Googlen .zip ja .mov -domainpäätteet ovat hurja uhka tietoturvalle
Google häärää lähes kaikessa mahdollisessa mikä vain millään tavalla liittyy internetin toimintaan. Yhtiö on kaiken muun lisäksi myös useita verkon ylätason domainpäätteitä hallinnoiva ja operoiva taho.
Verkon ylätason domainpäätteet ovat siis verkko-osoitteen päätteenä olevia nimiä, joista tunnetuin on tietysti .com ja suomalaisille tuttu .fi. Pitkään maailma menikin niin, että maakohtaisten ylätason domainpäätteiden lisäksi tarjolla oli lähinnä .com, .net sekä .org. Jokunen vuosi sitten ketsuppipullo turahti auki ja ylätason domainpäätteet vapautettiin lähes täysin sääntelystä. Tuon jälkeen uusia domainpäätteitä onkin syntynyt pilvin pimein, kuten vaikkapa aikuisviihteelle tarkoitettu .xxx, yleiskäyttöiseksi ajateltu .top sekä etenkin roskapostittajien suosiossa oleva .xyz.
Mutta nyt uusimmat lisäykset ovat nostaneet tietoturva-asiantuntijat barrikadeille, sillä Googlen käyttöönottamat uudet domainpäätteet uhkaavat tuhota kaiken, mitä netin peruskäyttäjille on taottu päähän tietoturvasta viimeisen 25 vuoden aikana.
Itse asiassa ongelmana eivät ole niinkään kaikki Googlen lisäämät uudet domainpäätteet, vaan tarkalleen ottaen kaksi niistä: .zip ja .mov.
Tarkkasilmäisimmät ymmärtävätkin näiden kahden ongelmallisuuden. Eli jatkossa on täysin mahdollista, että verkosta löytyy sivusto, jonka virallisena, oikeana osoitteena on ImportantFiles.zip.
Tähän saakka helpoimmalla taviskäyttäjien neuvonnassa tietoturvan osalta on päässyt, kun on käskenyt heitä olla aukaisematta mitään epäilyttävää sähköpostin mukana tulevaa linkkiä- ja varsinkaan, jos niiden päätteenä on vaikkapa .exe tai .zip. Eli kielletään avaamasta suoritettavia tiedostoja tai zip-paketteja, joiden sisältä voi löytyä epämääräisiä yllätyksiä.
Nyt tuo neuvo ei enää pädekään, kun ihan oikeakin verkkosivusto voi olla nimeltään sellainen, että sen domainpäätteenä on .zip, ilman että se viittaa zip-paketteihin millään tavalla.
Vielä hurjemmaksi tilanne muuttuu siksi, että verkko-osoitteen voi itse asiassa kirjoittaa hyvinkin hämmentävillä eri tavoilla ja se on silti täysin toimiva ja oikea osoite.
Ajatellaan vaikkapa täysin oikeaa ja rehellistä osoitetta, kuten tietyn GitHubista löytyvän tiedoston latausosoitetta:
Ylläoleva osoite lata AgentGPT-tekoälybotin uusimman lähdekoodin version GitHubista, eli latautuvan tiedoston nimi on v.0.5.0-beta.zip
Mutta entäpä tällainen osoite...?
Se itse asiassa lataa sivuston v050beta.zip etusivun, joka voi olla itsessään myös .zip -pakattu tiedosto.
Miksikö näin? Koska @-merkki katkaisee verkko-osoitteissa kokonaisuuden ja vasta sen jälkeen oleva tieto kertoo sen, mille sivustolle ja mikä sivu ladataan. @-merkkiä edeltävä osa välitetään sivustolle käyttäjänimenä ja sillä ei ole mitään muuta merkitystä. Ongelman on nostanut esiin useampikin tietoturvataho, mm. Bobby Rauch blogikirjoituksessaan.
Samaan ongelmaan törmätään myös .mov -domainpäätteen kanssa, joka on etenkin Applen maailmasta tuttu videotiedostojen tiedostopääte.
Epämääräisiä ja käyttäjiä sekoittavia osoitteita onkin rynnätty varaamaan jo vauhdilla, sillä toiminnassa ovat ainakin jo mm. steaminstaller.zip, setup.zip sekä clientdocs.zip.
3 KOMMENTTIA
Michelola1/3
En kyllä keksi missä yhteydessä toi uusia ongelmia aiheuttaisi, kun itse linkin tekstin on voinut muuttaa miksi vaan jo internetin alkuajoista lähtien
DeNiWar2/3
Linkin tekstin on voinut vaihtaa aiemminkin, mutta suurin osa on jo oppinut että kun hiiren kursorin vie linkin päälle klikkaamatta sitä, ruutuun tulee näkyviin oikea verkko-osoite josta näkee heti onko sen näkyvää tekstiä muokattu ja voi suoraan verrata onko sivu jonne se johtaa, oikeasti se johon linkki väittäisi johtavan.
Esimerkiksi, kun hiiren kursorin vie "Vastaa" linkin päälle, ilmestyy ruutuun "https;//fin,afterdawn,com/uutiset/2023/05/28/google-zip-mov-domainit#kommentoi" (pisteet muutettu pilkuiksi ettei näy linkkinä)
Mutta muutoksen jälkeen verkkorikolliset voivat hankkia zip&mov yms osoitteita ja jaella vaikka "petterin juhlakuvat.zip"/"orpopojan valssi.mov" linkkiä jota klikkaamalla pääseekin sivulle josta latautuu liuta hauskoja haittaohjelmia koneelle ja tai tietojenkalastelusivuja.
Sähköpostihuijauksetkin onnistuvat nykyaikana aivan liian helposti, koska useimmat uudet sähköpostiohjelmat ja webmailit eivät näytä lähettäjän sähköpostiosoitetta vaan ainoastaan lähettäjän nimen johon voi laittaa ihan mitä tykkää, jolloin vastaanottaja luulee että se on kaupalta, postilta, upsilta tai rikospoliisilta.
Itselläni on vanhemmanpuoleinen sähköpostiohjelma joka näyttää nuo lähettäjän osoitteen suoraan nimen perässä, jolloin näkee heti että esim viimeaikoina tulleissa Gigantti, Verkkokauppa yms meilien lähettäjän email-osoite on esim."nooreply()j0djas,hsgd,us" yms. (pisteet muutettu pilkuiksi ettei muuntaudu linkeiksi).
Gmail onneksi on alkanut jo näyttämään popuppina oikeankin osoitteen nykyään ilman että tarvitsee avata meiliä nähdäkseen mistä se on lähetetty, että ehkä ovat jotakin oppineet.
Michelola3/3
En kyllä usko että kukaan niitä tooltippejä lukee. Toisekseen johonkin domainin pääsivulle joutuminen harvoin on kovin vaarallista, normaalit suojatoimet iskee päälle jos sieltä jotain skriptiä alkaa automaattisesti ajamaan.
Ja onhan tohon sitten helppo ratkaisu eli selaimet lisäävät tooltippiin ilmoituksen että kyseessä on domain eikä latauslinkki
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT