Полезная информация

Общайтесь со знакомыми и друзьями в нашем сообществе в Facebook.

№107-02-2005 23:01:37

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Новый способ фишинг-атаки

Тестовая страница на которой показана возможность подмены адреса - http://www.shmoo.com/idn/

Нажмите на ней любую из ссылок

Click here to enter paypal
Click here to enter paypal via ssl

Удивитесь новому интерфейсу сайта http://www.pаypal.com/ :-)

Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.

В браузерах семейства Mozilla уязвимость можно обойти, установив переменную network.enableIDN в false (хотя вы тогда лишитесь поддержки IDN)


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№207-02-2005 23:07:25

arvin
Участник
 
Группа: Members
Откуда: Волгоград
Зарегистрирован: 20-10-2004
Сообщений: 201

Re: Новый способ фишинг-атаки

подскажите неучу, а что такое IDN ?


Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615

Отсутствует

 

№308-02-2005 00:08:53

lcraFTl
Участник
 
Группа: Extensions
Откуда: Latvia
Зарегистрирован: 17-01-2005
Сообщений: 1461

Re: Новый способ фишинг-атаки

Так развести так можно же, а заплатка есть для Mozilla ?

Отсутствует

 

№408-02-2005 01:00:56

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Новый способ фишинг-атаки

подскажите неучу, а что такое IDN

Интернационализированные доменные имена, то бишь доменные имена с не-латинскими буквами (типа www.москва.ru )
http://en.wikipedia.org/wiki/Internationalized_domain_names

Если внимательно посмотреть на открывшуюся ссылку, то можно заметить что в слове paypal буквы a имеют неодинаковую высоту.

Грубо говоря уязвимость такова - вы регистрируете сайт www.paypаl.com. При этом одна "a" в имени сайта латинская, вторая "a" - русская.
С точки зрения браузера это совершенно разные сайты. С точки зрения юзера - URL в строке адреса будет выглядеть абсолютно одинаково и если он не будет разглядывать URL под микроскопом или не смотреть HTTP-заголовки, он легко поведется.
Неуязвимость IE к атаке обьясняется тем что он не понимает IDN без специального плагина. С плагином IE тоже уязвим.

Так развести так можно же, а заплатка есть для Mozilla ?

Workaround я привел выше. Заплатки пока нет.

Дискуссия на Slashdot, если кому интересно -  http://it.slashdot.org/article.pl?sid=05/02/07/1323206&tid=172&tid=113&tid=154&tid=95&tid=1


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№508-02-2005 01:03:06

hedgehog
Участник
 
Группа: Members
Зарегистрирован: 11-11-2004
Сообщений: 134

Re: Новый способ фишинг-атаки

Уязвимость существует в Firefox 1.0, Camino .8.5, Mozilla 1.6, Safari 1.2.5, Opera 7.54, Omniweb 5.
Не существует в IE.

Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.
А что касается ИЕ так (по крайней мере 5 и 5.5 версии) просто не поддерживает эту фишку :)
а любимый wget говорит "Resolving www.p%e0ypal.com ... failed: Host not found." :))

Так развести так можно же, а заплатка есть для Mozilla ?

А, простите, от чего заплатка-то ? :)  это же все-таки не уязвимость в полном смысле :)

P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре :)
тег URL не использовался :))


Люби себя, чихай на всех – и в жизни ждет тебя успех!
© Чертёнок №13

Отсутствует

 

№608-02-2005 01:14:36

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Новый способ фишинг-атаки

Ну уязвимость это слишком громко сказано, с поддержкой Internationalized Domain Names никуда от похожести адресов не денешься.

Это конечно не уязвимость в чистом виде, но это будет серьезной проблемой для многих пользователей.
Я уверен для пользователей Mozilla что-нибудь придумают.
А тем кто юзает Operу повезло меньше:
http://www.shmoo.com/idn/homograph.txt

VI.    Vendor Responses

Verisign: No response yet.
Apple:  No response yet.
Opera:  They believe they have correctly implemented IDN, and will not be
making any changes.
Mozilla:  Working on finding a good long-term solution; provided clear
workaround for disabling IDN.


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№708-02-2005 01:17:37

lcraFTl
Участник
 
Группа: Extensions
Откуда: Latvia
Зарегистрирован: 17-01-2005
Сообщений: 1461

Re: Новый способ фишинг-атаки

Я теперь понял, это не баг, это просто такая подмашка, хее буду знать :)) .....

Отсутствует

 

№808-02-2005 01:18:13

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Новый способ фишинг-атаки

P.S. на счет похожести... обратите внимание на написание адреса в "Resolving..." и в статус-баре :)
тег URL не использовался :))

Я тоже это заметил, но только потому что внимательно смотрел.
Не все смотрят на строку статуса, к тому же она у меня открывается слишком быстро - довольно трудно заметить.


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№908-02-2005 01:27:34

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Новый способ фишинг-атаки

Вышло предупреждение от Secunia - http://secunia.com/multiple_browsers_idn_spoofing_test/

The problem is caused due to an unintended result of the IDN (International Domain Name) implementation, which allows using international characters in domain names.

This can be exploited by registering domain names with certain international characters that resembles other commonly used characters, thereby causing the user to believe they are on a trusted site.

Уязвимы:
Mozilla 1.7.x
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Opera 7.x
OmniWeb 5.x
Konqueror 3.x
Netscape 7.x
Safari 1.x

Solution:
Don't follow links from untrusted sources.

Manually type the URL in the address bar.


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№1008-02-2005 17:21:09

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
Веб-сайт

Re: Новый способ фишинг-атаки

Правкой файла userContent.css можно изменить курсор для Java - ссылок. Может, можно что-нибудь подобное и для обсуждаемых здесь ссылок ?


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№1108-02-2005 22:08:57

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
Веб-сайт

Re: Новый способ фишинг-атаки

Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.

Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№1208-02-2005 23:06:24

lcraFTl
Участник
 
Группа: Extensions
Откуда: Latvia
Зарегистрирован: 17-01-2005
Сообщений: 1461

Re: Новый способ фишинг-атаки

Появилась идея, как предупредить пользователя FF о подобных нехороших ссылках.
Почитал учебник по JavaScript и интереса ради дополнил расширение TooltipEnhancer 0.4.1.
Теперь оно у меня на ссылках, которые содержат нелатинские символы, показывает подсказку такого вида: "!!!!! -> http://...", то есть, как бы предупреждение. К alt/title тегам (которые TooltipEnhancer тоже отображает) это не относится, только к ссылкам.

Просьба поставить в известность автора расширения (на английском написать не смогу).
Домашняя страничка расширения, судя по записи в файле install.rdf, http://www.krickelkrackel.de/tooltipenh … nhhelp.htm. Скачивал я его отсюда: http://www.extensionsmirror.nl/extfiref … _0.4.1.xpi.

Реальную вещь сделал Anton:)
Только в расширении придётся ставить "Use always..." получиться что всегда будут отображаться ссылки, что не очень удобно, или придёться включать F11 когда делаешь какие-либо важные дела в инете. А можешь ли сделать так чтобы показывалось !!! только когда кириллица?
Напиши по русски что ему написать, я напишу автору.

Отсутствует

 

№1309-02-2005 13:24:38

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
Веб-сайт

Re: Новый способ фишинг-атаки

А можешь ли сделать так чтобы показывалось !!! только когда кириллица?

lcraFTl, я не понял вопрос.
В "общем случае" - не смогу поправить. Я не умею писать на XUL, только JS, и то слабо.
Если надо, и если более подробно описать проблему, могу попробовать, но не более того.

Напиши по русски что ему написать, я напишу автору.

"Так и так, ваше расширение было изменено и выложено на всеобщее обозрение на http://forum.mozilla.ru". Ну и описание, что оно "научилось" делать.
Это его собственность, пусть имеет ввиду, может сделает лучше.


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№1415-02-2005 19:53:41

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Новый способ фишинг-атаки

Как Mozilla.org собирается решить проблему с IDN

Вкратце:
Краткосрочное решение:
1) В Firefox 1.0.1 и Mozilla 1.8 beta IDN будет отключен.
2) На сайте Mozilla будет доступно расширение, позволяюшее его включить

Долгосрочное решение:
1) В Firefox 1.1 вероятно будет введен белый список сайтов, для которых будет включен IDN.


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№1517-02-2005 17:27:45

FUBAr
Участник
 
Группа: Members
Откуда: В тундре, на кимберлите сидит.
Зарегистрирован: 27-10-2004
Сообщений: 868
Веб-сайт

Re: Новый способ фишинг-атаки

Метод древний и не новый


Сноси несвободное, отрубай от матриц

Отсутствует

 

№1617-02-2005 23:13:22

arvin
Участник
 
Группа: Members
Откуда: Волгоград
Зарегистрирован: 20-10-2004
Сообщений: 201

Re: Новый способ фишинг-атаки

на http://www.extensionsmirror.nl/ появилось расширение  которое при посещении таких сайтов изменяет цвет адресной строки на розовый


Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615

Отсутствует

 

№1718-02-2005 16:54:40

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
Веб-сайт

Re: Новый способ фишинг-атаки

arvin, а как оно называется ? А то ссылка не работает, а расширения там по алфавиту, 37 страниц.
Я нашел два - IDND_1.0 и SpoofStick_1.05, но, судя по ?showtopic это не ваша ссылка.


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№1818-02-2005 17:01:10

arvin
Участник
 
Группа: Members
Откуда: Волгоград
Зарегистрирован: 20-10-2004
Сообщений: 201

Re: Новый способ фишинг-атаки

странно, расширение продержалось там недолго, видимо его удалили, называлось оно IDN Show 0.1.1 оно есть здесь
IDND_1.0 это расширение выполняет тоже действие как я понял


Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 - Build ID: 2006120418
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.8.1.2pre) Gecko/20070116 Thunderbird/2.0b2 - Build ID: 2007011615

Отсутствует

 

№1923-02-2005 07:27:44

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
Веб-сайт

Re: Новый способ фишинг-атаки

Сделал свое собственное расширение :)

Исправил парсер URL - теперь не должно быть ложных срабатываний.
Можно настроить отображение alt/title тегов и URL отдельно для обычного и полноэкранного режимов.

Проверял ТОЛЬКО на FF 1.0 с русской локалью.

Пользуйтесь.


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]