حملات فیشینگ
آخرین نسخه Google Chrome که اوایل همین هفته منتشر شده است، چگونگی نمایش دامنه هایی که از حروف غیر لاتین استفاده می کنند را محدود کرد. این تغییر در جواب به تکنیک جدیدی است که هکرها با استفاده از آن سایت های phishing به شدت معتبر ایجاد می کردند.
توانایی ثبت دامنه هایی با استفاده از حروفی که در زبان هایی مانند عربی، چینی، عبری و یا دیگر زبان های که از حروف غیر لاتین استفاده می کنند به ده ها قبل باز می گردد. از سال 2009، شرکت ثبت نام ها و شمار های اینترنت که به نام ( ICANN ) شناخته می شوند نیز تائید کرده است که تعداد بسیار زیادی از دامنه های سطح بالا ( TDL ) با استفاده از این کاراکترها ثبت شده است.
هنگامی که در سیستم نام دامنه ها ( DNS ) استفاده می شود – کتاب آدرس اینترنت – نام دامنه های بین المللی به فرمت سازگار با ASCII تبدیل شده و از سیستمی به نام Punycode استفاده می کنند. اگرچه، هنگامی که درون مرورگرها و دیگر برنامه هایی که از فرمت ASCII پشتیبانی می نمایند به کاربران نمایش داده می شود، آنها به صورت کاراکترهای غیر لاتین نمایش داده شده تا میلیاردها کاربر اینترنت بتوانند نام دامنه ها را به زبان خودشان مشاهده نمایند.
اگرچه این امر برای استفاده کاربران بسیار مفید است، اما استفاده از نام دامنه های بین المللی مشکلات امنیتی را به وجود می آورد چرا که بعضی از کاراکترها بسیار شبیه به کاراکترهای لاتین بوده و از این امر می توان برای ایجاد URL های غیرواقعی استفاده نمود. به طور مثال، حرف ” a ” در زبان سیلیریک و لاتین به یک صورت نمایش داده می شود اما با این حال کاراکترهای متفاوتی بوده و مقدار Unicode متفاوتی نیز دارند: U+0430 و U+0061.
این شباهت این امکان را می دهد تا یک نام دامنه با اسم apple.com ایجاد شود و حرف ” a ” آن از حروف زبان سیریلیک استفاده نمایند و باقی حروف از زبان لاتین استفاده شود. از این نام دامنه می توان برای ایجاد یک وبسایت فیشینگ استفاده نمود و تشخیص آن بسیار سخت خواهد بود چراکه در هر دو صورت آن را به صورت apple.com نشان خواهد داد.
جلوگیری از حملات Homograph
برای جلوگیری از این به اصطلاح حملات homograph، مرورگرها مجموعه ای از بررسی های پیچیده را انجام داده تا مشخص نمایند که بهتر است نام دامنه ها به صورت اصلی نمایش داده شود و یا معادل آنها در Punycode. یکی از قوانینی که آن را بررسی می کنند آن است که اگر کاراکترهای آن ترکیبی از لاتین، سیریلیک و یا یونانی باشد، همیشه Punycode استفاده می شود.
نسخه Punycode نام دامنه apple.com که در حرف ” a ” آن از سیلیریک استفاده شده بود معادل: xn—pple-43d.com خواهد بود. کاربران در نوار آدرس مرورگر این آدرس را مشاهده خواهند نمود.
با این حال، همه چیز فراتر نیز می باشد، یک توسعه دهنده برنامه تحت وب به نام Xudong Zheng متوجه شده است برای بعضی از نام دامنه ها و یا برندها می توان تمام حروف آن را با کارکترهایی که شبیه آنها هستند جایگزین نمود. به طور مثال، برای تمامی حروف apple کاراکتر معادل در زیان سریلیک وجود دارد. در این صورت، فیلتر توضیح داده شده عمل نکرده زیرا هیچ ترکیبی در متن وجود ندارد.
برای اثبات آن، Xudong اخیرا یک دامنه با اسم xn—80ak6aa92e.com ثبت کرده است و یک وب سایت راه اندازی نموده که دقیقا شبیه آدرس apple.com می باشد و در chrome، Firefox و یا Opera و در Windows و Linux قابل مشاهده است. در سیستم عامل MacOS کاراکتر ” l ” کمی متفاوت به نظر می رسد، اما همچنان بسیار شبیه می باشد.
Xudo ng ای مشکل را برای توسعه دهندگان مرورگر ارسال کرده و Google این مشکل را در روز چهارشنبه در Chrome 58 برطرف نموده است. یک بررسی دیگر به سیاست دامنه های بین المللی خود اضافه نموده است. اگر تمامی حروف شبیه لاتین بوده و اگر نام دامنه سطح بالای آن بین المللی نیز نباشد باز هم فرمت Punycode آن را نمایش می دهد. این نشان می دهد که این بررسی فقط بر روی دامنه هایی مانند .com، .net ، .org ، .uk ، .de و مانند آن اعمال می شود.
سیاست نمایش آدرس ها در Google Chrome از 10 بررسی مختلف تشکیل شده است و نشان می دهد که جلوگیری از سوء استفاده از نام دامنه ها و پوشش تمامی حالات چقدر سخت می باشد.