Re: [de-users] OT: Punycode und Homografischer Angriff (auch im LO-Kontext möglich)

Hallo Susanne,

in erster Linie ist es erst mal ein allgemeines Sicherheits-Risiko, wenn 
man (via WEB-Browser, eMail-Client, Office-Dokument, PDF-Reader, ...) 
nicht erkennen kann, dass »Punycode« verwendet wurde. Siehe das Beispiel 
»www.apple.com« in der Datei »Punycode und Homografischer Angriff.odt« 
in meiner »MagentaCloud« - 2 mal »www.apple.com«, aber leider nur eine 
(raffinierte) optische Täuschung !

Ja, das hast Du richtig verstanden:

Mit »Punycode« werden Nicht-ANSI-Schriftzeichen ( beispielsweise das 
kyrillische »a«) in ANSI-Code dargestellt und können somit als 
WEB-Adresse genutzt werden. Damit können nun »böse Mädels und Jungs« 
FAKE-WEB-Seiten erzeugen, deren FAKE-WEB-Adresse kaum von der originalen 
WEB-Adresse unterschieden werden kann, wenn der »Punycode« 
(beispielsweise im WEB-Browser) nicht angezeigt wird. Download-Links in 
der FAKE-WEB-Seite könnten dann unbemerkt Schad-Software auf den eigen 
PC herunterladen.

Von selbst kommt »Punycode« nicht in ein LO-Dokument.

Aber da LO »Punycode« unterstützt, könnte man selbst »Punycode« in einem 
LO-Dokument platzieren und so den Leser auf eine FAKE-WEB-Seite locken 
mit den oben beschriebenen negativen Folgen - habe ich ja auch gemacht 
mit der ungefährlichen FAKE-WEB-Seite »www.apple.com«. In den »Unicode 
15.1 Character Code Charts« findet sich bestimmt ein Zeichen, mit dem 
man unbemerkt ein ANSI-Zeichen in beispielsweise »de.libreoffice.org« 
durch ein fast gleich aussehendes anderes Zeichen ersetzten kann, was 
man nicht erkennt, wenn in dem LO-Dokument »Punycode« nicht angezeigt 
wird.

Ob das jemals von irgendwelchen Leuten - bezogen auf Office-Dokumente - 
gemacht wird, keine Ahnung. Aber möglich ist es und deshalb eben auch 
ein mögliches Sicherheits-Risiko, das nicht wirklich sein muss, wenn es 
eine Konfiguration-Option gibt, über die »Punycode« angezeigt werden 
kann.

Ich denke, wenn »Firefox« die Möglichkeit anbietet, durch eine 
Konfigurations-Option »Punycode« anzuzeigen, dann sollte so etwas auch 
in andere Software integriert werden, die »Punycode« unterstützt, damit 
man nicht in die oben beschriebene »Falle tappen« kann:

WEB-Browser, eMailClients, Office-Software, PDF-Reader, ...

In der Datei »Punycode und Homografischer Angriff.odt« in meiner 
»MagentaCloud« ist unter Bezügen mit »Malvertising: KeePass-Seite mit 
Punycode gefälscht« ein Schad-Software-Beispiel etwas ausführlicher 
erläutert.

Viele Grüße
Hans-Werner ;-))


------ Originalnachricht ------
Von "SusLO" <susanne.mohn-lo@kiel-pries.de>
An "OoOHWHOoO" <OoOHWHOoO@t-online.de>
Cc users@de.libreoffice.org
Datum 28.10.2023 10:48:49
Betreff Re: [de-users] OT: Punycode und Homografischer Angriff (auch im 
LO-Kontext möglich)

> Hallo Hans- Werner,
>
> Danke für Info.
> Das ist doch eine Sicherheitslücke?
> Wenn ich das richtig verstanden habe, wandelt Punycode UTF-8 Zeichenketten, also die mit 
> Sonderzeichen wie öä… ? In Asci Code wie oe, ae, … um?
>
> Und wie bzw. Wann kommt Punycode in ein normales Writer Dokument?
>
> Viele Grüße
> Susanne
>
> —————————————————
> Susanne Mohn
>
> >  Am 28.10.2023 um 09:54 schrieb OoOHWHOoO <OoOHWHOoO@t-online.de>:
> >
> >  Hallo *, wen es interessiert:
> >
> >  IN ALLER KÜRZE
> >
> >  Mit »Punycode« ( https://de.wikipedia.org/wiki/Punycode ) kann man einen »homografischen Angriff« 
> > ( https://de.wikipedia.org/wiki/Homographischer_Angriff ) realisieren.
> >
> >  »Punycode« kann nicht nur in WEB-Adressen enthalten sein, die mit Hilfe einer Suchmaschine 
> > gefunden wurden, sondern auch in eMails und »LibreOffice«-Dokumenten, da »LibreOffice« »Punycode« 
> > unterstützt.
> >
> >  »Firefox« kann man mit wenigen MausKlicks so konfigurieren, dass »Punycode« angezeigt wird.
> >
> >  Bezüglich »LibreOffice« habe ich nichts gefunden, wie man »LibreOffice« konfigurieren kann, damit 
> > in »LibreOffice«-Dokumente eingebundener »Punycode«, beispielsweise bei angegebenen WEB-Adressen, 
> > angezeigt wird.
> >
> >  AUSFÜHRLICHE BESCHREIBUNG
> >
> > https://magentacloud.de/s/KYLsjXTzY62DCqF in den Dateien:
> >
> >  [1] Punycode und Homografischer Angriff.odt
> >  [2] Punycode und Homografischer Angriff.pdf
> >  [3] Punycode und Homografischer Angriff.eml
> >
> >  FRAGE
> >
> >  Kann man LibreOffice so konfigurieren, dass »Punycode« angezeigt wird ?
> >
> >  BITTE
> >
> >  Hinweise auf Fehler oder Ergänzungen sind stets willkommen :-))
> >
> >  Grüße
> >  Hans-Werner ;-))
> >  --
> >  Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
> >  Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
> >  Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
> >  Listenarchiv: https://listarchives.libreoffice.org/de/users/
> >  Datenschutzerklärung: https://www.documentfoundation.org/privacy
>
>
> --
> Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
> Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
> Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
> Listenarchiv: https://listarchives.libreoffice.org/de/users/
> Datenschutzerklärung: https://www.documentfoundation.org/privacy
--
Liste abmelden mit E-Mail an: users+unsubscribe@de.libreoffice.org
Probleme? https://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: https://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: https://listarchives.libreoffice.org/de/users/
Datenschutzerklärung: https://www.documentfoundation.org/privacy