[LACNIC/Seguridad] Nuevos TLD y el phishing

Carlos P charly_en_el_trabajo en yahoo.com
Vie Ene 31 12:31:56 BRST 2014


Hola tod en s:

Habiendo TLDs limitados, para evitar caer en un sitio equivocado la regla es simple:

Banco -> banco.com o banco.com.xx -> OK

Una vez ahí, TLS nos permite comprobar que el sitio sea legítimo por si hay DNS spoofing o MITM, siempre y cuando el usuario colabore y no acepte cualquier cosa.

Ahora bien, con la proliferación de TLDs[1], piensen en el momento en que los genios de marketing comiencen a ponerse creativos:


(1) Banco -+-> bcru.com o bcru.com.uy -> OK

           +-> bcru.company -> ?
           +-> bcru.luxury -> ?

           +-> bcru.solutions -> ?

           +-> bcru.support -> ?

           +-> bcru.holiday -> ?

           +-> bcru.international -> ?

           +-> bcru.bargains -> ?


Es como una generalización legalizada del problema:

(2) Banco -+-> bcru.com o bcru.com.uy -> OK
           +-> mibcru.com -> FAIL

           +-> tubcru.com -> FAIL

           +-> bcrv.com -> FAIL
           +-> bcru.net -> mmh, me parece raro
           +-> bcru.com.cz -> mmh, me parece raro


En (2), como que se le puede pedir a un usuario que no caiga, pero en (1) no hay manera, no tengo criterio.


Aclaro que estoy pensando más en términos de negocios establecidos que en lo nuevos.


Aclaro que conozco que hay clases de certificados (que manifiestan en los colores de la url en algunas plataformas) y que los bancos (en este caso el ficticio Banco Central de la Republica Uruguaya) deberían usar el más alto, pero tambien entiendo que en .cz bcru puede significar algo de modo tal que podría ser registrado como "verde".



Mis preguntas y opiniones son:

¿Empeora esto la situación?, me parece que si. Aunque es más de lo mismo, un cambio en la cantidad tan grande produce un cambio en la calidad del problema.


¿Hay mecanismos de mitigación para esto que se hayan propuesto o discutido?

He estado reflexionando, pero dada mi profunda inexperiencia/ignorancia, sólo se me ocurren ideas parciales como:


Algo parecido a spf y que un dominio XXXX.tld solo pueda ser autorizado por XXXX.com, tipo jerarquizar los TLD.


Quizás utilizando un plugin que se conecte a un proveedor que compruebe por otro canal, pero DNS spoofing y MITM podrian afectarlo o al menos interrumpirlo.


Espero haber sido claro y no muy lamer.


Gracias anticipadas

Carlos Pantelides
@dev4sec
seguridad-agile.blogspot.com.ar


[1]http://newgtlds.icann.org/en/program-status/delegated-strings









[1] http://newgtlds.icann.org/en/program-status/delegated-strings
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20140131/45b4744c/attachment.html>


Más información sobre la lista de distribución Seguridad