Internationalisierte Domainnamen – Die Geschichte des ᴏ

... oder wie ich unseren Awareness-Guru ausgetrickst habe.

Internationalisierte Domainnamen wurden 2003 eingeführt, um Domainnamen aus nicht-lateinischen Schriftzeichen möglich zu machen. Allerdings sind die internationalisierten Domainnamen, im Gegensatz zu den Länderdomains, in Europa nicht sonderlich weit verbreitet. Die wenigsten Unternehmen verwenden diese als primäre Domain. Meistens werden sie als Web-Weiterleitung verwendet, um den Namen mit Umlaut auch auf die eigene Webseite umzuleiten.

Was sind internationalisierte Domainnamen?

Ein internationalisierter Domainname bezeichnet Domains mit Sonderzeichen, wie Umlaute. Beispielsweise leitet die Domain würzburg.de auf die primär genutzte Seite wuerzburg.de , der Stadt Würzburg weiter. Seit der Freigabe der Top-Level Domains, existieren, speziell im asiatischen und arabischen Raum, auch Top-Level-Domains wie beispielsweise .みんな die „Min’na“ ausgesprochen wird und auf japanisch so viel wie „Alle“ oder „Jeder“ bedeutet.
Technisch werden solche Domains mit einem Trick abgebildet, da der ursprüngliche Raum für DNS-Namen streng reguliert und definiert war: Es sind nur Kleinbuchstaben von a bis z, die Ziffern 0 bis 9 und der Bindestrich erlaubt. Die sogenannte Punycode Notation, beschrieben in RFC 3492, definiert, wie Unicode-Strings als ASCII-Zeichen kodiert werden:

  • Zuerst werden alle Basis-Zeichen aufgelistet,
  • danach folgen die Sonderzeichen in einer speziellen Notation, die sowohl Position als auch Zeichen in der Kette der Basiszeichen definiert. Somit bleiben Teile der Basiszeichen lesbar.
  • Um daraus einen eindeutig unterscheidbaren Domainnamen zu machen, wird im sogenannten IDNA Standard für Domainnamen definiert, dass internationalisierte Labels mit einem „xn--“ eingeleitet werden. Ein Label im DNS beschreibt eine Zeichenkette zwischen den Punkten.
  • In der entsprechenden Notation wird die oben aufgelistete Domain .みんな dann als .xn--q9jyb4c abgebildet. Die Domain würzburg.de wird als xn--wrzburg-n2a.de abgebildet. Damit ist eine grundsätzliche Kompatibilität aller internationalisierten Domains gewährleistet, allerdings sieht das nicht schön aus.

Unicode umfasst in Version 6.0 genau 109242 typografische Zeichen, darunter die bekannten ä, ö, ü, è, é, ê, aber auch seltene Zeichen wie😁, 🂡 und Ω. Wer stöbern will, findet auf decodeunicode.org eine entsprechende Übersicht.

Für die Internationalisierung ein Meilenstein, es gibt aber auch Risiken

Relativ schnell wurde klar, dass im umfangreichen Zeichensatz ein ernsthaftes Problem liegt. Vor der Einführung der IDN-Domains wurde teilweise mit Zahlen anstatt Buchstaben gearbeitet, um optisch ähnliche Domains zu erstellen und damit Anwender auszutricksen, beispielsweise eine 0 anstatt eines o oder eine 1 anstatt eines l. Hier spielte dann auch noch sehr oft die Art der verwendeten Schriftart eine Rolle, denn mit Serifen sehen sich 1 und l sehr viel ähnlicher als in einer serifen-losen Schriftart.

In den Unicode Tafeln gibt es ähnliche oder in der Anzeige identische Zeichen, die nur in der technischen Notation zu unterscheiden sind. Ein kyrillisches „es“ sieht so aus: с (U+0441), zum Vergleich das Latin c aus dem ASCII Code.

In einem im Dezember 2001 vorgestellten Papier The Homograph Attack wurde eine Variante von microsoft.com mit kyrillischen o und c registriert. Das war während des Erstellungs-Prozesses für die Regeln zur Registrierung von internationalisierten Domains. Darum wurden schon hier erste Anpassungen und Beschränkungen vorgenommen und deutlich strengere Regeln festgelegt. So wurde definiert, dass alle Zeichen in einem Domainnamen aus einer Codepage kommen müssen. Mittlerweile wurden mehrere Versionen von Zeichen-Tabellen definiert, die einer Sprache oder einer Schrift zugeordnet sind und bei der IANA hinterlegt wurden.

Zurück zum Anfang: Wie habe ich jetzt den Awareness-Guru ausgetrickst?

Um unseren Awareness-Guru Götz Weinmann auszutricksen habe ich die tᴏ.com Domäne als E-Mail-Absender verwendet, um ihm eine E-Mail mit einem gefälschten Blogbeitrag zum Thema Passwort-Brute-Force Cracking zu schicken, weil ich weiss, dass ihn das interessieren würde. Ein Gerät, dass die betreffene Domain ohne Hinweis anzeigt ist das iPhone. Darum habe ich diese E-Mail in einem Moment gesendet, in dem ich mir sicher war, er wird nur mit dem iPhone E-Mails lesen, auf einer Veranstaltung, an der er als Besucher teilgenommen hat und die entsprechend auch Wartezeiten hatte. Und prompt hat er auch geklickt. Seine Seite der Geschichte hat er hier beschrieben: Social Engineering – wie ich zum Opfer wurde.

Im Ergebnis lässt sich sagen, dass viele Geräte, Betriebssysteme und Applikationen dem Benutzer keine Möglichkeit bieten einen gefälschten Absender auf Basis von Homoglyphen schnell und einfach zu erkennen.

Welches Risiko besteht für Ihre Domains?

Trotz des Verbotes kyrillische oder griechische und lateinische Buchstaben zu mischen, existieren immer noch sehr viele sehr ähnliche Zeichen auch innerhalb einer als Latin definierten Zeichen-Tabelle.

Am Beispiel der Domain für to.com möchte ich zeigen, was mit etwas Kreativität möglich ist. Seit der Einführung von IDN-Domains gibt es in den Schrift-Alphabeten einige spezielle Zeichen, die in Sprachen wie dem Französichen oder im Deutschen sinnvoll sind: Beispielsweise die Zeichen ò, ó, ö oder ǒ. Ein Phisher kann hierzu jetzt mit E-Mail-Absendern der Art erika.mustermann@tó.com oder max.mustermann@tò.com arbeiten. Das kann dem Empfänger auffallen, muss es aber nicht. Die jeweils technische Repräsentation hierzu ist dann in Form von xn--t-tga.com oder xn--t-vga.com gegeben. Grundsätzlich ist es in der Hand des E-Mail- oder Groupware-Programms, diese technische Notation mit xn oder die Schöne mit dem Sonderzeichen anzuzeigen. In der Regel sind ältere Programm nicht in der Lage, xn-Domains in der optisch anspuchsvollen internationalisierten Form anzuzeigen. Sie wissen nichts von der xn-Interpretation und  zeigen einfach die technische Form des Domainnamen an, darum wurde er in dieser rückwärts kompatiblen Art definiert. Moderne Programme können in der Regel die Sonderzeichen anzeigen und liefern keinen wirklichen Hinweis auf die technische Notation dahinter.

Jetzt sind die Versuche den Anwender mit Apostroph-Domain auszutricksen noch relativ einfach erkennbar, weil man nur auf die Flüchtigkeits-Fehler des Angeschrieben setzt.

Im Alphabet der Sonderzeichen für com-Domains existieren aber weitere Zeichen, deren optische Darstellung diese Erkennung nicht so einfach möglich machen:

  • ᴏ Latin Letter Small Capital O (U+1D0F)
  • ᴑ Latin Small Letter Sideways O (U+1E6B)
  • ọ Latin Small Letter O With Dot Below (U+1ECD)

Je nach Schriftart und Größe hat der Endanwender keine Chance, zu erkennen, dass es sich um ein Sonderzeichen handelt. Speziell das “kleine große O” ist hier in der Regel identisch zum normalen kleinen o. erika.mustermann@tᴏ.com ist auf vielen Geräten oder Systemen nicht mehr als Fälschung erkennbar.

Hiermit hat man dann die Möglichkeit E-Mails zu verschicken, die einem internen Empfänger sehr ähnlich sehen oder praktisch auch nicht mehr unterscheidbar sind. Selbst in einfachen Text-E-Mails ist es möglich, den Link beispielsweise auf tọ.com sehr gefahrlos zu platzieren, da durch das Unterstreichen der Punkt sehr oft unsichtbar wird.

Domains können aber nicht nur für E-Mail verwendet werden, sondern auch zum Surfen im Internet. Die Browser haben hier auch sehr unterschiedliche Mechanismen den Benutzer vor solchen Ähnlichkeits-Domains zu warnen. Die Techniken und Regeln , die in Google Chrome verwendet werden, um zu entscheiden, ob die technische oder die schöne Anzeige verwendet wird, sind sehr komplex. In diesem Dokument werden auch die Browser anderer Hersteller verglichen. Bei Firefox ist es beispielsweise möglich, die optisch schöne Darstellung von IDN Domains komplett zu unterbinden.

Bei den verschienden Varianten der to-Domains ist das Verhalten sehr unterschiedlich, speziell wenn man die Varianten tᴏ.com oder tọ.com verwendet. Durch Klicken dieser beiden Links können Sie jeweils sehr genau das Verhalten der verschiedenen Browser testen. Probieren Sie es aus! Um das Risiko zu verdeutlichen, schleusen wir versteckt für den Anwender Java-Script in die echte Website der TO ein und tauschen nach wenigen Sekunden das Logo aus. Etwas später stellen wir die Webseite komplett auf den Kopf. Es handelt sich nicht um eine statische Kopie der Webseite, sondern um eine in Echtzeit ausgelieferte Variante, in die ein zusätzliches Java-Script Element eingefügt wurde, dass die Kontrolle über die Seite übernommen hat und beispielsweise auch Tastatur-Eingaben mitlesen könnte. In unserem Fall beschränkt sich das Skript auf den Tausch des Logos und das Drehen der Seite. Auch die Verschlüsselung der to.com-Seite ist kein Problem. Dank einer Vielzahl von freien Zertifzierungsstellen ist es auch möglich, die Domain mit einem gültigen, in allen gängigen Browsern vertrauten Zertifikat auszustatten. Es wird bei den einfachen, teilweise sogar kostenlosen Zertifikaten einfach nur geprüft, ob der Antragsteller die Kontrolle über DNS und Webseite selbst hat. Das kann ich bei den registrierten Varianten der to.com-Webseite problemlos  nachweisen. Der Einsatzzweck der Domain ist kein Grund, ein Zertifikat nicht auszustellen.

Vergleichbar ist das mit den Korallenottern und den Dreiecksnattern: Wann gehe ich von einer harmlosen Schlangenart aus und wann bin ich vorsichtig, weil ich nicht ausschließen kann, eine Giftschlange vor mir zu haben?

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *