 Wir sind hier von C3lingo, den Translation Angels, wenn ihr irgendwelche Feedback an uns habt, schreibt uns auf Twitter, et C3T oder an den Hashtag, das ist der Hashtag C3T oder der User et C3lingo. Und jetzt hier Spaß mit, was du siehst, ist nicht, was du kriegst, wenn Homografen angreifen. Hallo, ich bin Julio Cesar Ford. Direktor der professionellen Dienste bei Blaze Informationssicherheit. Hier ist das mal ein kleines Intro für den Talk. Seit Unicode in Domainnamen existiert, gibt es ein paar neue Sicherheitsimplikationen, die kam damit, mit dieser Präsentation möchte ich ein paar Sicherheitsrisiken mit internationalisierten Domainnamen zeigen, E-Mail-Client mit Browsern, sicheren Messagern und ein paar Sicherheitsrisiken aufzeigen. Das kann, das kann visuelle Angriffe und Spoofing einfacher machen, dass die Agenda, die Übersicht erst mal über internationaler Domainnamen regen wir, wie sie registriert werden, wie sie funktionieren. Wir reden über Homografen und die damit zusammen verbundenen Sicherheitsrisiken, wie Browser, E-Mail-Client auf Homografenangriffe reagieren. Ich spreche über ein paar praktische Angriffe, wie wir uns verteidigen können und dann schließe ich es ein bisschen ab am Ende. Jetzt reden wir über internationalisierte Domainnamen und das Aufkommen der IDMs, das Internet war nicht für mehrere Sprachen gedacht, es war für die öffentlichen Staaten, ASCII Charaktere, also Lateinische Charakter Buchstaben, Domainnamen waren halt meistens Lateinisch, wie ich gerade gesagt habe, aber Milliarden von Menschen haben nicht Lateinische Sprachen als erste Sprachen und wie das Internet funktionierte, wie es meistens immer noch funktioniert, dass diese Leute meistens ihre eigene Sprache benutzen wollen, um sich im Internet auszudrücken und weil das so ist, hat ICANN eine Resoluzion beschlossen, internationaler Domainnamen, das viel Support gekriegt hat, das breite Support für Unicode, das war vor ungefähr 20 Jahren und der Unicode die Unicode Unterstützung wurde dann auf mehr verschiedene Sprachen übertragen, zirkrilisch, russisch oder irgendwelche sehr alten europäischen Sprachen usw. und so haben sie Unicode genommen dafür, aber jetzt haben wir ein bisschen technische Probleme mit IDMs und das technische Problem ist, dass DNS nur, ist eine der Bausteine des Internets, der hat nur ASCII, spricht also nicht wirklich Unicode, weil das so ist, haben sie so ein paar unterschiedliche Möglichkeiten, wie das dann funktioniert und sie sind hiermit dann zusammengekommen, das ist Unicode, Unicode konvertiert, Unicode in ASCII und dann wird dieser, der Emoji dieser kleinen Coup.ws, die existiert, das wird dann zu xn, weder Sprachbinderschicht usw. oder öbb.at, das ist die österreichische Zugfirma, wird auch Unicode umgewandelt, damit DNS damit auch funktioniert und das Benutzerinterface wird es dann benutzerfreundlich umkonvertieren und das ist dann toll für sowas hier, das ist Pup.la, das existiert auch, das ist ein Pup Emoji, im Domainnamen und da gibt es auch so paar Regeln drum und ich liebe Tacos, ich herze Tacos, gibt es auch, oder einfach vollständig kirillische Domain, auch Top-Level-Domains, das ist die vollständige russische Version von Yandex und das hat auch ein ganzes ADM, wie wir später dann im Torb noch sehen. Es kam viel schneller als ich dachte, in diese IDMs, übb.at, das ist ein paar international erkennbare Charaktere und das ist einfach das lateinische alphabet, diesen Teil war der IDM und da haben wir ein ganzes IDM, das kann kein Russes, ich weiß nicht wie man das sprechen soll, das link dann zum Kreml zur offiziellen Website und jetzt weiter zu Homografen, wir reden über Sicherheitsrisiken, die dann verbunden sind oder tainisches Schrift, kann mehrere Sprache präsentieren, z.B. Portugiesisch, Spanisch, Englisch oder Italienisch, Französisch usw. und ich möchte darüber reden, dass verschiedene Schriften viele ähnliche Buchstaben haben, die sich sehr ähnlich sehen oder eine starke Ähnlichkeit haben. Da gibt es ein paar Buchstaben, wie zum Beispiel A in der lateinischen Schrift, das sehr ähnlich sieht wie den kürilischen oder den griechischen Alphabet und anderen Alphabeten da draußen und das sind confusedable homographs, missverständliche Homografen, hier ist es einmal auf Latein und das zweite mit dem Code, das zweite ist ein kürilisch und wenn wir da reinzoomen, groß reinzoomen, dann kann man die wirklich sehr schwer unterscheiden, gar rein visuell und das ist auch ein O im lateinischen und das gleiche gibt es dann auch noch mal mit einem Horn, auch im lateinischen, selbst in der gleichen Sprache, in der gleichen Schrift gibt es einige Buchstaben, die sich sehr ähnlich sehen, zeichnen, weil hier kannst du sich das O sehen, dann wird es in einem sehr kleinen Bildschirm und in einem speziellen Schriftbild kann man das wirklich sehr schwer unterscheiden und haben wir hier P's, P in lateinischen und R im kürilischen oder so, schuldigung alle, die tatsächlich russisch sprechen, wahrscheinlich mache ich das nicht richtig und die Liste geht einfach so weiter, das ist ein kleines C, enkoptischen ist ein, ich weiß nicht mal was für ein Sprache das ist, es ist auch sehr ähnlich und auch in kürilisch und wenn du auf Grafemica gehst, das ist auf der nächsten Slide, ja, Grafemica.com, das ist die ganze Liste von verschiedenen Unicode-Code-Zeichen und ihr könnt viele finden, die verwirrbar sind, die man missverstehen kann mit der lateinischen Skript und sprechen jetzt mit Nutzeragenten und Homografenangriffen, wie Fonds gerendert werden und wie man visuelles Poofing betreiben kann, das kommt jetzt gleich und das passiert viel wegen ein paar schwichtigen Faktoren, einmal wegen der Schriftgröße und die Leute sollen dann halt auf eine Website klicken, die nicht die echte ist. Wenn ihr hier Tahoma benutzen mit 68 Punkten Schrift auf lateinisch, kann man Apple.com mit dem kürilischen Apple.com verwirren, das ist absolut nicht unterscheidbar von visuellen her und auch wenn man anderen Fonds benutzen wie z.B.Buckman Oldsign 70 Punkt, das ist ein kleines bisschen merkwürdig, beim L, beim Apple, das ist kein L, das ist ein großes I, aber es ist kürilisch und das sind auch andere Fonds, die das ein bisschen besser machen, das ist ein bisschen besser unterscheidbar machen, das ist kürilisch sehr anders aus, das kannst du unterscheiden, das ist ein bisschen merkwürdig hier und das hier ist, wir reden über Nutzeragenten, wie z.B. sichere Messenger oder so was, Wire für Desktop ist mir ein Beispiel hier und Telegram, ich bin, habe mich reingesumt, nur 400% und ihr könnt sehen, dass hier, ich muss es ein bisschen erklären vorher, das sind glaube ich Nokia Maps oder so was und das ist eine vollständig homografische Version davon und kürilischen für meine Forschung für diesen Talk und einige von diesen Domains habe ich auch, ich freue mich auch, die wieder zurückzugeben oder hier weiterzugeben, wenn jemand Lust darauf hat für Forschung oder was auch immer, lassen Sie es wieder hier zurückgehen und wie Wire homographisch rendert und das sieht sehr ähnlich aus, so bisschen im R vielleicht, aber auch nur weil wir sehr reingesumt haben, 400%, also ungefähr so fünfmal so viel und Telegram auch, das Haar ist ein bisschen merkwürdig, aber die Bilder sind da auch einfach Buchstaben, die genau gleich aussehen. Das ist jetzt hier Telegram auf IOS oder Wire, gehen wir mal weiter, worüber wir jetzt hauptsächlich reden ist, wir hätten das vor 20 Jahren merken können, aber dann haben sie gemerkt, dass es gibt ein paar Schriftarten, die einem das erlauben, dass diesen Angriff und dann haben sie gemerkt, es gibt dieses Problem, dass man manche Buchstaben nicht auseinanderhalten kann, z.B. Google.com mit dem I, was so ähnlich aussieht wie das grilische und dann haben wir ein paar Regeln eingeführt und sie hängen sehr stark von dem Top-Level-Domain ab, z.B. .com.tv erlauben von vielen verschiedenen Alphabeten, die Buchstaben, also portugiesisch, rumänisch, javanesisch, Tai und so weiter, .ws.to ist es sogar alles erlaubt, aber das zwar nicht erlaubt im FC, aber das ist nicht das Das ist das erste Mal, dass Leute nicht im FC folgen und in manchen Domains, in manchen Top-Level-Domains sind sogar nur Latein und kürilisch erlaubt, zum Beispiel Punkt Berlin. So, wie ich schon gesagt habe, in Version 1 war es sogar erlaubt, verschiedene Alphabeten zu vermischen, aber in Version 2 und 2 3 ist es dann verboten worden, dass vor ein paar Jahren haben sie neue Resolutionen herausgegeben, die dann gemischte Skripte verboten haben, also gemischte Alphabeten. Also hier seht ihr ganz viele Dinge, die registriert werden können, obwohl sie so ähnlich aussehen, weil sie alles bloß aus einem Alphabet kommen. Und die Liste geht noch weiter und weiter und weiter. Man kann also nicht so richtig was dagegen tun. So, jetzt einmal ein paar tatsächlich mögliche Attacken, die man in der Praxis durchführen könnte. So, zum Beispiel, das erste Mal, als das durchgeführt worden ist, bevor die internationalisierten Domainnahmen eingeführt worden sind, das war schon 2001, da haben Leute gemerkt, dass das wird ein Sicherheitsproblem werden. Und ich würde euch ruhig empfehlen, dieses Paperdots zu lesen, um das besser zu verstehen. Kürzlich haben Fischer auch gemerkt, dass so was ziemlich praktisch ist und machen mehr und mehr solche Angriffe, die mit gemischten Domains passieren. Es gibt auch ein paar Bucks bezüglich dieser Homograph-Attacken, zum Beispiel Firefox im 2005. Hat Erik von Schmu ein Bug reported bei Firefox. Hallo. Ihr macht nichts gegen solche Angriffe. Das war damals leider ein Prioritäts-3-Bug. Ich denke eigentlich, es sollte höher sein, aber das sehen wir später nochmal genauer. Da gab es jetzt auch kurz ein paar CVEs in Safari, wo es so ähnlich aussah wie ein lateinisches D, was interpretiert worden ist. Und es wurde von Safari so wie Degel gerendet und nicht so wie der original Buchstabe. Und es gab auch so ein K, so ein kürliches in Firefox, was so gerendet worden ist wie ein K im lateinischen. Aus dem gab es noch Forschung von so einem Typen, dessen Namen ich nicht aussprechen kann und da sieht man auch, wie die Browser-Hersteller zu diesen Bucks mit diesen Bucks umgegangen sind. Und Chrome zeigt so ein bisschen, wie das Beste ist, was man mit diesen Bucks machen kann. Und in Firefox war es wieder eine P3-Priorität. In Chrome war es aber im Moment die erste Priorität. Ich weiß nicht, warum. Die Torleute könnten es für einen Torbrowser einfach fixen, aber sie warten irgendwie darauf, dass Firefox irgendwie was macht. Ich denke eigentlich nicht, dass es eine gute Ausrede ist für irgendwen. Ja, wir gehen Browser mit EDNs, nachdem dieser Angriff von dem chinesischen Forscher veröffentlicht worden ist. Und dann Firefox und Torbrowser immer noch das gleiche gemacht. Chrome macht das sehr kompliziert, was ziemlich gut funktioniert, aber Opera und Brave machen, glaube ich, das gleiche wie Chrome. In jeden Fall wirkt es so für mich. Das sieht so aus, wie eine Klasse von Buck die Internet Explorer nie hatte, weil sie einfach das nicht unterstützt haben. So, jetzt reden wir über E-Mails. Hier reden wir über den Freund, der in die Rücken sticht. Der e-mail client konvertiert nämlich dieses Xn-Quach zurück in Unicode. Aber häufig gibt es dort keine Checks nach verwechslbaren Buchstaben. Also hier seht ihr Hashmail, das ist ein sicherer Mail-Provider. Und wenn man da jetzt ganz weit rein zoomt, dann sieht man da Facebook mit K oben, wo irgendwas oben drauf steht. Wenn man das sieht, dann denkt man, das ist einfach irgendwie was auf dem Bildschirm drauf. Sieht aus wie Facebook.com, geht auch direkt in deine E-Mail-Box nicht in irgendwelche Spam-Ordner oder irgendwas reingegangen. Es passiert auch bei irgendwelchen großen anderen Providern, aber darüber kann ich ja nicht reden, weil sie noch nicht gefixt haben. Ein RoundCube habe ich das mal auch mal angeschaut und dann sehen wir here.com. Das ist Xn-irgendwas. Wenn ich jetzt RoundCube benutze, dann wird RoundCube es jetzt zurückkonvertieren, damit es in Unicode ist und dann sieht es genauso aus wie here.com. Das heißt, wenn man sich das einfach anschaut, dann kann man einfach den Domainnamen spüfen. So, jetzt gab es noch ein CBI früher, in diesem Jahr, da gab es ein CBI Best Signal für die App, für Windows. Hier kann man sehen, die Frage war, kannst du hier sehen, welches die falsche URL ist? Ich weiß nicht, warum, aber in der iOS-Version hat das nicht funktioniert, dort konnte man den Link einfach nicht einklicken. Aber bei den anderen beiden Apps konnte man das klicken und hatte dieses Problem. Telegram hat das gleiche Problem. Telegram hat das noch weniger weit verfolgt. Nämlich, man konnte in der V-Show sogar auch noch was reintun, so dass man sehr überzeugende Fishing Angriffe machen konnte. Jetzt schauen wir uns mal an, was wir so einen Angriff mit Signal und dem Tower Browser machen können. Es wurde für ein paar Monaten von Signal auch gefixt. Telegram hat es vor einer Weile gefixt, aber es scheint irgendwie zurückgegangen zu sein. Das letzte Woche vor dem Talk, vor dem Talk noch etwas geforscht hat, scheint wieder zurück gewesen zu sein, also haben wir es jetzt irgendwie nicht richtig gemacht. Also schauen wir uns hier mal den Angriff an. Das ist ein falscher Link von Apple.com. Sehr legitim, kannst du anklicken. Oh, sorry, how to do that, I don't know. Alright, sorry about that guys. Also zurück zum Video. Fake Apple, in der UL wascht einfach nur Apple und so weiter. Tower Browser ist da auch verwundbar zu mit der mobilen Unterdesktop-Version, also zurück zum Ich weiß nicht, wie ich meinen eigenen Computer benutze. Schämend, auch wieder ein bisschen Hilfe hier. Ich rede mit dem ganzen Hacken, aber dieses Basis-Scheiß kann ich einfach nicht. Wir haben das einfach alles gesehen, was auch sehr wichtig ist, darüber reden. Wir müssen, wie wir uns verteidigen können. Für Browser benutzt einfach Google Chrome. Das verhindert solche Attacken. Und andere sicherheitsrelevante Dinge macht Chrome auch. Das ist einfach sehr wertvoll zu benutzen. Es gibt auch Chrome-Extensions wie Fish.ai. Es gibt auch ein paar einige Attacken verhindert. Das sind auch andere Extensions, die das gleiche machen. Aber Firefox könnt ihr das Ganze mit dem Punicode zu true machen und dann zeigt es diesen ganzen Unicode-Kram nie wieder. Es zeigt einfach den Punicode bei e-mail Outlook Protomail to the Notafs. Sie sind okay. Andere populäre, nicht so hashmail, ein paar andere, vor allen Dingen Webmail-Provider. Die haben einfach keine Arbeit da reingesteckt. Ich habe auch einige als Problem gemeldet, da kam dann wenig zurück. Chrome hat es vor einem Monat oder so rausgebracht. Der enden Liste der 10.000 meistgenutzten Websites. Die machen so bisschen Arbeit, um zu gucken, hey, sieht so aus, als ob jemand eine Homografie-Attacke versucht hat. Github, bist du dir sicher, dass du dahin willst oder also diesem Ding, das ein bisschen merkwürdig und fishy ist? Das Verteidigungsaspekt des menschlichen Auge gab es ein paar Vorschläge, die nie losgegangen sind, z.B. verschiedene Farben für die Buchstaben zu haben, die nicht im latänischen Alphabet sind, die halt verwechselbar sind. Das ist wahrscheinlich nicht so großartig für ein User-Interface-Standpunkt. Darum kam das nie wirklich groß. Da gibt es noch ein paar Libraries, die verwechselbare Checken machen einfach dieses schwere Lüften, machen das für dich. Verwechselbare Homografen gibt es schon eine Weile seit 20 Jahren, internationalisierte Domainname eingeführt von ICANN, sind nicht so viel diskutiert und werden oft übersehen. Diese Probleme sind meistens nicht Teil des Bedrohungsszenario einiger Apps, die werden oft einfach als Social Engineering gesehen. Also viel Glück, wenn ihr das als Back-Reported, die sagen, das sind Social Engineering-Angriffe, nichts mit meinem Programm zu tun. Aber es gab auch einen Kopfgeld von einem Messenger, da kann ich aber nicht so richtig darüber reden. Und das war so das einzige, dass so eine kleine Belohnung für dieses Problem gegeben hat. Das ist kein Sicherheitsproblem, weil sie genau das machen, was sie machen sollen. Und wenn du da halt klickst, dann kommst du irgendwo anders hin. Und am Ende können Programmsicherheitsteams mehr machen, um diese Gefahr zu verhindern. Chrome macht das zum Beispiel ganz gut, nicht erst jetzt mit diesem coolen Interface. Hey, bist du sicher, dass du auf diese Webseite gehen willst, sondern auch, dass sie ihre Algorithmen verbessern, um die Domainnames zu zeigen. Und andere Software macht es eigentlich nicht. Und verletzt sich dann ein bisschen darauf, dass die User aufpassen und nicht irgendwo drauf klicken. Das ist nicht so richtig eine Option. Oder halt auf Econ warten, dass sie da irgendwie mit einer magischen Lösung kommen. Einer der Security Messenger, den ich dieses Issue berichtet habe, sagen, das ist kein Problem. Das ist ein Problem mit ICANN und Registrat. Sie haben versucht, diese Schuld zu verschieben. Und no, das ist nicht wirklich ihre Schuld, sondern das ist eure Schupe, ja, das nicht korrekt macht. Hier sind ein paar Quellen für meine Forschung. Ich empfehle echt, dass ihr das mal lest, wenn ihr euch interessiert. Und ja, vielen Dank. Und ich denke, wir haben Zeit für Fragen. Vielen Dank für den Vortrag. Gibt es hier irgendwelche Fragen aus dem Raum? Aus dem Internet? Nein? Wow. Wow. Das ist großartig. Ich hoffe, ich habe einfach alles so gut erklärt, dass es keine Fragen mehr gibt. Ja, es sieht so aus. Es gibt einfach keine Fragen, die noch nicht beantwortet worden sind von diesem wundervollen Thema. Na gut, dann machen wir hier Schluss. Und für heute Abend dann nochmal bitte Applaus.