Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Taller de TIC aplicadas a la enseñanza
Blog de Profesor Mario Freschinaldi
//24 de Abril, 2017

Revelan una forma de engañar a los navegadores para que lleven a sitios falsos

por mariof2005 a las 19:17, en SEGURIDAD INFORMÁTICA

Un programador chino descubrió que los principales navegadores mostrarán direcciones legítimas que apuntan a servidores maliciosos mediante un truco muy simple

LA NACION
16

Porque siempre hay una nueva rendija por donde colar código malicioso, un desarrollador de aplicaciones Web llamado Xudong Zheng descubrió un tipo de phishing que es virtualmente imposible de detectar.

En el phishing, los estafadores envían a sus potenciales víctimas un mail en el que, con algún pretexto verosímil, las urgen a hacer clic en un vínculo. Por ejemplo, les informan sobre una compra hecha con la tarjeta de crédito en el sitio de Apple (www.apple.com). Asustados, muchos usuarios no verifican la legitimidad de la dirección Web y entregan su nombre de usuario, contraseña y otros datos sensibles.

La única forma de evitar esta clase de engaño es revisar que en la barra de direcciones diga, para el caso antes citado, https://www.apple.com. ¿Qué hacemos si dice https://www.apple.com? Confiamos. Así dicen las más básicas normas de seguridad.

Lo que vino a descubrir Xudong Zheng es que se puede engañar a los principales navegadores (Chrome, Firefox, Opera) para que utilicen ciertos caracteres de idiomas como el cirílico, cuyo aspecto es idéntico al de letras del inglés, y así componer un dominio que se ve igual, pero que es por completo falso. Tal táctica se conoce como ataque homógrafo de dominios internacionalizados.

A principios de este año, Google llevó a los tribunales a Vitaly Popov, un spammer ruso que tenía registrado un sitio con un dominio similar a google.com, pero reemplazando la G con la versión cirílica (se ve como una G mayúscula, pero el caracter tiene la misma altura de las demás letras minúsculas).

Entra en escena Punycode, que sirve para registrar dominios internacionalizados que contienen caracteres en Unicode con el más limitado conjunto ASCII. Los navegadores poseen un mecanismo para revelar los ataques homógrafos cuando las direcciones contienen caracteres de varios lenguajes diferentes. Pero hecha la ley, hecha la trampa. Si se logran encontrar letras de un solo idioma que coincidan con las del inglés, el filtro falla. Así, una dirección que se ve igual a la de Apple, pero que es falsa, tendría en realidad este aspecto:

https://xn--80ak6aa92e.com

El sitio de prueba creado por Xudong Zheng; la dirección dice www.apple.com, pero es sólo una apariencia
El sitio de prueba creado por Xudong Zheng; la dirección dice www.apple.com, pero es sólo una apariencia.

Pero sólo en Firefox puede forzarse al navegador a mostrar el código en Punycode.

Entre tanto, Mozilla está considerando cómo resolverá la situación, y Google lanzará un parche para evitar esta peligrosa forma de engaño en las próximas semanas, cuando salga la versión 58 de Chrome (ahora está en la 57.0.2987.133).

Los usuarios de Firefox pueden activar la función que muestra la dirección en Punycode y la revela siempre en Unicode, y así evitar los ataques homógrafos. Para eso hay que escribir en la barra del navegador la dirección:

about:config

El aviso de que entrar en esta sección de Firefox desactivará tu garantía es una broma. Podés hacer clic En "¡Acepto el riesgo!" sin problema. Aunque, ciertamente, no es buena idea estar cambiando cosas aquí sin saber exactamente lo que hacés.

Luego, hay que buscar "Punycode". Aparecerá una sola línea, algo críptica:

network.IDN_show_punycode

IDN viene de Internationalized Domain Names. Ese valor está, de forma predeterminada, en Falso (es decir, Desactivado); o sea, no muestra las direcciones en Punycode. Con un doble clic se lo pasa a modo Verdadero. De esta forma, las direcciones homógrafas que contienen IDN con caracteres de un sólo lenguaje se delatarán cuando entremos en el sitio.

Aquí, una demostración creada por el desarrollador chino para probar la vulnerabilidad.

Palabras claves , , , , , , , , , , , ,
Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Esta entrada no admite comentarios.
Sobre mí
FOTO

Héctor Mario Freschinaldi

Mail: enviotp@gmail.com
En AS.: JVG CA Taller TIC (su nombre y apellido)

En un mundo donde los cambios se suceden vertiginosamente, incluso los tecnológicos, es menester asimilar las nuevas tecnologías para su aplicación inmediata y a futuro.

Ver perfil

Secciones
Inicio
Contacto
Tópicos
COMUNICADO (5)
INFORMACIÓN TECNOLÓGICA (143)
NOTICIAS para el debate (59)
NOTIFICACIONES (6)
PRÁCTICAS (8)
PROGRAMAS (2)
SEGURIDAD INFORMÁTICA (97)
TEORÍA (79)
TRABAJO FINAL (3)
Nube de tags  [?]
Enlaces
Calendario
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
Más leídos
10 aplicaciones útiles para llevar a todos lados 10 en un pendrive
10 Herramientas para Profesores creativos
15 buscadores para web profunda #OSINT (15 deep web search)
150 herramientas didácticas gratuitas para crear materiales educativos con tics
Alternativas para los que no quieran seguir usando WhatsApp
Así comprime la información tu computadora
Los peligros para los menores en Internet
Tecnología educativa Política, historias, propuestas
Trabajo Práctico 002A
WORD AUTORESUMEN
FULLServices Network | Blog profesional | Privacidad