Cerca nel blog

2018/03/02

Che differenza c’è fra www.аpple.com e www.apple.com? Tanta

Graham Cluley segnala un bell’esperimento: riuscite a vedere cosa c’è che non va in аpple.com? Visivamente sembra a posto, ma la A è in cirillico (U+0430) e non è la A standard (U+0061). A occhio non sembra esserci differenza, ma a livello informatico ce n’è tanta.

I criminali informatici lo sanno e sfruttano questa distinzione quasi invisibile per creare siti identici a quelli originali i cui nomi sono visivamente identici a quelli originali. Questa tecnica si chiama IDN homograph attack o attacco omografico (IDN sta per  internationalized domain name, ossia “nome di dominio internazionalizzato”), e consente di avere un sito truffaldino che si chiama xn–pple-43d.com ma che viene visualizzato come аpple.com.

Soluzione: IDN Safe, per Chrome, Firefox e Opera: un add-on che vi avvisa quando visitate un sito che usa un nome di dominio internazionalizzato e ne blocca il caricamento.

Se volete approfondire l’argomento e leggere come è possibile trasformare, per esempio, "100.00€" in un documento visualizzato sullo schermo in "200.00€" quando si stampa quello stesso documento, il testo Unicode Security Considerations di Davis e Suignard è un ottimo punto di partenza.

22 commenti:

Fabio Quell'Altro ha detto...

è una guerra nella quale la political correctness, alla base dell'introduzione dell'internazionalizzazione dei nomi di dominio, ce la ritroviamo dietro che spinge.

ufffff ha detto...

Non ho capito come funzione l'attacco: ho provato ad andare su http://www.wіkіреdіа.org (non e' l'originle ma e' alterato con la a in cirillico) e sulla barra l'url appare decodificato, quindi si capisce che qualcosa non va. Dov'e' l'inghippo?

Guastulfo (Giuseppe) ha detto...

Non ci dovrebbe essere un problema con https?

Intendo dire il sito apple scritto in cirillico non dovrebbe un errore su https?

Dovrebbe almeno apparire che il sito non è gestito da Apple (o Microsoft o dalla banca X)

lucawaldner ha detto...

Ottima segnalazione, estensione installata, testata e funziona, grazie mille!

Mauro ha detto...

@Guastulfo (Giuseppe)
Crei (in Cina) una scietà, la chiami Apple
Compri un certificato da 10€
(Alzi la mano chi prima di visitare un sito controlla i dettagli sul proprietario del certificato)
Il problema, a mio avviso è che viviamo in un villaggio globale senza regole globali in cui chi organizza queste truffe la fa franca.
I siti web ospitati in paesi canaglia dovrebbero essere oscurati.

Stefano ha detto...

Sembra che Google, con Chrome (build 64.0.3282.186), sia già corsa ai ripari, mostrando nella barra inferiore del browser il link in formato Punycode (https://xn–pple-43d.com).

lucawaldner ha detto...

"Sembra che Google, con Chrome (build 64.0.3282.186), sia già corsa ai ripari, mostrando nella barra inferiore del browser il link in formato Punycode (https://xn–pple-43d.com)."

Io anche ho questa versione, facendo copia-incolla nella barra indirizzi dei due apparentemente identici URL presi dal titolo del post, quello farlocco chrome lo trasforma in "http://www.xn--pple-43d.com/" e non lo apre con motivo "ERR_NAME_NOT_RESOLVED".
Invece l'estensione segnalata lo blocca direttamente lei e lo segnala con l'icona che diventa rossa. Probabilmente con chrome ultima versione il risultato è analogo, ma una ulteriore sentinella non mi pare una cosa malvagia.

AmiC ha detto...

Pffft, pivelli, questi metodi li usavo per eludere i filtri di censura nei vari forum, ormai un ventennio fa!

Moreno ha detto...

Ciao

Mi è capitato recentemente un caso simile su whatsapp però qui sono stati leggermente meno furbi.
Air France offre 2 billets gratuits pour célébrer son 85e anniversaire. Obtenez vos billets gratuits à: http://www.airfrạnce.com/ .
La a ha un accento sotto che però risulta quasi invisibile dato la sottolineatura del link.

Pare proprio che questa sia la nuova frontiera dei cattivi.

Ciao, Moreno

Moreno ha detto...

Ciao

Mi è capitato recentemente un caso simile su whatsapp però qui sono stati leggermente meno furbi.
Air France offre 2 billets gratuits pour célébrer son 85e anniversaire. Obtenez vos billets gratuits à: http://www.airfrạnce.com/ .
La a ha un accento sotto che però risulta quasi invisibile dato la sottolineatura del link.

Pare proprio che questa sia la nuova frontiera dei cattivi.

Ciao, Moreno

FridayChild ha detto...

Grazie per la dritta, il vettore di attacco è in giro da un po' ma finora non avevo cercato contromisure; l'addon per il browser è l'uovo di colombo.

Guastulfo (Giuseppe) ha detto...

@Mauro
Crei (in Cina) una scietà, la chiami Apple
Compri un certificato da 10€


Grazie per la dritta non pensavo che questo si potesse fare.

(Alzi la mano chi prima di visitare un sito controlla i dettagli sul proprietario del certificato)

Ehm... Io.
Quando maneggi soldi non tuoi diventi paranoico. Infatti utilizzo password forti e non uso software come KeePass ma un file Excel che prima zippavo con cifratura AES, mentre ora lo conservo in due chiavette USB con crittografia hardware ma senza zipparlo, e spero di non aver fatto la cosa sbagliata.

Se mi fregassero le credenziali e mi svuotassro il conto passerei "dei brutti quarti d'ora" (eufemismo), specialmente se non riuscissi a dimostrare che ho usato tutte le precauzioni di cui sono capace per evitare pericoli del genere.

Per questo motivo ho chiesto e ottenuto di avere credenziali differenti da quelle del mio capo. Almeno così risponderò solo per i guai che posso combinare io.

Verzasoft ha detto...

"Facciamo i domini con qualunque carattere unicode. Cosa potrà mai andare storto?" E io pensai: ma che problema avete che l'ascii non vi basta più?.
"Facciamo i domini con qualunque estensione possibile immaginabile". E io pensai: aridaje n'altra cazzata.

MR ha detto...

marcello@MagenTyss-MacBook-Air ~ $ hexdump ~/apple1.txt
0000000 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 0a
000000e
marcello@MagenTyss-MacBook-Air ~ $ hexdump ~/apple2.txt
0000000 77 77 77 2e d0 b0 70 70 6c 65 2e 63 6f 6d 0a
000000f

Roberto ha detto...

Anche Firefox li decodifica già da tempo; per esempio, il wikipedia farlocco del secondo commento, nella barra degli indirizzi lo fa diventare: http://www.xn--wkd-8cdx9d7hbd.org/

Il Lupo della Luna ha detto...

Ok ma perché si è decisa sta cosa?

Allmobileworld Smartphone ha detto...

Direi che la notizia non è del tutto nuova.. se ne parla sulla rete da almeno aprile del 2017

Zlatanovich ha detto...

Grazie, sia per la dritta che per aver indicato un valido rimedio.

MR ha detto...

@Guastulfo, sarei interessato a capire perche' sei passato da KepassX ad Excel per memorizzare le password. Quest'ultimo e' closed source e potrebbe teoricamente "E.T. telefono casa"-are.
KeepassX e' opensource e non ha alcun fronzolo a parte la funzionalita' per la quale e' scritto.
Inoltre (come sai certamente) ha un generatore di password eccellente.

spacesurfer ha detto...

@Stefano
Anche Iron (fork di Chrome) build 60.0.3150.1 se tento di aprire il link mi mostra l'URL in Punycode.

Verzasoft ha detto...

@Lupo
Perché sono stupidi. Esattamente come quelli che hanno provato i sistemi di sicurezza di Chernobyl.

Gio Vanni ha detto...

Ma tutte queste estensioni non aumentano la superficie di attacco di una sessione di navigazione?
Non è meglio stare attenti a cosa si visita, piuttosto che avere estensioni (magari anche di autori affidabili, per carità) attive anche quando visiti (per esempio) il sito della tua banca?