• Tweet

CERT-MEXICO/Departamento de Seguridad en Computo/UNAM-CERT

Vulnerabilidades en Nombres de Dominio Internacionales

Introduccion

Desde que se reporto un problema de engaño (spoofing) en los nombres de dominio internacionales (IDN por sus siglas en ingles), se ha generado un intenso debate de quien es el culpable y por que esto actualmente constituye una vulnerabilidad.

El asunto parece ser simple. Actualmente, es posible registrar nombres de dominio bajo los dominios de alto nivel (TLD) como .com, los cuales utilizan un conjunto de caracteres nacionales como chinos, escandinavos, japoneses y otros. Esta gran variedad de caracteres puede ser utilizada para desplegar nombres de dominio, los cuales son muy similares a los dominios basados en los caracteres tradicionales ASCII.

Obviamente, esto puede ser explotado para engañar a la gente y hacerle creer que estan actualmente en un sitio web confiable en una forma mas convincente que los dominios basados usualmente en caracteres ASCII con omision de puntos, ligeros cambios en las letras, uso de "1" (uno) en lugar de la "l" (ele) , etcetera.

Por ejemplo, suponga que desea entrar a un banco como Banamex (en Mexico) y en lugar de entrar al sitio http://banamex.com.mx/eng/personal/login.html, es llevado a http://banarnex.com/ o http://boveda.banammex.com

Aquellos que estan en favor de usar dominios IDN, argumentan que ya sea que los vendedores de navegadores deberian proporcionar informacion al usuario cada vez que es visitado un dominio internacional con una indicacion clara de que se deberian utilizar listas negras de nombres de dominios y caracteres que podrian ser explotados para engañar a los usuarios.

Existen muchas  razones por las que ICANN, los vendedores de navegadores y otras partes deberian regresar al tema y reconsiderar la implementacion del estandar IDN antes que Microsoft libere Internet Explorer con soporte para IDN, ya que esto se expandira de forma masiva entre negocios legitimos, quienes intentaran proteger sus marcas y evitar fraudes tipo scam, de quienes desean obtener detalles de tarjetas de credito y otra informacion valiosa de los usuarios.

El problema

El problema es causado cuando un resultado involuntario de la implementacion de  IDN (International Domain Name), la cual permite usar caracteres internacionales en nombres de dominio.

Esto puede ser explotado al registrar nombres de dominio con ciertos caracteres internacionales que reensamblan otros caracteres usados comunmente, de tal forma que causa que el usuario crea que esta en un sitio confiable.

La solucion es no seguir ligas de fuentes no confiables, y por el contrario, escribir manualmente el URL en la barra de direcciones del navegador.

Sin embargo, ya existen medidas que estan tomando los fabricantes de navegadores, como es el caso de Firefox, que deshabilito el soporte para IDN como una defensa ante el phising. Otro caso es la barra de Netcraft, que al momento de ingresar a un sitio verifica si este no puede ser de procedencia dudosa, advirtiendo al usuario.

¿Como saber si es vulnerable-

Secunia  ha diseñado una pagina de prueba (http://secunia.com/multiple_browsers_idn_spoofing_test/), y en caso de ser vulnerable abre una pagina de Secunia con el URL: http://www.paypal.com/.

Conclusiones

Es claro que la Internet tiene un cierto grado de discrimincion de la parte del mundo que no habla ingles, solo un sub conjunto limitado de caracteres del estandar ASCII son permitidos en los nombres de dominio, el estandar IDN actualmente permite para cualquier persona una solucion muy facil que no descrimina a nadie y al mismo tiempo deja los dominios tan confiables como lo son actualmente:

Permite a los japoneses utilizar caracteres de su idioma bajo .jp, los chinos bajo .cn, los alemanes bajo .de, etc. Esto efectivamente limitara el uso de caractere nacionales a dominios nacionales y los usuarios,  quienes utilizan dichos caracters - esos usuarios tambien son los usuarios que confiaran en los beneficios del uso de caracteres nacionales.

Despues de todo, el  dominio de alto nivel (TLD por sus siglas en ingles) .com fue pensado para ser un dominio destinado al comercio que podria ser utilizado y accedido por los negocios de todo el mundo. Accediendo al dominio .com con letras chinas podria ser casi imposible utilizando un teclado ingles.

No podemos negar la importancia del uso de caracteres internacionales en la definicion de dominios, mas que ser un mal es provechoso para los usuarios que no son de habla inglesa. Sin embargo, las implementaciones de dicho estandar, exceptuando IE de Microsoft que aun no la ha realizado, sufren problemas de engaño (spoofing) que pueden derivar en los muy conocidos ataques de phishing scam, estafas repercutiendo en la economia de muchas personas y organizaciones.

Sistemas afectados actualmente

CVE: CAN-2005-0233 Mozilla Firefox
CVE: CAN-2005-0234 Safari
CVE: CAN-2005-0235 Opera
i-Nav de VefiSign
CVE: CAN-2005-0236 OmniWeb 5x
CVE: CAN-2005-0237 Konqueror
Netscape

Referencias

Secunia (www.secunia.org)
NetCraft (news.netcraft.com)

Fuente: UNAM-CERT  RML/