I nuovi domini ZIP accendono il dibattito tra gli esperti di sicurezza informatica
I nuovi domini ZIP accendono il dibattito tra gli esperti di sicurezza informatica
I ricercatori di sicurezza informatica e gli amministratori IT hanno sollevato preoccupazioni sui nuovi domini Internet ZIP e MOV di Google, avvertendo che gli attori delle minacce potrebbero utilizzarli per attacchi di phishing e distribuzione di malware.
All'inizio di questo mese, Google ha introdotto otto nuovi domini di primo livello (TLD) che possono essere acquistati per l'hosting di siti Web o indirizzi e-mail.
I nuovi domini sono .dad, .esq, .prof, .phd, .nexus, .foo e, per l'argomento del nostro articolo, i domini di primo livello .zip e .mov.
Sebbene i TLD ZIP e MOV siano disponibili dal 2014, è stato solo questo mese che sono diventati generalmente disponibili, consentendo a chiunque di acquistare un dominio, come bleepingcomputer.zip, per un sito web.
Tuttavia, questi domini potrebbero essere percepiti come rischiosi in quanto i TLD sono anche estensioni di file comunemente condivisi in post di forum, messaggi e discussioni online, che ora verranno automaticamente convertiti in URL da alcune piattaforme o applicazioni online.
La preoccupazione
Due tipi di file comuni visti online sono archivi ZIP e video MPEG 4, i cui nomi di file terminano in .zip (archivio ZIP) o .mov (file video).
Pertanto, è molto comune che le persone pubblichino istruzioni contenenti nomi di file con estensioni .zip e .mov.
Tuttavia, ora che sono TLD, alcune piattaforme di messaggistica e siti di social media convertono automaticamente i nomi di file con estensioni .zip e .mov in URL.
Ad esempio, su Twitter, se invii a qualcuno istruzioni sull'apertura di un file zip e sull'accesso a un file MOV, i nomi di file innocui vengono convertiti in un URL,
Quando le persone vedono gli URL nelle istruzioni, di solito pensano che l'URL possa essere utilizzato per scaricare il file associato e possono fare clic sul collegamento. Ad esempio, collegare i nomi dei file ai download è il modo in cui di solito forniamo istruzioni su BleepingComputer nei nostri articoli, tutorial e forum di discussione.
Tuttavia, se un malintenzionato possedeva un dominio .zip con lo stesso nome di un nome file linkato, una persona potrebbe erroneamente visitare il sito e cadere in una truffa di phishing o scaricare malware, pensando che l'URL sia sicuro perché proviene da una fonte attendibile.
Sebbene sia molto improbabile che gli attori delle minacce registrino migliaia di domini per catturare alcune vittime, è sufficiente che un dipendente aziendale installi erroneamente malware per colpire un'intera rete.
L'abuso di questi domini non è teorico, con la società di intelligence informatica Silent Push Labs che sta già scoprendo quella che sembra essere una pagina di phishing su microsoft-office[.]zip che tenta di rubare le credenziali dell'account Microsoft.
Anche i ricercatori sulla sicurezza informatica hanno iniziato a giocare con i domini, con Bobby Rauch che pubblica una ricerca sullo sviluppo di collegamenti di phishing convincenti utilizzando i caratteri Unicode e il delimitatore userinfo (@) negli URL.
La ricerca di Rauch mostra come gli attori delle minacce possono creare URL di phishing che sembrano URL legittimi per il download di file su GitHub, ma che in realtà ti portano su un sito Web v1.27.1[.]zip quando vengono cliccati, come illustrato di seguito.
https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip
Opinioni contrastanti
Questi sviluppi hanno scatenato un dibattito tra sviluppatori, ricercatori di sicurezza e amministratori IT, con alcuni che ritengono che i timori non siano giustificati e altri che ritengono che i TLD ZIP e MOV aggiungano rischi inutili a un ambiente online già rischioso.
Le persone hanno iniziato a registrare domini .zip associati ad archivi ZIP comuni, come update.zip, financialstatement.zip, setup.zip, attachment.zip, officeupdate.zip e backup.zip, per visualizzare informazioni sui rischi di ZIP domini, a te RickRoll o per condividere informazioni innocue.
Lo sviluppatore open source Matt Holt ha anche richiesto che il ZIP TLD fosse rimosso dall'elenco dei suffissi pubblici di Mozilla, un elenco di tutti i domini pubblici di primo livello da incorporare nelle applicazioni e nei browser.
Tuttavia, la comunità PSL ha rapidamente spiegato che, sebbene possa esserci un leggero rischio associato a questi TLD, sono ancora validi e non dovrebbero essere rimossi dal PSL in quanto ciò influirebbe sul funzionamento di siti legittimi.
"Rimuovere i TLD esistenti dal PSL per questo motivo sarebbe semplicemente sbagliato. Questo elenco viene utilizzato per molti motivi diversi e, proprio perché queste voci sono dannose per un caso d'uso molto specifico, sono ancora necessarie per (quasi) tutti gli altri, " ha spiegato l'ingegnere del software Felix Fontein.
"Questi sono TLD legittimi nella radice ICP3. Questo non procederà", ha ulteriormente condiviso il manutentore di PSL Jothan Frakes.
"In realtà, le preoccupazioni espresse sono più che altro un lampante esempio di disconnessione tra lo sviluppatore e la comunità della sicurezza e la governance dei nomi di dominio, dove trarrebbero vantaggio da un maggiore coinvolgimento all'interno dell'ICANN".
Allo stesso tempo, altri ricercatori e sviluppatori di sicurezza hanno espresso di ritenere che i timori riguardo a questi nuovi domini siano esagerati.
Quando BleepingComputer ha contattato Google in merito a queste preoccupazioni, ha affermato che il rischio di confusione tra nomi di file e nomi di dominio non è nuovo e che sono in atto mitigazioni del browser per proteggere gli utenti dagli abusi.
"Il rischio di confusione tra nomi di dominio e nomi di file non è nuovo. Ad esempio, i prodotti Command di 3M utilizzano il nome di dominio command.com, che è anche un programma importante su MS DOS e le prime versioni di Windows. Le applicazioni hanno mitigazioni per this (come Google Safe Browsing) e queste mitigazioni saranno valide per TLD come .zip.
Allo stesso tempo, i nuovi spazi dei nomi offrono maggiori opportunità per la denominazione come community.zip e url.zip. Google prende sul serio il phishing e il malware e Google Registry dispone di meccanismi esistenti per sospendere o rimuovere i domini dannosi in tutti i nostri TLD, incluso .zip. Continueremo a monitorare l'utilizzo di .zip e altri TLD e, se emergeranno nuove minacce, adotteremo le misure appropriate per proteggere gli utenti." - Google.
Cosa dovresti fare?
La realtà è che non è necessario fare nulla in più rispetto a quanto si sta già facendo per proteggersi dai siti di phishing.
Come tutti dovrebbero già sapere, non è mai sicuro fare clic su collegamenti di persone o scaricare file da siti di cui non ti fidi.
Come qualsiasi link, se vedi un link .zip o .mov in un messaggio, cercalo prima di cliccarci sopra. Se non sei ancora sicuro che il collegamento sia sicuro, non fare clic su di esso.
Seguendo questi semplici passaggi, l'impatto dei nuovi TLD sarà minimo e non aumenterà significativamente il rischio.
Tuttavia, l'esposizione a questi collegamenti probabilmente aumenterà man mano che più applicazioni trasformeranno automaticamente i nomi di file ZIP e MOV in collegamenti, offrendoti un'altra cosa a cui prestare attenzione quando sei online.