(Por El Microsaurio) Los muchachos de Mozilla publicaron un grupo de Security Advisories, a poco más de un mes de la anterior. Mencionan varias fallas de seguridad, separadas en cinco notas de seguridad, de las cuales tres son críticas, una es alta y una es baja. Si no recordás el valor de estas calificaciones, es bastante simple. Determinan cuán fácil será para el atacante ingresar a tu máquina, en relación inversa con el daño que podrá causarte. Si tenés la versión 3.0.6 de Firefox, tenés que actualizar a la 3.0.7. Y ahora te cuento por qué.
Arrancamos con las notas de seguridad. Las tres calificadas como más graves (las “críticas”) mencionan errores en la forma de abrir imágenes PNG, que pueden afectar el contenido de la memoria; bugs en el motor del navegador que también alteran el correcto uso de memoria y defectos en el diseño de XUL, el XML User Interface Language que permitirían al atacante ejecutar código a voluntad. Y como el XUL se emplea para crear aplicaciones y extensiones de productos Mozilla… bueno, se puede pudrir todo.
La falla de programación calificada como “alta” produce un antipático resultado: puede permitir el robo de datos mientras se navega por un website “dañino”. Claro, como vos sos mago, inmediatamente podés calificar al website como dañino y cerrás el navegador antes de que te descarguen algo…
Finalmente la que los cráneos de Mozilla calificaron como de impacto bajo, se refiere a la posibilidad de que determinados caracteres se vean diferentes cuando aparecen en la barra de direcciones.
Pero esta cosa tiene su historia…
Recordarás que desde el año 2001 se trabaja para permitir dentro de los nombres de dominio de Internet el uso de caracteres “internacionales” (así los llaman) como nuestra querida eñe, la ce con cedilla (“ç”) del francés y el portugués, la letra esszet del alemán, esa que parece una beta griega, y esas consonantes con acentos o tachaduras del sueco, el checo o el polaco. Para no detallar los caracteres cirílicos o griegos, japoneses o hebreos. El tema fue definido en normas de la ICANN en el 2003, los que saben los llaman IDN (Internationalized Domain Name) y muchas empresas registradoras de dominios, ávidas de cobrar a los usuarios particulares (y más a las corporaciones, claro) que quieren mantener sus nombres o marcas en sus idiomas originales, han impulsado el uso de estos caracteres en los nombres de dominio. Todos felices.
Pues…
Enseguida se puso de moda el Ataque Homográfico IDN
Funciona así: un desgraciado registra un website cuyo nombre de dominio usa caracteres “internacionales” que cuando se muestran en la barra de direcciones o en un email se ven como otra letra. Un incauto cree, por ejemplo, que eso que está ahí es el nombre de su banco, hace clic y se mete… en una página falsa.
Te tiro un ejemplo clásico. Entrá en esta página web y vas a ver que aparece “paypal.com” como link, en el segundo renglón. Si hacés clic, te lleva a una página con un breve texto en inglés, o te tira error, según el navegador que uses.
Porque no es el sitio de Paypal. Es falso. Probá donde dice “rightful owners” y vas a parar al Paypal verdadero.
Este ejemplo pertenece a Eric Johanson, las primeras investigaciones son de 2002 y la página-ejemplo fue publicada en 2005.
En Internet Explorer 6, si mirás lo que muestra la barra de abajo, se lee “paypal”, hacés clic y hay un mensaje de error; en Internet Explorer 7, se ve “xn--pypal-4ve.com” (los verdaderos caracteres) porque Microsoft acusó recibo de las observaciones de Johanson. Esos caracteres verdaderos también se ven en la barra de abajo de Firefox 3.0.6. Pero mientras que Firefox entra en el website falso (que tiene un mensaje en broma, de Johansen) sin más, IE 7 al entrar tira un cartelito que (si te tomás el trabajo) te lleva a otro que te advierte sobre caracteres IDN. Y suerte que Johansen no tiene ganas de pedirte el número de tu cuenta de Paypal…
Mirá vos, siete años dándole al tema y lo van solucionando de a poco.
El tema es que los links que te llegan en un email siguen teniendo caracteres trampeados, a veces. Pero vos siempre revisás la barra de abajo <antes> de hacer clic, ¿verdad?