Michael Cobb是認證信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP),知名的安全作家,具有十多年豐富的IT行業(yè)經(jīng)驗,并且還從事過十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事,該公司主要提供IT培訓,以及數(shù)據(jù)安全和分析的支持。Michael還合著過IIS Security一書,并為領(lǐng)先的IT出版物撰寫過無數(shù)科技文章。此外,Michael還是微軟認證數(shù)據(jù)庫系統(tǒng)管理員和微軟認證專家。
無處不在的國際化電子郵箱即將出現(xiàn)。這將對企業(yè)有什么影響?本文中專家Michael Cobb解釋了這個問題。
谷歌最近進行了一些語言/文字更改,使Gmail成為更國際化的電子郵件服務(wù)。這種變化的安全優(yōu)勢是什么?國際化電子郵件應(yīng)用/服務(wù)對企業(yè)安全有什么影響?
Michael Cobb:互聯(lián)網(wǎng)是一種全球性現(xiàn)象,但其標準仍然主要是基于英文字母—全球不到一半的人口在使用英語。例如,電子郵件地址[email protected]是無效的,因為jos包含字母。根據(jù)RFC 5321,郵件名只可以使用7位ASCII—不允許使用á、、、等特殊字符。大多數(shù)郵件服務(wù)器會忽略,并試圖發(fā)送電子郵件到j(luò)[email protected]。(按照RFC 5890域名已經(jīng)國際化,所以郵件地址[email protected]為有效。)
對于想要在郵箱地址中使用自己名字的人來說,這可能有些令人沮喪。例如有人叫做Cristbal Coln,即西班牙語的Christopher Columbus(哥倫布),他只能選擇cristobal.colon@作為郵箱地址--不再是著名的探險家,只是標點符號。
為了解決這個問題,互聯(lián)網(wǎng)工程任務(wù)組(IETF)創(chuàng)建了新的電子郵件標準,支持包含非ASCII字符的地址。這是早在2012年的事情,并且在2008年UTF-8已經(jīng)超越ASCII成為網(wǎng)絡(luò)最常用的字符編碼,盡管如此,目前用戶仍然只能使用基本的拉丁字符,因為每個電子郵件服務(wù)提供商和每個網(wǎng)站(在注冊時需要提供有效郵箱地址)都需要采用新標準。
谷歌是第一個增加非拉丁字符支持的大型郵件服務(wù)提供商;Gmail現(xiàn)在可以正確處理包含重音或非拉丁字符的地址。這意味著Gmail用戶可以發(fā)送和接收郵箱地址中包含這些字符的郵件,但目前還不可以使用重音或非拉丁字符創(chuàng)建Gmail賬戶。
然而,這里會帶來安全隱患,對非拉丁字符的支持會讓網(wǎng)絡(luò)釣魚攻擊者更容易地偽造用戶的郵箱地址。
讓我來解釋一下。
在ASCII編碼中,有幾對看起來很像的字符:例如,大寫字母O和數(shù)字0,小寫字母l(L)和大寫字母I(i)。在大多數(shù)字體中,它們幾乎沒有區(qū)別,但計算機系統(tǒng)在處理它們時會區(qū)別對待。例如,ASCII對大寫l的編碼是73,而對小寫l的編碼是108。基于這些相似之處的欺騙攻擊被稱為同形異義欺騙攻擊。這類似于注冊近似域名,例如攻擊者注冊www.goog1e.co.uk,但這依賴于自然人類錯別字,同形異義欺騙攻擊會利用視覺上無區(qū)別的名稱來欺騙用戶。
Unicode融入了很多書寫系統(tǒng),并增加了相似字符的數(shù)量,例如希臘Ο、拉丁O和西里爾О。這樣一來,網(wǎng)絡(luò)罪犯或攻擊者可以創(chuàng)建郵箱地址,讓收件人相信這是來自可信的朋友或者同事,例如а[email protected],而不是[email protected],第一個地址使用的是Unicode字符U+430,西里爾小字母a,而不是Unicode字符U + 0061,拉丁小字母a。
對于試圖利用Unicode同形字符來發(fā)動攻擊的攻擊者,谷歌正試圖先發(fā)制人,通過更新其Gmail垃圾郵件過濾器來提高有針對性網(wǎng)絡(luò)釣魚攻擊的難度,阻止使用可疑字符組合的郵箱地址的郵件。怎樣來判斷郵箱地址是否可疑呢?這是根據(jù)Unicode協(xié)會設(shè)置的規(guī)范,該協(xié)會對一致表述以及處理世界上大部分書寫系統(tǒng)中的文本制定了計算機行業(yè)標準。
雖然其他網(wǎng)絡(luò)郵件提供商可能會先看看全球化Gmail是否會為谷歌帶來更多用戶以及影響其自己的用戶數(shù)量,才考慮引入更多語言本地化,但郵件地址全球化勢在必行。為了解決Unicode同形字符攻擊帶來的危害,網(wǎng)站和用戶都可以使用數(shù)字證書,讓其他人可以驗證他們正在訪問的域名,以及確認收到郵件的發(fā)送者的身份。
京公網(wǎng)安備 11010502049343號