Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章。此外,Michael还是微软认证数据库系统管理员和微软认证专家。
无处不在的国际化电子邮箱即将出现。这将对企业有什么影响?本文中专家Michael Cobb解释了这个问题。
谷歌最近进行了一些语言/文字更改,使Gmail成为更国际化的电子邮件服务。这种变化的安全优势是什么?国际化电子邮件应用/服务对企业安全有什么影响?
Michael Cobb:互联网是一种全球性现象,但其标准仍然主要是基于英文字母—全球不到一半的人口在使用英语。例如,电子邮件地址josé@mialmacen.es是无效的,因为josé包含字母é。根据RFC 5321,邮件名只可以使用7位ASCII—不允许使用á、é、ó、í等特殊字符。大多数邮件服务器会忽略é,并试图发送电子邮件到jose@mialmacen.es。(按照RFC 5890域名已经国际化,所以邮件地址jose@mialmacen.es为有效。)
对于想要在邮箱地址中使用自己名字的人来说,这可能有些令人沮丧。例如有人叫做Cristóbal Colón,即西班牙语的Christopher Columbus(哥伦布),他只能选择cristobal.colon@作为邮箱地址--不再是著名的探险家,只是标点符号。
为了解决这个问题,互联网工程任务组(IETF)创建了新的电子邮件标准,支持包含非ASCII字符的地址。这是早在2012年的事情,并且在2008年UTF-8已经超越ASCII成为网络最常用的字符编码,尽管如此,目前用户仍然只能使用基本的拉丁字符,因为每个电子邮件服务提供商和每个网站(在注册时需要提供有效邮箱地址)都需要采用新标准。
谷歌是第一个增加非拉丁字符支持的大型邮件服务提供商;Gmail现在可以正确处理包含重音或非拉丁字符的地址。这意味着Gmail用户可以发送和接收邮箱地址中包含这些字符的邮件,但目前还不可以使用重音或非拉丁字符创建Gmail账户。
然而,这里会带来安全隐患,对非拉丁字符的支持会让网络钓鱼攻击者更容易地伪造用户的邮箱地址。
让我来解释一下。
在ASCII编码中,有几对看起来很像的字符:例如,大写字母O和数字0,小写字母l(L)和大写字母I(i)。在大多数字体中,它们几乎没有区别,但计算机系统在处理它们时会区别对待。例如,ASCII对大写l的编码是73,而对小写l的编码是108。基于这些相似之处的欺骗攻击被称为同形异义欺骗攻击。这类似于注册近似域名,例如攻击者注册www.goog1e.co.uk,但这依赖于自然人类错别字,同形异义欺骗攻击会利用视觉上无区别的名称来欺骗用户。
Unicode融入了很多书写系统,并增加了相似字符的数量,例如希腊Ο、拉丁O和西里尔О。这样一来,网络罪犯或攻击者可以创建邮箱地址,让收件人相信这是来自可信的朋友或者同事,例如аndrew123@gmail.com,而不是andrew123@gmail.com,第一个地址使用的是Unicode字符U+430,西里尔小字母a,而不是Unicode字符U + 0061,拉丁小字母a。
对于试图利用Unicode同形字符来发动攻击的攻击者,谷歌正试图先发制人,通过更新其Gmail垃圾邮件过滤器来提高有针对性网络钓鱼攻击的难度,阻止使用可疑字符组合的邮箱地址的邮件。怎样来判断邮箱地址是否可疑呢?这是根据Unicode协会设置的规范,该协会对一致表述以及处理世界上大部分书写系统中的文本制定了计算机行业标准。
虽然其他网络邮件提供商可能会先看看全球化Gmail是否会为谷歌带来更多用户以及影响其自己的用户数量,才考虑引入更多语言本地化,但邮件地址全球化势在必行。为了解决Unicode同形字符攻击带来的危害,网站和用户都可以使用数字证书,让其他人可以验证他们正在访问的域名,以及确认收到邮件的发送者的身份。
作者:Michael Cobb 翻译:邹铮
来源:51CTO