Homografový útok

Technology
12 hours ago
8
4
2
Avatar
Author
Albert Flores

Příklad homografového útoku - logo Wikipedie, ve kterém jsou písmena „e“ a „a“ nahrazena písmeny z cyrilice Homografový útok je označení pro počítačový útok, který využívá vnější podobnost různých znaků či slov, tedy existenci povolených homoglyfů (byť vžitý název útoku odkazuje k homografům) v jménech internetových domén. Uživateli je tedy útočníkem podstrčen hypertextový odkaz, který zdánlivě vede na doménu, kterou uživatel považuje za bezpečnou a bude na ní bez obav komunikovat včetně důvěrných údajů (například na ní zadá své heslo), ale ve skutečnosti se jedná o doménu v moci útočníka, který tak ony důvěrné údaje zjistí.

Homografové útoky byly možné už v prvních verzích systému doménových jmen (DNS), neboť i v základní sadě povolených znaků vycházejících z latinky, přesněji v povolené podmnožině znaků tabulky ASCII, se vyskytují homoglyfy l/i/1 nebo 0/O. Jejich výraznější rozvoj nastal ale až po začátku zavádění IDN, doménových jmen v národních abecedách, které nabídly z hlediska homoglyfů útočníkům daleko širší možnosti. +more Zároveň je také jedním z hlavních důvodů, proč správci některých domén nejvyššího řádu IDN nezavedli a zavést neplánují, nebo s jeho zavedením váhají.

Na straně klientů, zejména webových prohlížečů, je snaha uživatele na problematická doménová jména upozornit. Tedy například u doménových jmen složených ze znaků z různých abeced může prohlížeč uživatele varovat, nebo místo normálního zobrazení nelatinkových znaků zobrazit jiné kódování, například punycode. +more Útokům může rovněž bránit správce daného prostoru doménových jmen, který nepovolí registraci vzhledově podobných domén. Například ICANN takto dbá na nezaměnitelnost domén nejvyššího řádu.

Odkazy

Reference

Externí odkazy

[url=http://www.irongeek.com/homoglyph-attack-generator.php]generátor homoglyfů pro doménová jména[/url]

Kategorie:Počítačová bezpečnost Kategorie:Unicode

5 min read
Share this post:
Like it 8

Leave a Comment

Please, enter your name.
Please, provide a valid email address.
Please, enter your comment.
Enjoy this post? Join Cesko.wiki
Don’t forget to share it
Top