Fallito il lancio del missile Nord Coreano – Avanza l’ipotesi di un intervento da parte del cyber comando Americano.
18 Aprile 2017
Valori antichi per un problema moderno: l’arte marziale digitale contro il cyberbullismo
2 Maggio 2017

Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare

La recente vulnerabilità evidenziata in alcuni browser, grazie alla quale è possibile realizzare attività di phishing in grado di ingannare anche gli utenti più smaliziati, è il sintomo di alcuni problemi di fondo che affliggono l’attuale implementazione di Internet (e delle tecnologie digitali in generale).

Tale implementazione è avvenuta nel giro di pochi anni, tumultuosamente, spesso frettolosamente, per lo più in modalità “bottom-up”, e per queste sue modalità di realizzazione oggi Internet nel suo compesso soffre di un gran numero di lacune dal punto di vista della sicurezza, particolarmente difficili da risolvere in quanto parti integranti del sistema.

Nel caso specifico la lacuna risiede nel fatto che, in base ad una particolare RFC (la 3492 del preistorico 2003), i nomi di dominio composti da caratteri non-ASCII (Unicode) possono essere rappresentati in ASCII (utilizzando un meccanismo di codifica chiamato Punycode).

Questa feature, introdotta a suo tempo in assoluta buona fede, consente ad un soggetto malizioso di forgiare dei nomi di dominio che, una volta visualizzati nella barra degli indirizzi di alcuni browser, sono graficamente indistinguibili da quelli di brand conosciuti (homographic attack). La frode in oggetto si realizza dunque innanzi tutto tramite un’attività di typosquatting (registrazione di un dominio in caratteri non ASCII, che codificato in ASCII sembri un altro dominio).

Nell’esempio, utilizzando la codifica Punycode dei caratteri cirillici, si può mostrare all’utente l’url “apple.com”, mentre in realtà il dominio registrato è “xn--80ak6aa92e.com”. Di conseguenza, una volta carpita la buona fede dell’utente impersonando il sito Apple (phishing), è possibile applicare tecniche di social engineering per farsi consegnare le credenziali di accesso al sito stesso, con tutte le conseguenze del caso (furto di identità, furto di dati, estorsione, etc).

Cosa ci insegna questo ennesimo esempio di abuso di una delle features sulle quali si basa il buon funzionamento di Internet?

Per una serie di ragioni storiche abbiamo costruito una intera civiltà digitale su fondamenta che non sono adeguate agli scopi ed all’importanza che essa ha assunto nel tempo, perchè sono state pensate ed implementate in tempi completamente diversi, nei quali le minacce erano diversi ordini di grandezza inferiori rispetto ad oggi.

Dobbiamo urgentemente rimettere mano a tutto quanto fatto negli ultimi 30 anni, ripensarlo a fondo e in molti casi rifarlo da capo, ed allo stesso tempo introdurre regole molto più stringenti (per esempio sulla registrazione dei domini).

A cura di: Andrea Zapparoli Manzoni

Andrea Zapparoli Manzoni

Board Advisor del Centre for Strategic Cyberspace & Security Science di Londra

Andrea Zapparoli Manzoni si occupa con passione di ICT Security dal 1997, mettendo a frutto un background multidisciplinare in Scienze Politiche, Computer Science ed Ethical Hacking.

Fa parte dei Consigli Direttivi di Assintel e di Clusit, è stato membro dell’OSN (Osservatorio per la Sicurezza Nazionale), ed è Board Advisor del Center for Strategic Cyberspace + Security Science di Londra. Presidente de iDialoghi per oltre 10 anni, dal 2014 è Senior Manager della divisione Information Risk Management di KPMG Advisory, con la responsabilità dell'area Cyber Security.

E' spesso chiamato come speaker a conferenze ed a tenere lezioni presso Università, sia in Italia che all'estero. E' co-autore del "Framework Nazionale di Cyber Security". Per il "Rapporto Clusit sulla Sicurezza ICT in Italia" da cinque edizioni cura la sezione relativa all’analisi dei principali attacchi di dominio pubblico a livello globale, ed alle tendenze per il futuro.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy