Třetího května tohoto roku Google oznámil zahájení prodeje domén s osmi novými příponami .dad, .phd, .prof, .esq, .foo, .zip, .mov a .nexus. Přípony .mov a .zip, dlouhodobě používané k označení typu souborů, však vzbudily značnou nevoli v řadách bezpečnostních expertů.
Mark Stockley sepsal na blogu Malwarebytes své výhrady. „Přípony souborů jsou písmena za tečkou na konci názvu souboru, například example.docx, example.ppt a example.zip. Vidíte ten problém?“ ptá se v úvodu, kde upozorňuje, že doménová jména a názvy souborů nejsou totéž, ale obojí hraje důležitou roli v moderních kybernetických útocích.
Proč nejsou domény .zip a .mov dobrý nápad?
Doména nejvyššího řádu (Top Level Domain; TLD) má sloužit jako určitý indikátor typu webu. Například .com měla označovat, že se jedná o komerční web, zatímco .org byla původně určena pro neziskové a .gov pro vládní organizace. Navzdory tomu, že tyto domény existují již od roku 1985, většina dnešních uživatelů tuto koncepci nevnímá.
Google vysvětluje poslání domény .zip jako deklaraci rychlosti. „Pokud nabízíte služby, u nichž záleží na rychlosti, adresa URL s koncovkou .zip dává vašemu publiku najevo, že jste rychlí, efektivní a připravení jednat.“ V kontextu s tím, jak laičtí uživatelé (ne)vnímají dosud používané domény, lze o úspěchu deklarovaného poslání domén .zip silně pochybovat.
Problém je i v tom, že laičtí uživatelé vnímají příponu .zip úplně odlišným způsobem. Již více než třicet let identifikuje archiv komprimovaný bezztrátovým algoritmem. Soubory ZIP mohou obsahovat jeden či více souborů nebo adresářů a jsou často používány útočníky k distribuci škodlivých aplikací.
„Jak už to bývá, kyberzločinci milují soubory .zip a v posledních několika letech se jejich používání jako škodlivých příloh e-mailů velmi rozšířilo. Soubor zip je obvykle prvním v řadě souborů známých jako ‚řetězec útoku‘,“ uvádí Stockley s tím, že soubory s touto příponou mohou obsahovat něco špatného.
Záludnost přípon
Právě přípony byly v minulosti oblíbeným způsobem, jak zmást uživatele. Poměrně časté bylo používání dvou přípon – například evil.zip.exe. První z nich – v tomto případě .zip – měla oklamat uživatele. Až ta druhá – v tomto případě definující spustitelný soubor .exe – byla skutečná. Celé situaci nahrávala skutečnost, že operační systémy Windows ve výchozím nastavení přípony souborů nezobrazovaly.
Podobně kyberzločinci zachází i s názvy domén. Hojně využívají otevřené přesměrování v podobě webové stránky, která nasměruje uživatele přesně tam, kam potřebují. Snaží se, aby škodlivé adresy URL působily jako odkazy na Google, Twitter nebo jiné seriózní stránky. Méně sofistikovaní zločinci prostě do odkazu vloží slova jako „paypal“ nebo cokoli jiného a doufají, že uživatel bude ignorovat zbytek adresy.
„V této souvislosti se Google nevysvětlitelně rozhodl zavést něco, co sice nepřinese žádné užitečné výhody, ale kyberzločincům poskytne zcela novou formu přesměrování souborů a doménových jmen, která se přidá ke všem ostatním, s nimiž se stále potýkáme,“ konstatuje Stockley.
Poznáte zákeřný phishing?
Jako praktickou ukázku možného zneužití lze uvést příklad publikovaný bezpečnostním analytikem Bobbym Rauchem ve článku The Dangers of Google's .zip TLD. Rauch v něm vyzývá čtenáře, aby určili, která z následujících dvou adres URL „je škodlivý phishing, který stáhne soubor evil.exe?“.
- https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
- https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
Pokud jste tipovali druhou uvedenou variantu, pak jste tipovali správně. První odkaz stáhne soubor s názvem v1.27.1.zip z domény github.com. Druhý odkaz by vyvolal přechod na doménu v1.27.1.zip, což by v tomto hypotetickém příkladu znamenalo stažení souboru evil.exe.
„Pokud jste na to přišli, dobrá práce, ale nezapomeňte, že jste věděli, že jeden z odkazů je závadný. Odhalili byste ho, kdybyste nebyli předem varováni?“ ptá se Stockley. „Pokud jste si ho nevšimli, nemějte výčitky, o to přece jde. Je těžké číst adresy URL, i když víte, že hledáte něco nepatřičného.“
Zatím nejde o velký problém
Bezpečnostní expert dále konstatuje, že Google dělá pro počítačovou bezpečnost strašně moc dobrých věcí, za které si zaslouží obrovské uznání, ale tohle je dle jeho mínění malý a nezvyklý přešlap. Vyhledávací gigant nebyl pod absolutně žádným tlakem, aby vytvořil doménu .zip, a sotva se zdá, že by pro něj měla být nějak ekonomicky významná.
Nutno podotknout, že domény .zip zatím nepředstavují závažný problém. V době psaní tohoto článku jich byly zaregistrováno méně než čtyři tisíce. Některé z nich téměř jistě koupili bezpečnostní analytici, kteří chtěli demonstrovat, jak špatný nápad to je, nebo připravit kyberzločince o některé z nebezpečnějších názvů.