Riesgo de spoofing en múltiples navegadores (IDN)Se han reportado múltiples problemas de seguridad en OmniWeb, Netscape, Safari, Mozilla, Firefox, Camino, Konqueror y Opera, navegadores que son propensos a ser explotados por un sitio web malicioso, de tal modo que se engañe a un usuario desprevenido sobre la verdadera URL mostrada en la barra de direcciones, el origen de los certificados SSL y lo mostrado en la barra de estado. El Internet Explorer no es afectado por este fallo.
El problema es causado por un resultado no contemplado en la implementación del estándar IDN (International Domain Name), que permite la utilización de caracteres internacionales en los nombres de dominios.
Esto puede ser explotado para registrar dominios con ciertos caracteres de diferentes idiomas, que en los navegadores vulnerables, serán confundidos con caracteres estándar. Un uso malicioso de esto, permite a un pirata realizar ataques de phishing, poniendo en peligro la seguridad de los usuarios confiados, que creerán estar en un sitio seguro.
El phishing es la técnica que lleva al usuario a ser engañado (spoofing) por la identidad del atacante, haciéndole creer que visita la verdadera página de un banco o sitio de confianza, ingresando de ese modo datos confidenciales que quedarán en poder del pirata informático.
Secunia ha construido una página de prueba que puede ser utilizada para comprobar si su navegador es afectado por este problema:
http://secunia.com/multiple_browsers_idn_spoofing_test/Si usted hace clic en el enlace que aparece bajo "Test Your System" (Test Now - Left Click On This Link), y se abre una página mostrando en la barra de direcciones la URL "
http://www.paypal.com/", pero en lugar del sitio de Paypal, se muestra una página de Secunia, usted es vulnerable.
En navegadores no vulnerables, se mostrará dicha dirección, pero la página no será visualizada ("No se puede mostrar la página", "La página Web solicitada no está disponible en este momento", etc.)
El truco está en la verdadera dirección del enlace, que no es "
http://www.paypal.com/", sino "
http://www.paypаl.com/". Dicho nombre de dominio, utiliza caracteres Unicode, en lugar de los clásicos caracteres ASCII.
Los nombres de dominio comunes, utilizan caracteres ASCII del estándar norteamericano de 128 caracteres, los que son representados mediante un código binario de 7 bits, y no incluyen tildes o letras como la "ñ" por ejemplo. El estándar Unicode en cambio, puede mostrar hasta 65,535 caracteres, al hacer uso de 16 bits, creando un esquema de codificación de texto para casi todos los alfabetos internacionales.
La norma IDN para nombres de dominio internacionalizados, utiliza Unicode para poder usar nombres de dominio multilingües, los que incluyan caracteres españoles, griegos, cirílicos, hebreos, árabes, y hasta ideogramas japoneses, chinos y coreanos, entre otros.
Por ejemplo, IDN hace posible un dominio como
http://www.españa.com (aunque se requiere la instalación de un plugin llamado i-Nav para poder navegar por estos dominios). i-Nav es un software gratuito desarrollado por VeriSign.
Sin embargo, los navegadores vulnerables pueden ser engañados para mostrar un nombre de dominio diferente al dominio internacionalizado que se visita. Un hábil manejo de algunos caracteres (como se puede ver en el ejemplo de Secunia), puede llevar a que inescrupulosos delincuentes registren dominios que puedan ser usados para realizar ataques de phishing.
Software vulnerable:
Son vulnerables los siguientes productos (y sus versiones anteriores):
- Camino 0.8.2
- Firefox 1.0
- Konqueror 3.2.2
- Mozilla 1.7.5
- Netscape 7.2
- OmniWeb 5.1
- Opera 7.54u2
- Safari 1.2.4 (v125.1)
Software NO vulnerable:
- Internet Explorer 5.0, 6.0 y superiores
Soluciones:
No existen actualizaciones o parches para los productos afectados al momento actual.
Se recomienda no hacer clic en enlaces de fuentes no confiables.
De ser necesario, escribir directamente la URL a visitar en la barra de direcciones.
Créditos:
Evgeniy Gabrilovich y Alex Gontmakher
Eric Johanson
Referencias:
Opera IDN Spoofing Security Issue
http://secunia.com/advisories/14154/Konqueror IDN Spoofing Security Issue
http://secunia.com/advisories/14162/Mozilla / Firefox / Camino IDN Spoofing Security Issue
http://secunia.com/advisories/14163/Safari IDN Spoofing Security Issue
http://secunia.com/advisories/14164/Netscape IDN Spoofing Security Issue
http://secunia.com/advisories/14165/OmniWeb IDN Spoofing Security Issue
http://secunia.com/advisories/14166/Relacionados:
The state of homograph attacks
http://www.shmoo.com/idn/homograph.txtThe Homograph Attack
http://www.cs.technion.ac.il/~gabr/papers/homograph.htmlICANN paper on IDN Permissible Code Point Problems
http://www.icann.org/committees/idn/idn-codepoint-paper.htmMás información:
http://www.vsantivirus.com/vul-idn-spoofing-080205.htm
