Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "Neko <[EMAIL PROTECTED]>" gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizit�t des Absenders haben, ignorieren Sie diese E-Mail bitte. ------------------------------------------------------------------------ Da kommt viel Spass auf uns zu...
Im Firefox kann man IDN abstellen (dann muss man aber auch konsequent xn--mnchen-3ya.de verwenden). ------------------------------------------------------------------------ 07.02.2005 12:47 Umlaute in Domain-Namen erm�glichen neuen Phishing-Trick Mit einem neuen Trick k�nnen Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo[1] verlinkt, die den Anwender vort�uscht, auf paypal.com zu f�hren. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ung�ltigen Zertifikat. Angreifer und Phisher k�nnen diese Schwachstelle ausnutzen, um t�uschend echt gemachte Seiten im Netz zu hinterlegen und Passw�rter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gef�lscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine G�ltigkeit zu pr�fen, ist hier fast nutzlos. Erst die Anzeige des vollst�ndigen Zertifikats offenbart, dass das Zertifikat zwar g�ltig ist, aber gar nicht f�r paypal.com ausgestellt wurde. Ursache des Problems ist die Unterst�tzung von Internationalized Domain Names (IDN)[2], was die Verwendung l�nderspezifischer Sonderzeichen erm�glicht. Deutsche Domains k�nnen durch die Kodierung mit Punycode seit dem 1. M�rz 2004[3] Umlaute wie �, � und � enthalten. Domain-Namen k�nnen so aber auch etwa kyrillische Zeichen umfassen. Ungl�cklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich. Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode f�r das kyrillische a. Der Link f�hrt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com";, also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls f�r www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben. Dass �hnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen w�rden, findet schon im RFC 3451[4] Erw�hnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem[5] hin und demonstrierten es anhand von Microsoft-Domains. Da Microsofts Internet Explorer momentan standardm��ig keine derartigen internationalisierten Domain-Namen unterst�tzt, funktioniert der Angriff hier nicht. Grunds�tzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensaufl�sung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar. Anwender von Firefox und Mozilla k�nnen als Workaround die Unterst�tzung von IDN deaktivieren, sodass der Phishing-Trick nicht mehr funktioniert. In der Adressleiste gibt man dazu about:config ein und setzt anschlie�end network.enableIDN auf false. Siehe dazu auch: The state of homograph attacks[6] von Eric Johanson (dab[7]/c't) URL dieses Artikels: http://www.heise.de/newsticker/meldung/56110 Links in diesem Artikel: [1] http://www.shmoo.com/idn/ [2] http://www.heise.de/newsticker/meldung/49291 [3] http://www.heise.de/newsticker/meldung/45124 [4] ftp://ftp.rfc-editor.org/in-notes/rfc3451.txt [5] http://www.heise.de/newsticker/meldung/27714 [6] http://www.shmoo.com/idn/ [7] mailto:[EMAIL PROTECTED] ------------------------------------------------------------------------ Copyright 2005 Heise Zeitschriften Verlag -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
