Modern technology gives us many things.

Οι νέοι τομείς ZIP πυροδοτούν συζήτηση μεταξύ των ειδικών στον τομέα της κυβερνοασφάλειας

Ερευνητές κυβερνοασφάλειας και διαχειριστές πληροφορικής έχουν εκφράσει ανησυχίες σχετικά με τους νέους τομείς διαδικτύου ZIP και MOV της Google, προειδοποιώντας ότι οι φορείς απειλών θα μπορούσαν να τους χρησιμοποιήσουν για επιθέσεις phishing και παράδοση κακόβουλου λογισμικού.

Νωρίτερα αυτό το μήνα, παρουσίασε η Google οκτώ νέοι τομείς ανώτατου επιπέδου (TLD) που θα μπορούσαν να αγοραστούν για τη φιλοξενία ιστοτόπων ή διευθύνσεων email.

Οι νέοι τομείς είναι .dad, .esq, .prof, .phd, .nexus, .foo και για το θέμα του άρθρου μας, οι TLD τομέα .zip και .mov.

Ενώ το φερμουάρ και MOV Τα TLD ήταν διαθέσιμα από το 2014, μόλις αυτόν τον μήνα έγιναν γενικά διαθέσιμα, επιτρέποντας σε οποιονδήποτε να αγοράσει έναν τομέα, όπως το bleepingcomputer.zip, για έναν ιστότοπο.

Ωστόσο, αυτοί οι τομείς θα μπορούσαν να θεωρηθούν επικίνδυνοι, καθώς οι TLD είναι επίσης επεκτάσεις αρχείων που κοινοποιούνται συνήθως σε αναρτήσεις φόρουμ, μηνύματα και διαδικτυακές συζητήσεις, τα οποία πλέον θα μετατρέπονται αυτόματα σε URL από ορισμένες διαδικτυακές πλατφόρμες ή εφαρμογές.

Η ανησυχία

Δύο συνηθισμένοι τύποι αρχείων που εμφανίζονται στο διαδίκτυο είναι τα αρχεία ZIP και τα βίντεο MPEG 4, των οποίων τα ονόματα αρχείων τελειώνουν σε .zip (αρχείο ZIP) ή .mov (αρχείο βίντεο).

Επομένως, είναι πολύ σύνηθες οι άνθρωποι να δημοσιεύουν οδηγίες που περιέχουν ονόματα αρχείων με τις επεκτάσεις .zip και .mov.

Ωστόσο, τώρα που είναι TLD, ορισμένες πλατφόρμες ανταλλαγής μηνυμάτων και ιστότοποι μέσων κοινωνικής δικτύωσης θα μετατρέπουν αυτόματα τα ονόματα αρχείων με επεκτάσεις .zip και .mov σε διευθύνσεις URL.

Για παράδειγμα, στο Twitter, εάν στείλετε σε κάποιον οδηγίες για το άνοιγμα ενός αρχείου zip και την πρόσβαση σε ένα αρχείο MOV, τα αβλαβή ονόματα αρχείων μετατρέπονται σε μια διεύθυνση URL, όπως φαίνεται παρακάτω.

Το Twitter συνδέει αυτόματα τα ονόματα αρχείων .zip και .mov
Το Twitter συνδέει αυτόματα τα ονόματα αρχείων .zip και .mov
Πηγή: BleepingComputer

Όταν οι χρήστες βλέπουν διευθύνσεις URL σε οδηγίες, συνήθως πιστεύουν ότι η διεύθυνση URL μπορεί να χρησιμοποιηθεί για τη λήψη του σχετικού αρχείου και μπορεί να κάνουν κλικ στον σύνδεσμο. Για παράδειγμα, η σύνδεση ονομάτων αρχείων με λήψεις είναι ο τρόπος με τον οποίο συνήθως παρέχουμε οδηγίες για το BleepingComputer στα άρθρα, τους οδηγούς και τα φόρουμ συζητήσεών μας.

Ωστόσο, εάν ένας παράγοντας απειλής κατείχε έναν τομέα .zip με το ίδιο όνομα με ένα συνδεδεμένο όνομα αρχείου, ένα άτομο ενδέχεται να επισκεφτεί κατά λάθος τον ιστότοπο και να υποκύψει σε απάτη ηλεκτρονικού ψαρέματος ή λήψη κακόβουλου λογισμικού, πιστεύοντας ότι η διεύθυνση URL είναι ασφαλής επειδή προέρχεται από αξιόπιστη πηγή.

Αν και είναι πολύ απίθανο οι φορείς απειλών να καταχωρήσουν χιλιάδες τομείς για να συλλάβουν μερικά θύματα, χρειάζεται μόνο ένας εταιρικός υπάλληλος να εγκαταστήσει κατά λάθος κακόβουλο λογισμικό για να επηρεαστεί ένα ολόκληρο δίκτυο.

Η κατάχρηση αυτών των τομέων δεν είναι θεωρητική, με την εταιρεία πληροφοριών στον κυβερνοχώρο Silent Push Labs ανακαλύπτοντας ήδη αυτό που φαίνεται να είναι μια σελίδα phishing στο microsoft-office[.]zip που προσπαθεί να κλέψει τα διαπιστευτήρια του λογαριασμού Microsoft.

Οι ερευνητές κυβερνοασφάλειας έχουν επίσης αρχίσει να παίζουν με τους τομείς, με τον Bobby Rauch δημοσίευση έρευνας για την ανάπτυξη πειστικών συνδέσμων phishing χρησιμοποιώντας χαρακτήρες Unicode και το οριοθέτης πληροφοριών χρήστη (@) σε διευθύνσεις URL.

Η έρευνα του Rauch δείχνει πώς οι παράγοντες απειλών μπορούν να κάνουν διευθύνσεις phishing που μοιάζουν με νόμιμες διευθύνσεις URL λήψης αρχείων στο GitHub, αλλά στην πραγματικότητα σας μεταφέρουν σε έναν ιστότοπο στην έκδοση 1.27.1[.]φερμουάρ όταν κάνετε κλικ, όπως φαίνεται παρακάτω.

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

Αντικρουόμενες απόψεις

Αυτές οι εξελίξεις έχουν πυροδοτήσει μια συζήτηση μεταξύ προγραμματιστές, ερευνητές ασφαλείας, και διαχειριστές πληροφορικήςμε κάποιους να πιστεύουν ότι οι φόβοι δεν είναι δικαιολογημένοι και άλλοι να πιστεύουν ότι τα ZIP και MOV TLD προσθέτουν περιττό κίνδυνο σε ένα ήδη επικίνδυνο διαδικτυακό περιβάλλον.

Tweet SwiftOnSecurity

Οι άνθρωποι έχουν αρχίσει να καταχωρούν τομείς .zip που σχετίζονται με κοινά αρχεία ZIP, όπως π.χ update.zip, οικονομική κατάσταση.zip, setup.zip, συνημμένο.zip, officeupdate.zipκαι backup.zipγια να εμφανίσετε πληροφορίες σχετικά με τους κινδύνους των τομέων ZIP, στο RickRoll σας ή για να μοιραστείτε αβλαβείς πληροφορίες.

Ο προγραμματιστής ανοιχτού κώδικα Matt Holt επίσης ζητείται να αφαιρεθεί το ZIP TLD από το Mozilla Δημόσια λίστα επιθημάτωνμια λίστα με όλους τους δημόσιους τομείς ανώτατου επιπέδου που θα ενσωματωθούν σε εφαρμογές και προγράμματα περιήγησης.

Ωστόσο, η κοινότητα του PSL εξήγησε γρήγορα ότι παρόλο που μπορεί να υπάρχει ένας μικρός κίνδυνος που σχετίζεται με αυτά τα TLD, εξακολουθούν να ισχύουν και δεν πρέπει να αφαιρεθούν από το PSL, καθώς θα επηρέαζε τη λειτουργία των νόμιμων τοποθεσιών.

“Η κατάργηση των υπαρχόντων TLD από το PSL για αυτόν τον λόγο θα ήταν απλώς λάθος. Αυτή η λίστα χρησιμοποιείται για Πολλά διαφορετικούς λόγους, και ακριβώς επειδή αυτές οι καταχωρήσεις είναι κακές για μια πολύ συγκεκριμένη περίπτωση χρήσης, εξακολουθούν να χρειάζονται για (σχεδόν) όλες τις άλλες», εξήγησε ο μηχανικός λογισμικού Felix Fontein.

“Αυτά είναι νόμιμα TLD στη ρίζα ICP3. Αυτό δεν θα προχωρήσει”, δήλωσε περαιτέρω ο συντηρητής PSL Jothan Frakes.

«Πραγματικά, οι ανησυχίες που εκφράστηκαν είναι περισσότερο ένα κραυγαλέο παράδειγμα αποσύνδεσης μεταξύ του προγραμματιστή και της κοινότητας ασφάλειας και της διακυβέρνησης των ονομάτων τομέα, όπου θα επωφελούνταν από μεγαλύτερη δέσμευση εντός του ICANN».

Την ίδια στιγμή, άλλοι ερευνητές και προγραμματιστές ασφαλείας έχουν εκφράσει ότι πιστεύουν ότι οι φόβοι σχετικά με αυτούς τους νέους τομείς είναι υπερβολικοί.

Tweet του Έρικ Λόρενς

Όταν η BleepingComputer επικοινώνησε με την Google σχετικά με αυτές τις ανησυχίες, είπαν ότι ο κίνδυνος σύγχυσης μεταξύ των ονομάτων αρχείων και τομέων δεν είναι νέος και ότι υπάρχουν μέτρα μετριασμού του προγράμματος περιήγησης για την προστασία των χρηστών από κατάχρηση.

“Ο κίνδυνος σύγχυσης μεταξύ ονομάτων τομέα και ονομάτων αρχείων δεν είναι νέος. Για παράδειγμα, τα προϊόντα Command της 3M χρησιμοποιούν το όνομα τομέα command.com, το οποίο είναι επίσης ένα σημαντικό πρόγραμμα στο MS DOS και στις πρώτες εκδόσεις των Windows. Οι εφαρμογές έχουν μετριασμούς για αυτό (όπως η Ασφαλής περιήγηση Google) και αυτοί οι μετριασμοί θα ισχύουν για TLD όπως το .zip.

Ταυτόχρονα, οι νέοι χώροι ονομάτων παρέχουν διευρυμένες ευκαιρίες ονοματοδοσίας όπως π.χ κοινότητα.zip και url.zip. Η Google λαμβάνει σοβαρά υπόψη το ηλεκτρονικό ψάρεμα και το κακόβουλο λογισμικό και το Μητρώο Google διαθέτει μηχανισμούς για την αναστολή ή την κατάργηση κακόβουλων τομέων σε όλους τους TLD μας, συμπεριλαμβανομένου του .zip. Θα συνεχίσουμε να παρακολουθούμε τη χρήση του .zip και άλλων TLD και εάν προκύψουν νέες απειλές θα λάβουμε τα κατάλληλα μέτρα για την προστασία των χρηστών.” – Google.

Τι πρέπει να κάνεις?

Η πραγματικότητα είναι ότι δεν χρειάζεται να κάνετε κάτι παραπάνω από αυτό που ήδη κάνετε για να προστατευτείτε από ιστότοπους phishing.

Όπως όλοι θα έπρεπε ήδη να γνωρίζουν, δεν είναι ποτέ ασφαλές να κάνετε κλικ σε συνδέσμους από άτομα ή να κάνετε λήψη αρχείων από ιστότοπους που δεν εμπιστεύεστε.

Όπως κάθε σύνδεσμος, εάν δείτε έναν σύνδεσμο .zip ή .mov σε ένα μήνυμα, ερευνήστε τον πριν κάνετε κλικ σε αυτόν. Εάν εξακολουθείτε να μην είστε σίγουροι εάν ο σύνδεσμος είναι ασφαλής, μην κάνετε κλικ σε αυτόν.

Ακολουθώντας αυτά τα απλά βήματα, ο αντίκτυπος των νέων TLD θα είναι ελάχιστος και δεν θα αυξήσει σημαντικά τον κίνδυνο.

Ωστόσο, η έκθεση σε αυτούς τους συνδέσμους πιθανότατα θα αυξηθεί καθώς περισσότερες εφαρμογές μετατρέπουν αυτόματα τα ονόματα αρχείων ZIP και MOV σε συνδέσμους, δίνοντάς σας ένα ακόμη πράγμα που πρέπει να προσέχετε όταν είστε συνδεδεμένοι.





bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση