1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Grave falha de segurança (browsers) - Leiam! **

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por johnzap, 7 de Fevereiro de 2005. (Respostas: 32; Visualizações: 1896)

  1. johnzap

    johnzap Power Member

    Este tema não é propriamente novo, mas parece que o alerta o é. Também não sei se já terá sido debatido no forum. Tentei procurar mas, a palavra que define o problema, só tem 3 letras e a pesquisa não funciona.

    De maneira que é assim: a grande maioria dos browsers, com excepção do IE, estão vulneráveis a uma falha que pode ser potencialmente bastante grave. E parece que não há solução à vista. É engraçado que, por uma vez, é o IE que não está vulnerável. Mas não é por ser melhor programado. É apenas por estar mais atrasado e ainda não ter implementado uma função que já está em uso na Internet.

    Esta falha tem a ver com o Internationalized Domain Name (IDN). É algo que tem vindo a ser trabalhado, nomeadamente pela IETF, ver -> http://www.ietf.org/html.charters/idn-charter.html . É a função que permite utilizar caracteres especiais,é ç ã, etc, ou coisas mais complicadas, como os caracteres chineses, por exemplo, nos endereços dos hosts/domínios. Algo como http://www.eça-de-queirós.pt .

    Pois bem, já desde há bastante tempo que parece ter havido quem alertou para os perigos da implementação desta solução, por não a considerar totalmente segura. Mas os avisos não foram atendidos e aí temos a solução já implementada (ver, por exemplo, http://www.afilias.info/faqs/idn_registrant_faq#e ).

    Após toda esta conversa, passemos aos factos, vão a esta página, com um qualquer browser, que não o IE (ou variantes, como o Avant Browser, etc) e experimentem clickar nos 2 primeiros links. Depois de terem levantado o queixo, vão ao terceiro link para uma explicação mais detalhada e em que estado se encontra o problema.

    Para terminar e reafirmar: não se trata de uma falha dos browsers. Estes parecem estar a implementar a solução correctamente. Parece é que a própria solução tem falhas.

    Conclusão: muito cuidadinho a abrir links em sites suspeitos, sabe-se lá para onde estão a ir!!!


    EDIT: já há uma solução (temporária) para o Firefox: http://forums.mozillazine.org/viewtopic.php?t=215221

    EDIT: a solução indicada acima, desaparece se instalarmos alguma nova extensão ou "theme". Atenção a isso. Nesses casos teremos de tornar a aplicar a solução.

    EDIT: a extensão "Spoofstick" foi alterada e agora já alerta quando estamos em presença de um IDN. Também pode ser colocada numa barra já existente. Para download: http://www.corestreet.com/spoofstick/firefox.html.

    EDIT: já há uma extensão para o Firefox que nos alerta quando estamos aceder a páginas com caracteres especiais. Nem sempre estaremos em presença de uma site que nos pretende vigarizar, mas, pelo menos, dá-nos um aviso e podemos assim olhar para a página com mais atenção. Link. Instalei e faz o que é suposto. É pena ocupar uma barra inteira e as letras serem um pouquinho maiores do que seria desejável. Mas enfim, até sair uma solução definitiva da Mozilla, é o que se pode arranjar.

    Página da Secunia a falar e precisar melhor o problema: http://secunia.com/multiple_browsers_idn_spoofing_test
     
    Última edição: 13 de Fevereiro de 2005
  2. Anubis

    Anubis Power Member

  3. Chip

    Chip Zwame Advisor

    Muito bom!

    Onde anda mesmo a thread em que a fccn oferece registo de domínios com caracteres especiais??? :D
     
  4. HiGhVoIcE

    HiGhVoIcE Power Member

    preocupante :o

    anyway...

    :lol:
     
  5. johnzap

    johnzap Power Member

    EDIT: a solução que é indicada a seguir, não funciona. Basta fecharem o browser, tornarem a abrir e o problema mantém-se. Isto é devido a um bug no FF, na implementação deste parametro. Para verem mais vão até: https://bugzilla.mozilla.org/show_bug.cgi?id=281365

    Esqueci-me de dizer que há, supostamente, uma solução temporária para o Firefox e/ou Mozillla. Leiam nesta página:

    No meu caso, experimentei em 3 máquinas com o Firefox 1.0. Numa delas estava a usar um proxy, e, após o "workaround" explicado acima, passou a dar erro e não abriu as páginas com os "exploits". Correcto. Todavia em 2 outras, sem firewall, apesar de aplicar a solução, limpar o cache, etc, não consegui que o Firefox deixasse de abrir a página.

    Alguém descobre uma solução que funcione a 100%? Será que se tem de limpar mais alguma coisa? Eu já limpei "history", "cache" e "saved form information".
     
    Última edição: 8 de Fevereiro de 2005
  6. johnzap

    johnzap Power Member

    Outra coisa que convém dizer: se for possível verificar o código fonte da página, podem verificar se esta contém o nome do URL em condições ou é um "exploit". Por exemplo o código fonte da página acima referida é assim (substituí o caracter < por | para não ser interpretado pelos browsers e acrescentei duas vezes o caracter \, no link, para não ser transformado pelo Firefox e outros):

    Reparem nos 2 fragmentos que sublinhei. Engraçado, hein?

    O mesmo código, sem as alterações que realizei, apareceria assim:

     
    Última edição: 7 de Fevereiro de 2005
  7. johnzap

    johnzap Power Member

    E para mostrar que esta vulnerabilidade existe por causa do $, ou do €, ou do yen, etc: http://www.elsewhere.org/journal/archives/2005/02/07/wow-just-wow:

    Aparentemente, terá sido a Verisign a grande impulsionadora desta treta do IDN. É o que dá colocarem empresas que andam atrás do lucro a dominar estas coisas... :rolleyes:

    A informação acerca deste problema já anda por aí a circular a grande velocidade. Com comentários mais ou menos desconcertados e preocupados.
     
  8. johnzap

    johnzap Power Member

    O IE não suporta esta função e, por isso, não está vulnerável. Mas, caso alguém use o IE e esteja interessado em ficar vulnerável, não há problema. Vão até a este site da Verisign (www.idnnow.com), instalem o plugin e ficam com o "problema" resolvido. :-D

    E como bonus, ficam com o Outlook e Outlook Express, também vulneráveis.

    Esta Verisign é o máximo. Foi alertada em 2001, não ligou porque o que interessa é vender mais domínios. E agora?

    A própria FCCN que tem andado a publicitar a possibilidade de usar caracteres Portugueses nos nomes dos domínios, está no mesmo barco. A única forma disso funcionar seria utilizando os browsers que implementam o IDN ou usando o IE com o plugin acima referido. :(
     
  9. johnzap

    johnzap Power Member

    UPDATE: Não há mesmo uma solução eficaz para isto no Firefox. Teoricamente, o parametro que refiro mais acima poderia resolver o problema. Mas, infelizmente, há um bug na implementação do parametro e este volta ao seu valor original quando se fecha o browser (nalguns OSs aparece como estando correcto, mas não está). :( Vejam a discussão sobre o bug aqui.

    Nos "nightlies" mais recentes o bug já foi exterminado. O problema é que podemos estar a ficar com outros bugs pois são versões não estáveis.
     
  10. tripeiro

    tripeiro 1st Folding then Sex

    bolas sou mesmo estupido, cliko nos tais links e nao acontece nada nao tou a perceber :( pior que a falha é nao saber o que a falha faz :(:(:(:(
     
  11. johnzap

    johnzap Power Member

  12. johnzap

    johnzap Power Member

    Mas que browser usas? Se for o Firefox 1.0, Opera 7.x, Safari, Mozilla e outros menos conhecidos, deve acontecer qualquer coisa muito curiosa e potencialmente preocupante. Se usares o IE, apenas te irá aparecer uma mensagem de erro.

    Colocando a solução que referi no post acima, o Firefox passa a dar também um erro, que é o que se pretende.
     
  13. tripeiro

    tripeiro 1st Folding then Sex

    bem, uso o firefox 1.0, brazuca, e so aparece uma pagina a dizer mewow ou parecido, mais nada....
     
  14. johnzap

    johnzap Power Member

    Exacto! Então? Achas normal carregares num link que, se colocares o rato por cima (sem clickar), te aparece em baixo, na barra de informações, www.paypal.com, que ao clickares no link, te aparece no campo do URL do Firefox, http://www.paypal.com ou até mesmo https://www.paypal.com , com o cadeado e tudo e apenas te aparece "meoow"???

    Podias estar numa página aparentemente muito inocente, tinham-te posto lá um link daqueles, tipo a pedir para fazeres uma doação via Paypal, clickavas e ias parar a outro site que te parecia ser o Paypal mas afinal não era. Claro que alguém teria construido um clone do PayPal, suficientemente convincente para te levar a colocar o userid e password e a partir daqui, lá tinham registado os teus dados e vá de sacar.

    Quem diz o Paypal diz qualquer outra coisa que permite obter dados confidenciais, como passwords para aceder a contas bancárias, etc, etc. As possibilidades são infinitas.
     
  15. tripeiro

    tripeiro 1st Folding then Sex

    ah bom, assim ja ta explicado, bem visto, fui inocente... há uns tempos atraz nao aconteceu uma cena marada com um banco portugues? ja nao me lembro qual era...hum... assim eh complicado... fukc...
     
  16. FELiYCORA

    FELiYCORA 1st Folding then Sex

    é o que dá andarem a inventar... não estava tudo bem sem caracteres especiais? querem sempre complicar... agora havia de n ter solução e terem k cancelar isso
     
  17. CA3iR0

    CA3iR0 Banido

    É isto que é suposto aparecer.
    [​IMG]
    "eu já estou protegido! E você?"
     
  18. Sparks

    Sparks Power Member


    Acho que foi com o Millennium BCP, mas acho que era um pouco diferente porque o url ficava diferente mas o suficiente parecido apra engadar uma pessoa mais distraida.
     
  19. Ragnarok

    Ragnarok Folding Member

    Ok, deste lado já não há falha de segurança. Esta cena é lixada, que coisa estúpida que tinham que ir inventar...
     
  20. johnzap

    johnzap Power Member

Partilhar esta Página