Softpicks.Net Deutsch

Bodo Eggert wrote on 07. February 2005:
>
> Andreas Kohlbach <ankman [at] email.com> wrote:
>
>> Komisch, dass das noch nicht gepostet wurde.
>>=20
>> Bitte mal diesen Link testen <http://www.shmoo.com/idn/> in Opera oder
>> Mozilla/Firefox/Netscape... testen.
>
> Unter Linux:
> Opera 7.54: Das erste a ist leicht kleiner.
> Mozilla 1.6: Hier sehen die 'a's gleich aus.

Aber unter normalen Umst=E4nden wird da keiner drauf achten. Der
Unterschied m=FCsste schon ins Auge springen.

Ausserdem liegt es wohl am verwendeten Font. Hier unter Linux sehen die a
bei Opera gleich aus, zumindest so =E4hnlich, dass ich keinen Unterschied
sehe.

Aber wie erw=E4hnt, trifft das "nur" Mozilla/Opera User. Die Phisher
k=F6nnten mit Javascript im Spam arbeiten, und den User-Agent abfragen, und
verschiedene Links f=FCr IE oder andere generieren. So wird wohl kommen.

Ich hatte ja neulich mal einen Link in der abuse.mail Gruppe gepostet, wo
ein Phisher die Adresszeile des Internet Explorer per JAVA Applet
nachgebildet hat, wo halt ein unverf=E4nglicher Link drin stand, den man
sogar editieren kann.

Die Updates f=FCr zumindest die Mozilla Familie werden wohl noch diese
Woche rauskommen. Fertig sind sie wohl schon, werden aber noch getestet
vorher. Also ein Update in Betracht ziehen. Opera wird hoffentlich auch
bald updaten.
=2D-=20
Andreas
Die FAQ dieser Gruppe unter http://www.stud.tu-ilmenau.de/~traenk/dcsm.=
htm
Linkliste zum Thema Computersicherheit http://www.linkblock.=
de/=20
.

Andreas Kohlbach <ankman [at] email.com> wrote:

>Bitte mal diesen Link testen <http://www.shmoo.com/idn/> in Opera oder
>Mozilla/Firefox/Netscape... testen.
>
>Hatte das auf Heise gefunden. Dort steht, wie es funktioniert. der Trick
>könnte, und wird sicher auch, von Phishern missbraucht werden. Die
>würden dann allerdings Internet Explorer User ausschließen.

Damit wird mein Ratschlag in <cthf2m$4s8$03$1 [at] news.t-online.com>
wieder aktuell und meinen Nachsatz in
<ctjbto$qhg$00$1 [at] news.t-online.com>, daß man auch alternativ den
Inhalt der Adresszeile überprüfen könne, sollte man schnellstmöglich
wieder vergessen, so man dieses "Überprüfen" nicht sehr gründlich
macht.
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München
.

Andreas Kohlbach <ankman [at] email.com> wrote:

> Komisch, dass das noch nicht gepostet wurde.
>
> Bitte mal diesen Link testen <http://www.shmoo.com/idn/> in Opera oder
> Mozilla/Firefox/Netscape... testen.

Unter Linux:
Opera 7.54: Das erste a ist leicht kleiner.
Mozilla 1.6: Hier sehen die 'a's gleich aus.
--
When reviewing the radio frequencies that you just wrote down, the most
important ones are always illegible.

Friß, Spammer: usher [at] looloo.biz order [at] lowpricebargain.com
.

[Juergen P. Meier]

Bodo Eggert <7eggert [at] 7eggert.dyndns.org>:
> Andreas Kohlbach <ankman [at] email.com> wrote:
>
>> Komisch, dass das noch nicht gepostet wurde.
>>
>> Bitte mal diesen Link testen <http://www.shmoo.com/idn/> in Opera oder
>> Mozilla/Firefox/Netscape... testen.
>
> Unter Linux:
> Opera 7.54: Das erste a ist leicht kleiner.
> Mozilla 1.6: Hier sehen die 'a's gleich aus.

Dann verwenden beide verschiedene Fonts fuer die URL-Zeile.

Das 'a' in der URL ist ein kyrillisches kleines 'a' - und einige
Font-Zeichner haben sich offenbar das Leben Leicht gemacht und einfach
das latainische kopiert (prinzipiell nichts gegen zu sagen, so sind
die Russen ja urspruenglich zu ihrem "a" gekommen .

Frage: Welchen Font verwendet dein Mozilla fuer die URL?
(Die Mickeysoft wintendo-Fonts hier haben alle identische "a".)

Nett finde ich, das sie fuer den PoC extra ein gueltiges Zertifikat
fuer den SSL-Server bei einer der in Brausern vorinstallierten CA
geholt haben, so merkt der DAU¹ nichts.

-> Ein weiterer Grund unbekannte und unvertrauenswuerdige CA-Zerts aus
seinem Brauser zu entfernen.

PS:
Sofern das DeNIC es einmal schaft, seine eigenen Regeln zu befolgen
und einmal diese konsistent haelt, duerfte diese Form des Phishings
mit .de-Domains nicht ganz so leicht sein. Denn kyrillische Buchstaben
sind nach http://www.denic.de/de/domains/idns/liste.html nicht
zugelassen.
Aber zumindest auf den ersten Blick eignen sich z.B. das Kra (als K)
oder das thorn (als b) maessig und wirken wohl nur bei Blindfischen.
(Sofern sie kein Braille-UI verwenden.)

¹ wenn ich das Gross schreibe, meine ich das TLA und nicht den Andreas.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

[Juergen P. Meier]

Andreas Kohlbach <ankman [at] email.com>:
> Bodo Eggert wrote on 07. February 2005:
> Aber wie erwähnt, trifft das "nur" Mozilla/Opera User. Die Phisher

Und IE-Nutzer mit dem IDN-Patch. Und Nutzer aller anderen
dysfunktionalen Client-Programme, die IDN vor dem Nutzer verstecken.

> könnten mit Javascript im Spam arbeiten, und den User-Agent abfragen, und
> verschiedene Links für IE oder andere generieren. So wird wohl kommen.

ACK.

> Ich hatte ja neulich mal einen Link in der abuse.mail Gruppe gepostet, wo
> ein Phisher die Adresszeile des Internet Explorer per JAVA Applet
> nachgebildet hat, wo halt ein unverfänglicher Link drin stand, den man
> sogar editieren kann.

Ja.

> Die Updates für zumindest die Mozilla Familie werden wohl noch diese
> Woche rauskommen.

Hoffentlich als Config-Option
"[X] Display IDN domainnames in true form to detect phishing attacks"

> Fertig sind sie wohl schon, werden aber noch getestet
> vorher.

Und nicht wieder nur ein duemmlichen Workaround um ein Symptom herum.
(Wie beim letzten mal)

> Also ein Update in Betracht ziehen. Opera wird hoffentlich auch
> bald updaten.

ACK.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

· Andreas Kohlbach <ankman [at] email.com>:

> Komisch, dass das noch nicht gepostet wurde.
>
> Bitte mal diesen Link testen <http://www.shmoo.com/idn/> in Opera oder
> Mozilla/Firefox/Netscape... testen.

Es wird dran gearbeitet:
https://bugzilla.mozilla.org/show_bug.cgi?id=281365

Alexander Skwar
--
Lawful Dungeon Master -- and they're MY laws!
·_·¯·_·¯·_ ♘♞♟♙♖♜ äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ ♪♬♯♪♬♯♭ ¯·_·¯·_·¯·


.

> Der Internet Explorer ist da, weil er mit Umlaut-Domains erst gar nicht
> umgehen kann, nicht verwundbar.

Also sollte man Homebanking nur noch mit dem IE machen?
Ich meine: Das wäre doch ein praktikables Workaround, oder?

Wolfgang
.

> Homebanking sollte man vor allem nicht mit Windows machen, erst recht
> nicht mit dem IE.

Ist das nicht ein wenig zu streng?
Also ich glaube dass - so Linuxrechner irgendwann im Aldi zu

[Juergen P. Meier]

Florian Weimer <fw [at] deneb.enyo.de>:
> * Andreas Kohlbach:
>
>> Der Internet Explorer ist da, weil er mit Umlaut-Domains erst gar nicht
>> umgehen kann, nicht verwundbar.
>
> Der Internet Explorer hat dasselbe Problem mit l und 1 (und u.U. auch
> noch I). *Das* wurde auch schon von Spammern ausgenutzt (siehe
> ro1ex.com und valium.com). Sehr beliebt ist das auch in gewissen
> IRC-Kreisen.

Naja, kommt auf den Font an. Be mir (XP, old-win-theme, IE6) wird so
ein komischer MS Serif-Font verwendet fuer die URI-Zeile. Und da sind
l, 1, i und I deutlich unterscheidbar.

Aber du hast natuerlich Recht: das Problem ist qualitativ das gleiche,
jedoch durch IDN quantitativ schlimmer, denn Unicode hat mehr
verwechselbare Zeichen.
Und wer erkennt schon den Unterschied zwischen

www.windowsupdate.com (mit Latainischem a)

und

www.windowsupdate.com (mit kyrillischem a)

wenn Tahoma Font eingestellt ist (Default unter Windows XP).

Das letzteres in Wirklichkeit www.xn--windowsupdte-69j.com ist, die
vielleicht auf die Firma E.Ville Inc. registriert ist, und ein
vollkommen gueltiges Verislime-Zertifikat hat, bemerkt der User
nicht. Zumindest sofern er Opera, Firefox, Mozilla oder einen mit
IDN-Plugins versehenen IE benutzt. Der rest ist uebliches social
engineering und ein MS-Aehnliches Layout.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Wolfgang Uhr wrote:
>> Der Internet Explorer ist da, weil er mit Umlaut-Domains erst gar nicht
>> umgehen kann, nicht verwundbar.
>
> Also sollte man Homebanking nur noch mit dem IE machen?
> Ich meine: Das wäre doch ein praktikables Workaround, oder?

naja wer geht schon auf seine homebanking Seite über einen Link aus
nicht vertrauenswürdiger Quelle (mail, google, usw.).
Zu solchen wichtigen Seiten hat man ja ein Bookmark und hat dadurch
diese Probleme nicht.

Nicolas
.

Volker Birk schrieb:
> Wolfgang Uhr <fromNewsGroups [at] devsup.de> wrote:
>> Also sollte man Homebanking nur noch mit dem IE machen?
>
> Homebanking sollte man vor allem nicht mit Windows machen, erst recht
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-v bitte.

Danke. :-)

Ralph
.

[Juergen P. Meier]

Michael Holtermann <spamnov2003 [at] gmx.de>:
> Bodo Eggert wrote:
>
>> Unter Linux:
>> Opera 7.54: Das erste a ist leicht kleiner.
>> Mozilla 1.6: Hier sehen die 'a's gleich aus.
>
> Hier (Debian sid) fällt das nur in der Statusleiste des Firefox auf: das
> linke a ist ein klein wenig in die Breite gezogen. Im Linktext selbst sind
> es "normale" a, da ist kein Unterschied.
> Schaltet man die Ansicht der Link Paths in der Web Developer Extension ein
> sieht das a recht gedrückt aus.

Dann verwendest du verschieden Fonts. Oder der GTK-text-renderer ist
kaputt ;)

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

* Florian Weimer wrote:
> Namen taugen jedenfalls nicht zur Beurteilung der Echtheit eines
> Angebots, solange nicht diejenigen, die die Namen vergeben (DNS,
> SSL-CAs), für Markenverletzungen verantwortlich gemacht werden.

Weiche, Pandora!
.

* Andreas Kohlbach:

> Der Internet Explorer ist da, weil er mit Umlaut-Domains erst gar nicht
> umgehen kann, nicht verwundbar.

Der Internet Explorer hat dasselbe Problem mit l und 1 (und u.U. auch
noch I). *Das* wurde auch schon von Spammern ausgenutzt (siehe
ro1ex.com und valium.com). Sehr beliebt ist das auch in gewissen
IRC-Kreisen.
.

[Juergen P. Meier]

Lutz Donnerhacke <lutz [at] iks-jena.de>:
> * Florian Weimer wrote:
>> Namen taugen jedenfalls nicht zur Beurteilung der Echtheit eines
>> Angebots, solange nicht diejenigen, die die Namen vergeben (DNS,
>> SSL-CAs), für Markenverletzungen verantwortlich gemacht werden.
>
> Weiche, Pandora!

Wenn das Einzug haelt, heist es wieder: Nummern merken lernen!
.