][-news Bit-squatting – свежая угроза для владельцев популярных доменов

Забудьте фишинг, забудьте киберсквоттинг, забудьте тайп-сквоттинг, для всех владельцев популярных доменов теперь есть нечто новенькое, новая угроза, о которой стоит беспокоиться — бит-сквоттинг (“bit-squatting”).
Такой вывод сделал Artem Dinaburg, который выступит со своим докладом о новом исследовании на конферециях Black Hat и DEF CON, прошедших в Лас-Вегасе.
Неисправное железо в интернет-серверах может обернуться целой новой категорией атак типа тайп-сквоттинга, которые могут беспокоить компании, которые уже страдают от проблем с доменными именами.
Согласно короткой сводке отчета Dinaburg’а, чипы ОЗУ иногда могут давать особые сбои из-за перегрева или радиации, что приводит к «переворачиванию бита», когда 1 превращается в 0 и наоборот.
Т.к. DNS использует ASCII, то запрос, содержащий один перевернутый бит, может вернуть пользователю совершенно другое имя.
Чтобы протестировать свою теорию, Dinaburg зарегистрировал несколько доменных имен вроде mic2osoft.com. Хотя внешне это не похоже на опечатку, тем не менее, в двоичном виде разница между ним и оригиналом всего в один бит.
Бинарный ASCII-код для цифры 2 — 00110010, а для буквы 'r' в нижнем регистре — 01110010.
Полная бинарная строчка для “microsoft”:

Код:

011011010110100101100011011100100110111101110011011011110110011001110100

и такая же для “mic2osoft” (различающийся бит выделен жирным):

Код:

0110110101101001011000110[B]0[/B]1100100110111101110011011011110110011001110100

Таким образом, если этот один-единственный бит случайно «перевернулся» в сбойном чипе, то пользователь уже отправляет данные бит-сквоттеру, а не в Microsoft.
Конечно, стоит заметить, что это касается лишь доменов с огромным трафиком, только в этом случае есть вероятность того, что подобные случаи будут возникать с достаточной частотой.
Но Dinaburg полагает, что это уже достаточно серьезно, чтобы обратить внимание на проблему. Он написал:

На презентации он также планирует обсудить возможные методы решения проблемы, как программные, так и аппаратные.

Взято с хабра :)

PS: уже рунетовский посещаемые сайты могут начинать бояться:

yandex

Код:

01111001011000010110111001100100011001010111100000001101000010100000110100001010

ycndex

Код:

01111001011000[B]1[/B]10110111001100100011001010111100000001101000010100000110100001010

Зареган вчера:

Так же вконтакте регнули: 6kontakte.ru :)

Собственно вы и сами можете подобрать подобные домены:

1. a - 01100001
2. b - 01100010
3. c - 01100011
4. d - 01100100
5. e - 01100101
6. f - 01100110
7. g - 01100111
8. h - 01101000
9. i - 01101001
10. j - 01101010
11. k - 01101011
12. l - 01101100
13. m - 01101101
14. n - 01101110
15. o - 01101111
16. p - 01110000
17. q - 01110001
18. r - 01110010
19. s - 01110011
20. t - 01110100
21. u - 01110101
22. v - 01110110
23. w - 01110111
24. x - 01111000
25. y - 01111001
26. z - 01111010
27. 1 - 00110001
28. 2 - 00110010
29. 3 - 00110011
30. 4 - 00110100
31. 5 - 00110101
32. 6 - 00110110
33. 7 - 00110111
34. 8 - 00111000
35. 9 - 00111001
36. 0 - 00110000
37. - - 00101101

Так же я побырому подогнал символы, мож что и пропустил:

Спойлер: подбор

1. a = c
2. a = e
3. a = i
4. a = q
5. b = c
6. b = f
7. b = j
8. b = r
9. c = a
10. c = b
11. c = g
12. c = k
13. c = s
14. d = e
15. d = f
16. d = l
17. d = t
18. e = d
19. e = g
20. e = m
21. e = u
22. f = b
23. f = d
24. f = n
25. f = v
26. g = c
27. g = e
28. g = o
29. g = w
30. h = i
31. h = j
32. h = l
33. h = x
34. i = a
35. i = h
36. i = k
37. i = m
38. i = y
39. j = b
40. j = h
41. j = k
42. j = n
43. j = z
44. k = c
45. k = i
46. k = j
47. k = o
48. l = d
49. l = h
50. l = m
51. l = n
52. m = e
53. m = i
54. m = l
55. m = o
56. m = -
57. n = f
58. n = j
59. n = l
60. n = o
61. o = g
62. o = k
63. o = m
64. o = n
65. p = q
66. p = r
67. p = t
68. p = x
69. p = 0
70. q = a
71. q = p
72. q = s
73. q = u
74. q = y
75. q = 1
76. r = b
77. r = p
78. r = s
79. r = v
80. r = z
81. r = 2
82. s = c
83. s = q
84. s = r
85. s = w
86. s = 3
87. t = d
88. t = p
89. t = u
90. t = v
91. t = 4
92. u = e
93. u = q
94. u = t
95. u = w
96. u = 5
97. v = f
98. v = r
99. v = t
100. v = w
101. v = 6
102. w = g
103. w = s
104. w = u
105. w = v
106. w = 7
107. x = h
108. x = p
109. x = y
110. x = z
111. x = 8
112. y = i
113. y = q
114. y = x
115. y = 9
116. z = j
117. z = r
118. z = x
119. 0 = p
120. 0 = 1
121. 0 = 2
122. 0 = 4
123. 0 = 8
124. 1 = q
125. 1 = 0
126. 1 = 3
127. 1 = 5
128. 1 = 9
129. 2 = r
130. 2 = 0
131. 2 = 3
132. 2 = 6
133. 3 = s
134. 3 = 1
135. 3 = 2
136. 3 = 7
137. 4 = t
138. 4 = 0
139. 4 = 5
140. 4 = 6
141. 5 = u
142. 5 = 1
143. 5 = 4
144. 5 = 7
145. 6 = v
146. 6 = 2
147. 6 = 4
148. 6 = 7
149. 7 = w
150. 7 = 3
151. 7 = 5
152. 7 = 6
153. 8 = x
154. 8 = 0
155. 8 = 9
156. 9 = y
157. 9 = 1
158. 9 = 8
159. - = m

PS2: кстати если домен в зоне ru, то можно зарегать такой же в зоне su и это будет бит-сквоттинг :)

 

Дак регают же, и зависит от посещаемости ресурса :)
PS: символы не все написал. Ща скрипт по приколу накатаю, "юзающий" эту угрозу :)

 

Скрипт написал: http://webcriminal.ru/index.php?vrotmnenogi=bit-squatting
Пример работы, вводим в поле домен vkontakte без зоны, и получаем:
fkontakte
rkontakte
tkontakte
wkontakte
6kontakte
vcontakte
viontakte
vjontakte
voontakte
vkgntakte
vkkntakte
vkmntakte
vknntakte
vkoftakte
vkojtakte
vkoltakte
vkootakte
vkondakte
vkonpakte
vkonuakte
vkonvakte
vkon4akte
vkontckte
vkontekte
vkontikte
vkontqkte
vcontakte
viontakte
vjontakte
voontakte
vkondakte
vkonpakte
vkonuakte
vkonvakte
vkon4akte
vkontaktd
vkontaktg
vkontaktm
vkontaktu

На кривость написания скрипта не обращайте внимания, влом было по красивому запариваться, и проверок всяких не вставил, но главное работает :)

PS: vkon4akte.ru :laughter:

 

Сервер в Японии сними поближе к Фокусиме :)