IDN y la seguridad en Internet
El mes pasado se hizo relativamente famoso un tipo de engaño conocido como IDN spoofing o ataques homográficos. Básicamente se trata de que en un correo o página maliciosa, aparece un enlace de una supesta empresa seria (un banco, una tienda online), pero el enlace en realidad lleva a otra página sin que el usuario se entere, que imita la original. Así, el usuario engañado podría introducir datos sensibles en esa página falsa. En varios medios (como aquí) apareció como noticia el hecho de que el Explorer era el único inmune a esos ataques, que si bien no es mentira, lo cierto es que es imune por no tener implementada la funcionalidad de IDN (luego veremos qué es eso), y se hacía hincapie en que el problema se debía a un error en la implementación IDN de los navegadores afectados. 
Ese mismo mes, se publicó la noticia de la última actualización del navegador Firefox (excelente navegador que recomiendo a todo el mundo) corregía una serie de vulnerabilidades (el que esté libre de pecado, que tire la primera piedra) y mencionaba nuevamente que una de ellas era el error en el uso de IDN.
Vale, pero ¿qué es esto del IDN? IDN son las siglas de International Domain Names, y es un estándar que permite utilizar caracteres internacionales en los nombres de dominio. De todos es conocida la limitación de los nombres de dominio tradicionales, que no podían contener eñes ni vocales acentuadas (y no digamos ya caracteres japoneses). El IDN supera esta limitación permitiendo el uso de caracteres Unicode, que es un estandar para la representación de todo tipo de caracteres de todos los lenguajes del mundo (incluso hay un borrador para incluir las runas de los lenguajes inventados por Tolkien). De esta manera, podríamos tener dominios como www.españa-cañí.es o www.jamón.com que antes era imposible. Aunque el estándar comenzó a crearse a finales de los 90 y los ataques homográficos ya se advirtieron en 2001, hasta hace poco no había demasiados navegadores que lo implementaran, ni demasiados dominios que lo utilizaran.
¡Fantástico! Entonces ¿cuál es el problema? Pues que como la inventiva humana no tiene límites en cuanto a engañar al prójimo (y si se le puede robar, pues mucho mejor) en seguida hay quien se dio cuenta de que podría registrar nombres de dominio gráficamente idénticos a otros ya existentes (de ahí lo de homográfico). ¿Pero cómo? Muy fácil. Hay alfabetos no latinos, como el cirílico, que contiene caracteres gráficamente idénticos a nuestro alfabeto latino. Pensemos por ejemplo en las famosas siglas CCCP (que no son las letras "ce" y "pe" latinas, sino las "es" y "er" cirílicas). La trampa consiste en registrar por ejemplo el dominio www.cajamadrid.es y que en realidad la "c" no sea la "ce" latina, sino la "es" cirílica. Sería un dominio diferente al de la caja que todos conocemos, y perfectamente legal, pero si resulta que el propietario le da por duplicar su apariencia para ver si algún incauto introduce sus números de tarjeta, pues... Aquí hay un ejemplo práctico (eso sí, no funcionará con el Explorer, ya que no implementa IDN).
Así pues, el problema de los ataques homográficos no es que los navegadores lo implementen mal. El Firefox lo implementa correctamente (supongo que los otros también, pero no los he probado). El problema es que no existe una regulación en la asignación de dominios que evite estos usos indebidos. Y no es necesario el uso de IDN, ya que con buena imaginación se pueden registrar dominios engañosos que nada tienen que ver con el que quieren imitar. Podemos probar con www.cajademadrid.com, que no es precisamente la web oficial de Caja Madrid, que es www.cajamadrid.es.
Hay un gran debate sobre cómo solucionar este asunto. Mientras no haya una política en la concesión de dominios que dificulte estos engaños, hay que recurrir a "trampas" o a avisos cuando se va a una dirección IDN. Y hay que hacerlo sin considerar los dominios IDN como "raros" o "peligrosos", ya que los hay perfectamente legítimos como http://räksmörgås.josefsson.org. La solución temporal del Firefox (y que aparece en la actualización) es la posibilidad de que el usuario decida si desea ver la URL tal cual en la barra de direcciones , o si por el contrario quiere verla en Punycode. ¡Vaya hombre! Otro palabro. Bueno, para entendernos digamos el el Punycode es una forma de codificar caracteres Unicode en el limitado juego de caracteres original de nombres de dominio, para permitir a navegadores anticuados que no implementan IDN visitar esos dominios. Así, en vez de, por ejemplo, http://räksmörgås.josefsson.org, veríamos http://xn--rksmrgs-5wao1o.josefsson.org (esta última URL se puede abrir con el Explorer).
Bueno, para resumir: el error es considerar que la implementación del IDN del Firefox y otros es erronea, ya que como hemos visto, es un problema de política de concesión de dominios.
Ese mismo mes, se publicó la noticia de la última actualización del navegador Firefox (excelente navegador que recomiendo a todo el mundo) corregía una serie de vulnerabilidades (el que esté libre de pecado, que tire la primera piedra) y mencionaba nuevamente que una de ellas era el error en el uso de IDN.Vale, pero ¿qué es esto del IDN? IDN son las siglas de International Domain Names, y es un estándar que permite utilizar caracteres internacionales en los nombres de dominio. De todos es conocida la limitación de los nombres de dominio tradicionales, que no podían contener eñes ni vocales acentuadas (y no digamos ya caracteres japoneses). El IDN supera esta limitación permitiendo el uso de caracteres Unicode, que es un estandar para la representación de todo tipo de caracteres de todos los lenguajes del mundo (incluso hay un borrador para incluir las runas de los lenguajes inventados por Tolkien). De esta manera, podríamos tener dominios como www.españa-cañí.es o www.jamón.com que antes era imposible. Aunque el estándar comenzó a crearse a finales de los 90 y los ataques homográficos ya se advirtieron en 2001, hasta hace poco no había demasiados navegadores que lo implementaran, ni demasiados dominios que lo utilizaran.
¡Fantástico! Entonces ¿cuál es el problema? Pues que como la inventiva humana no tiene límites en cuanto a engañar al prójimo (y si se le puede robar, pues mucho mejor) en seguida hay quien se dio cuenta de que podría registrar nombres de dominio gráficamente idénticos a otros ya existentes (de ahí lo de homográfico). ¿Pero cómo? Muy fácil. Hay alfabetos no latinos, como el cirílico, que contiene caracteres gráficamente idénticos a nuestro alfabeto latino. Pensemos por ejemplo en las famosas siglas CCCP (que no son las letras "ce" y "pe" latinas, sino las "es" y "er" cirílicas). La trampa consiste en registrar por ejemplo el dominio www.cajamadrid.es y que en realidad la "c" no sea la "ce" latina, sino la "es" cirílica. Sería un dominio diferente al de la caja que todos conocemos, y perfectamente legal, pero si resulta que el propietario le da por duplicar su apariencia para ver si algún incauto introduce sus números de tarjeta, pues... Aquí hay un ejemplo práctico (eso sí, no funcionará con el Explorer, ya que no implementa IDN).
Así pues, el problema de los ataques homográficos no es que los navegadores lo implementen mal. El Firefox lo implementa correctamente (supongo que los otros también, pero no los he probado). El problema es que no existe una regulación en la asignación de dominios que evite estos usos indebidos. Y no es necesario el uso de IDN, ya que con buena imaginación se pueden registrar dominios engañosos que nada tienen que ver con el que quieren imitar. Podemos probar con www.cajademadrid.com, que no es precisamente la web oficial de Caja Madrid, que es www.cajamadrid.es.
Hay un gran debate sobre cómo solucionar este asunto. Mientras no haya una política en la concesión de dominios que dificulte estos engaños, hay que recurrir a "trampas" o a avisos cuando se va a una dirección IDN. Y hay que hacerlo sin considerar los dominios IDN como "raros" o "peligrosos", ya que los hay perfectamente legítimos como http://räksmörgås.josefsson.org. La solución temporal del Firefox (y que aparece en la actualización) es la posibilidad de que el usuario decida si desea ver la URL tal cual en la barra de direcciones , o si por el contrario quiere verla en Punycode. ¡Vaya hombre! Otro palabro. Bueno, para entendernos digamos el el Punycode es una forma de codificar caracteres Unicode en el limitado juego de caracteres original de nombres de dominio, para permitir a navegadores anticuados que no implementan IDN visitar esos dominios. Así, en vez de, por ejemplo, http://räksmörgås.josefsson.org, veríamos http://xn--rksmrgs-5wao1o.josefsson.org (esta última URL se puede abrir con el Explorer).
Bueno, para resumir: el error es considerar que la implementación del IDN del Firefox y otros es erronea, ya que como hemos visto, es un problema de política de concesión de dominios.
Etiquetas: informática, noticias
enviado por Alf @ 12:52
Enlace permanente
-
¿La noche más corta de año? Bueno, eso es lo que piensa la mayoría de la gente, pero en contra de la creencia popular, la noche más corta del año no es la del 23 al 24 de Junio, sino la del 20 al 
En la película, según se acercan las lanzaderas a la estación, ésta comienza a girar sobre sí misma para crear una especie de gravedad artificial mediante un principio tan conocido por todos como la fuerza centrífuga (siendo puristas, dicha fuerza no es real, pero para lo que voy a contar podemos considerar que lo es). Es un recurso habitual en la ciencia ficción escrita (no tanto en películas o TV, siendo una excepción la galardonada 
Pues bien, dudo mucho que esto haya sorprendido a ningún científico. Es más, cualquier aficionado a la astronomía ni siquiera lo calificaría de hallazgo. El parecido de la luna de Saturno con la estación de combate del Imperio se conocía ya desde 1980 como mínimo, año en el que el Voyayer 1 la fotografió. Cualquiera que haga una búsqueda de Mimas en la 
