Το ηλεκτρονικό “ψάρεμα” με παραφροσύνη διευθύνσεων URL συνεχίζει στο Safari 4

Λοιπόν είναι δύσκολο να πιστέψουμε, αλλά η νέα έκδοση της Apple’s browser “Safari 4” εξακολουθεί να είναι ευάλωτη στις τεχνικές παραμόρφωσης διευθύνσεων URL. Όλοι οι άλλοι προμηθευτές προγραμμάτων περιήγησης, είτε είναι ο Internet Explorer, ο Firefox, το Opera ή το Chrome, έχουν διορθώσει αυτό το ζήτημα εδώ και πολύ καιρό. Ωστόσο, ο καθένας είχε διορθώσει αυτό το ζήτημα χρησιμοποιώντας εντελώς διαφορετικές λύσεις, οι οποίες φέρνουν το ερώτημα που πρέπει’t ακολουθούν ένα κοινό πρότυπο ??


Για όσους από εσάς δεν παίζετε’δεν ξέρω ποια είναι η παραμόρφωση της διεύθυνσης URL, είναι μια παλιά τεχνική που χρησιμοποιούν οι phishers για να παραβιάζουν νόμιμους ιστότοπους όπως δημοφιλείς τράπεζες κλπ. Ο phisher θα στείλει ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυρίζονται ότι έρχονται από την τράπεζά σας και αν πέσετε για το spoof, παραιτώντας τα διαπιστευτήριά σας. Μεταξύ των δημοφιλών τεχνικών, αυτή που αισθάνομαι είναι η πιο σημαντική, καθώς προσπαθεί να εκμεταλλευτεί την ενσωματωμένη επαλήθευση συνδέσμων η οποία γίνεται χρησιμοποιώντας μια μορφή url http: // username: [email protected]. Ένας εισβολέας μπορεί να χρησιμοποιήσει υπερβολικά μακρές διευθύνσεις URL για να αποκρύψετε τελείως το ύποπτο μέρος στη γραμμή διευθύνσεών σας που είναι “@ evilwebsite.com” ή κάτι τέτοιο “@evilwebsiteip (xx.xx.xx.xx)” με διαφορετικές μεθόδους κωδικοποίησης αριθμών.

Για τις δοκιμές μου, έκανα τα εξής: {Σημείωση: Η IP άλλαξε από την τελευταία θέση, οι εικόνες έχουν παλαιό IP}

1. Έχω επικολλήσει αυτήν τη διεύθυνση URL στο πρόγραμμα περιήγησης’της γραμμής διευθύνσεων

2. Επέτρεξα σε αυτήν την υπερσύνδεση και παρατήρησα το STATUS BAR μου [Width Window should be <= 1024]

Εδώ είναι τα αποτελέσματα:

Safari 4.0 (530.17): Το Safari είναι ευάλωτο σε αυτήν την εκμετάλλευση. Δεν λαμβάνει μέτρα για να μετριάσει αυτό το πρόβλημα. Στη γραμμή διευθύνσεων, η υπερβολικά μεγάλη διεύθυνση URL συνεχίζει να εμφανίζεται όπως είναι μετά την ανοιχτή ιστοσελίδα και κατά συνέπεια ένας κανονικός χρήστης είναι πολύ πιθανό να πέσει θύμα αυτής της επίθεσης phishing (δείτε την παρακάτω εικόνα). Επίσης, η γραμμή κατάστασης είναι απενεργοποιημένη από προεπιλογή. Δεδομένου ότι οι περισσότεροι χρήστες δεν’t αλλάξετε τις προεπιλεγμένες ρυθμίσεις, ο χρήστης είναι και πάλι πιο πιθανό να πέσει θύμα θανάτου όταν κάνει κλικ σε μια υπερ-σύνδεση κάπου στον ιστό. Εάν έχετε ενεργοποιήσει ρητά τη γραμμή κατάστασης, τότε μπορεί να εντοπίσετε τον κακό ιστότοπο. Ο λόγος είναι ότι το Safari κάνει μια περικοπή στη long url τοποθετώντας “..” στη μέση, έτσι θα δείτε το ύποπτο μέρος στο τέλος.

6__500x400_urlobfuscation16__500x400_urlobfuscation1

Opera 9.64: Η Όπερα έχει κάποιες στρατηγικές μετριασμού για την προστασία από αυτή την εκμετάλλευση. Θα δημιουργήσει ένα αναδυόμενο παράθυρο που ειδοποιεί το χρήστη ότι ένα όνομα χρήστη εισάγεται ως μέρος της διεύθυνσης URL. Το όνομα χρήστη στο μήνυμα λάθους μπορεί να είναι λίγο συγκεχυμένο για τον χρήστη και ιδανικά θα έπρεπε να τοποθετήσει το όνομα / ip του κακού site που είναι μια καλύτερη ένδειξη (αυτή που χρησιμοποιεί ο Firefox). Ένα άλλο θλιβερό κομμάτι είναι “ΝΑΙ” είναι η προεπιλεγμένη επιλογή. Επομένως, εάν ένας χρήστης δεν καταλάβει το μήνυμα ή πιέσει τυχαία “ΕΙΣΑΓΩ” (που οι περισσότεροι άνθρωποι κάνουν όταν βλέπουν τα αναδυόμενα παράθυρα), θα μπορούσαν να γίνουν θύματα αυτής της επίθεσης phishing. Όσον αφορά το τμήμα της γραμμής κατάστασης, όταν τοποθετείτε το δείκτη του ποντικιού πάνω από υπερβολικά μεγάλο χρονικό διάστημα, η Όπερα το κόβει στο τέλος (το οποίο είναι κακό) έτσι κερδίσατε’βλέπετε τις κακές πληροφορίες ιστότοπου στο τέλος της διεύθυνσης URL.

9__500x400_urlobfuscation49__500x400_urlobfuscation4

Chrome 2.0.172.31: Η διευκρινισμένη διεύθυνση URL λειτουργεί στο Google Chrome, ωστόσο η Google έχει λάβει σημαντικά μέτρα μετριασμού για να αποτρέψει το phishing εντελώς. Το πρώτο πράγμα που δεν εμφανίζουν το “όνομα χρήστη κωδικός@” μέρος της διεύθυνσης URL όταν τοποθετείτε το δείκτη του ποντικιού πάνω από έναν σύνδεσμο. Το δεύτερο πράγμα που κάνουν είναι να απογυμνώσουν το “όνομα χρήστη κωδικός@” μέρος της διεύθυνσης URL κατά την επίσκεψη αυτής της διεύθυνσης URL, οπότε ένας χρήστης βλέπει με σαφήνεια το κακό όνομα ιστότοπου ή το ip. Αυτό σίγουρα κάνει τον χρήστη ύποπτο και συνεπώς κερδίσει’t πτώση για την εκμετάλλευση. Το τελευταίο πράγμα που κάνουν είναι να μετατρέψουν τις δεκαδικές διευθύνσεις σε διακεκομμένη τετράδα.

7__500x400_urlobfuscation27__500x400_urlobfuscation2

Internet Explorer 7.0.5730.13: Ο Internet Explorer σταμάτησε να υποστηρίζει τη μορφή url που βασίζεται στη σύνδεση από το IE7 και μετά. Επιπλέον, εάν βάλετε αυτές τις μεγάλες διευθύνσεις URL σε υπερσυνδέσμους, κέρδισαν’t λειτουργεί ακόμη και αν ο χρήστης κάνει κλικ σε αυτά. Έτσι, ΝΑΙ, δεν είστε ευάλωτοι σε αυτή την εκμετάλλευση στο IE. Ωστόσο, ανησυχώ με το μήνυμα σφάλματος που τέθηκε “Δεν είναι δυνατή η εύρεση των Windows …” όταν ένας χρήστης προσπαθεί να έχει πρόσβαση σε τέτοιες διευθύνσεις URL. Πιστεύω πραγματικά ότι η Microsoft θα πρέπει να βελτιώσει το περιεχόμενο αυτού του μηνύματος, διαφορετικά ένας κανονικός χρήστης μπορεί να πιστεύει ότι ο IE δεν είναι σε θέση να ανοίξει τέτοιες διευθύνσεις URL και ίσως προσπαθήσει να χρησιμοποιήσει άλλα προγράμματα περιήγησης όπως το Safari, όπου γίνονται θύματα του phishing.

8__500x400_urlobfuscation38__500x400_urlobfuscation3

Firefox 3.5 Beta 4: Τελευταίο, αλλά όχι το λιγότερο Firefox. Μου αρέσει πολύ ο Firefox που αποφασίζει έξυπνα το περιεχόμενο μηνυμάτων σφάλματος. Εάν ο ιστότοπός σας δεν υποστηρίζει τον βασικό έλεγχο ταυτότητας HTTP, δεν μπορεί να υπάρξει καμιά χρήση του χρήστη που παρέχει τα διαπιστευτήρια του auth. Έτσι, δημιουργεί ένα σημαντικό μήνυμα ότι είστε εξαπατημένοι. Περιλαμβάνει επίσης το κακό σημείο’s όνομα ή ip και επιβεβαιώνει μαζί σας αν θέλετε να πάτε εκεί. Επίσης, “ΟΧΙ” είναι η προεπιλεγμένη επιλογή. Υπάρχει σχεδόν 0% πιθανότητα ένα άτομο να πέσει θύμα αυτής της επίθεσης phishing εδώ. Όσον αφορά το τμήμα της γραμμής κατάστασης, όταν τοποθετείτε το δείκτη του ποντικιού σε υπερβολικά μεγάλο χρονικό διάστημα, ο Firefox το περικόπτει στο τέλος (ακριβώς όπως η Όπερα που είναι κακή) έτσι κερδίσατε’βλέπετε τις κακές πληροφορίες ιστότοπου στο τέλος της διεύθυνσης URL.

10__500x400_urlobfuscation510__500x400_urlobfuscation5

Πιστεύω ότι οι κοινές τεχνικές μετριασμού πρέπει να εφαρμόζονται ομοιόμορφα σε όλα τα προγράμματα περιήγησης. Αν συνδυάσουμε τις τεχνικές που χρησιμοποιούνται από το Firefox και το Chrome, μπορούμε να έχουμε το καλύτερο και των δύο κόσμων, το οποίο θα συνεχίσει να υποστηρίζει την εξακρίβωση ταυτότητας βάσει συνδέσμου και τον περιορισμό των ευπαθειών ασφαλείας που προκύπτουν από την παραμόρφωση του url με υπερβολικά μεγάλες διευθύνσεις URL.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me