři oznámil, že příští verze softwaru má ještě
IDN umožnil podporu,
ale zobrazuje Punycode URL
místo, a tím zmaření některé útoky využívající podobnosti mezi ASCII a
non-ASCII
znaky, a přitom umožňuje přístup na webové stránky v IDN domény.
Od té doby se oba Mozilla a Opera oznámily, že budou používat na-domény
whitelistů selektivně
zapnout IDN domény displej pro běh registry, které jsou
při patřičném homograph spoofing útoku
bezpečnostní opatření. Jak
9.9.2005, nejvíce Aktuální verze Mozilly
Firefox ,
stejně jako poslední
Internet Explorer zobrazí falešnou Paypal URL " http://www.xn--pypal-4ve.com/ ",
zřetelně odlišný od originálu.
Safari má přístup
k tomu, aby problematické znakové sady jako Punycode . To
může být změněn tím,
že změní nastavení v X systému souborů operačního systému
Mac.
Google Chrome zobrazuje
IDN pouze tehdy, pokud všechny jeho
znaky patří do jedné (a pouze jeden),
z uživatelského preferovaný jazyk.
S příchodem internacionalizovaných
kódů zemí spoofing
bude minimalizována. Například
ruský
TLD .
рф (domény
specificky vybrán, aby se zabránilo připomínající latinský TLD) akceptuje
pouze
jména Azbuka, zakazovat mix s latinské nebo řecké znaky. Nicméně
problém .
com ,
a další gTLDs
zůstává
otevřená.
Tyto metody obrany vztahuje pouze na v prohlížeči. Homographic
adresy URL, které dům škodlivého
softwaru mohou být ještě rozděleny, aniž by
byl zobrazen jako Punycode, prostřednictvím e-mailu ,
sociálních
sítí či
jiných webů aniž by byla odhalena, dokud uživatel skutečně klikne na odkaz.
Zatímco
falešný odkaz se zobrazí v Punycode když je kliknutí tímto bodem stránce už
začal načítání
do prohlížeče a škodlivý software může být již stáhli do
počítače. Televizní
stanice KBOI-TV
vzneseny
tyto obavy, když neznámý zdroj (registrace pod názvem "Zcela anonymní ")
zaregistroval
doménové jméno homographic vlastním šířit apríl vtip
o guvernér
Idaho vydání
měl zákaz prodeje
hudba Justin
Bieber .
