Verisign защищает .com и .net от новых взломов гомоглифов
Google и US CERT проигнорировали проблему.
Verisign, которая управляет реестрами .com и .net, внедрила изменения в свои правила, чтобы предотвратить регистрацию поддельных, похожих доменов, с использованием символов расширения международного фонетического алфавита Unicode, которые визуально похожи на стандартные буквы, такие как a, g и i, но являются обрабатываются по-разному компьютерными системами

Исследователь вендора безопасности Мэтт Хэмилтон успешно зарегистрировал ведро у облачного провайдера с символом смайликов Юникод в ноябре 2019 года.

Ему было любопытно, можно ли было зарегистрировать гомоглифы IPA Unicode Latin в именах блоков и поддоменах, что и было.

«Затем я проверил, можно ли зарегистрировать домены с этими символами-гомоглифами. Это правда», - сказал Гамильтон .

Затем Гамильтон потратил примерно 400 долларов США на регистрацию набора из 17 доменов .com, используя гомоглифы Международного фонетического алфавитного расширения для демонстрации уязвимости.

Он смог зарегистрировать доменные имена, которые обманчиво похожи на известные интернет-бренды и свойства, такие как amazon.com, apple.com, gmail.com, netflix, com, theguardian.com и другие.

Гамильтон сказал, что из трех гомоглифов голосовая остановка велюра является наиболее убедительным символом, который почти неотличим от его латинского аналога.

Латинский альфа-гомоглиф также очень убедителен, особенно когда он не соседствует со стандартной латинской буквой.

Другой похожий символ, латинская йота, является наименее убедительным из трех, и в некоторых системах шрифты выглядят как строчные буквы L, а не как латинская буква i.

Исследователь пообещал бесплатно передать регистрацию гомоглифированных доменов владельцам негомографических эквивалентов.

Verisign признал проблему и поблагодарил Гамильтона за то, что он привлек внимание компании.

«Хотя основная проблема, описанная г-ном Гамильтоном, хорошо понята мировым интернет-сообществом и является предметом активной разработки политики ICANN [Интернет-корпорацией по присвоению имен и номеров], мы ценим его своевременное предоставление дополнительных подробных сведений о том, как решить эту проблему. могут быть использованы ", сказал Verisign.

«Хотя мы понимаем, что ICANN находится на пути решения этих проблем в глобальном масштабе, мы также активно обновили наши системы и получили необходимое одобрение ICANN для внесения изменений в домены верхнего уровня .com и .net, необходимые для предотвращения конкретные типы регистраций гомографов с ошибками, описанные в отчете г-на Гамильтона », - добавил оператор рДВУ.

Атаки с помощью гомографов и гомоглифов - это известная проблема, позволяющая злонамеренным пользователям, например, заменять латинский символ на кириллицу a, чтобы создавать локаторы ресурсов, которые обманчиво похожи на легитимные.

Verisign знал об этой проблеме и реализовал антигомографические меры, такие как запрет на использование смешанных сценариев для регистрации доменов.

Гамильтон обнаружил, что можно было обойти правила регистрации Verisign, если бы одинаковые символы Unicode были латинскими расширениями IPA.

Помимо Verisign, Amazon Web Services S3 устраняет эту уязвимость, предотвращая регистрации, начинающиеся с Punycode «xn--», который используется для символов Unicode.

Гамильтон также сообщил об уязвимости Google, компании облачного хранилища Wasabi, DigitalOcean, и в феврале уведомил их, что проблема была реклассифицирована как нулевой день после обнаружения поддельных сертификатов HTTPS и неофициальной библиотеки Javascript, размещенной в неназванном, но выдающемся домене, с использованием омографа. похожие персонажи.

Однако вышеупомянутая инфраструктура как поставщик услуг не получила ответа.

В то время как Google запрещает создание сегментов, содержащих в названии "google" или близких орфографических ошибок, таких как "g00gle", Гамильтон сказал, что можно зарегистрировать те, которые используют гомоглифы Unicode Latin IPA Extension.

Он также связался с группой реагирования на компьютерные инциденты в США (US CERT) по поводу уязвимости, но не получил от них ответа.

Гамильтон считает, что уязвимость злоупотребляла в течение последних трех лет, 

«В период с 2017 года по сегодняшний день более десятка доменов гомографии имеют активные сертификаты HTTPS», - сказал Гамильтон.

«Это включает в себя известные финансовые, интернет-магазины, технологии и другие сайты Fortune 100».

«Нет законного или не мошеннического обоснования этой деятельности», - добавил он.