Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專(zhuān)家(CISSP-ISSAP)，知名的安全作家，具有十多年豐富的IT行業(yè)經(jīng)驗(yàn)，并且還從事過(guò)十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事，該公司主要提供IT培訓(xùn)，以及數(shù)據(jù)安全和分析的支持。Michael還合著過(guò)IIS Security一書(shū)，并為領(lǐng)先的IT出版物撰寫(xiě)過(guò)無(wú)數(shù)科技文章。此外，Michael還是微軟認(rèn)證數(shù)據(jù)庫(kù)系統(tǒng)管理員和微軟認(rèn)證專(zhuān)家。

 [[135559]]  

無(wú)處不在的國(guó)際化電子郵箱即將出現(xiàn)。這將對(duì)企業(yè)有什么影響?本文中專(zhuān)家Michael Cobb解釋了這個(gè)問(wèn)題。

谷歌最近進(jìn)行了一些語(yǔ)言/文字更改，使Gmail成為更國(guó)際化的電子郵件服務(wù)。這種變化的安全優(yōu)勢(shì)是什么?國(guó)際化電子郵件應(yīng)用/服務(wù)對(duì)企業(yè)安全有什么影響?

Michael Cobb：互聯(lián)網(wǎng)是一種全球性現(xiàn)象，但其標(biāo)準(zhǔn)仍然主要是基于英文字母—全球不到一半的人口在使用英語(yǔ)。例如，電子郵件地址josé@mialmacen.es是無(wú)效的，因?yàn)閖osé包含字母é。根據(jù)RFC 5321，郵件名只可以使用7位ASCII—不允許使用á、é、ó、í等特殊字符。大多數(shù)郵件服務(wù)器會(huì)忽略é，并試圖發(fā)送電子郵件到j(luò)ose@mialmacen.es。(按照RFC 5890域名已經(jīng)國(guó)際化，所以郵件地址jose@mialmacen.es為有效。)

對(duì)于想要在郵箱地址中使用自己名字的人來(lái)說(shuō)，這可能有些令人沮喪。例如有人叫做Cristóbal Colón，即西班牙語(yǔ)的Christopher Columbus(哥倫布)，他只能選擇cristobal.colon@作為郵箱地址--不再是著名的探險(xiǎn)家，只是標(biāo)點(diǎn)符號(hào)。

為了解決這個(gè)問(wèn)題，互聯(lián)網(wǎng)工程任務(wù)組(IETF)創(chuàng)建了新的電子郵件標(biāo)準(zhǔn)，支持包含非ASCII字符的地址。這是早在2012年的事情，并且在2008年UTF-8已經(jīng)超越ASCII成為網(wǎng)絡(luò)最常用的字符編碼，盡管如此，目前用戶仍然只能使用基本的拉丁字符，因?yàn)槊總€(gè)電子郵件服務(wù)提供商和每個(gè)網(wǎng)站(在注冊(cè)時(shí)需要提供有效郵箱地址)都需要采用新標(biāo)準(zhǔn)。

谷歌是第一個(gè)增加非拉丁字符支持的大型郵件服務(wù)提供商;Gmail現(xiàn)在可以正確處理包含重音或非拉丁字符的地址。這意味著Gmail用戶可以發(fā)送和接收郵箱地址中包含這些字符的郵件，但目前還不可以使用重音或非拉丁字符創(chuàng)建Gmail賬戶。

然而，這里會(huì)帶來(lái)安全隱患，對(duì)非拉丁字符的支持會(huì)讓網(wǎng)絡(luò)釣魚(yú)攻擊者更容易地偽造用戶的郵箱地址。

讓我來(lái)解釋一下。

在ASCII編碼中，有幾對(duì)看起來(lái)很像的字符：例如，大寫(xiě)字母O和數(shù)字0，小寫(xiě)字母l(L)和大寫(xiě)字母I(i)。在大多數(shù)字體中，它們幾乎沒(méi)有區(qū)別，但計(jì)算機(jī)系統(tǒng)在處理它們時(shí)會(huì)區(qū)別對(duì)待。例如，ASCII對(duì)大寫(xiě)l的編碼是73，而對(duì)小寫(xiě)l的編碼是108?；谶@些相似之處的欺騙攻擊被稱(chēng)為同形異義欺騙攻擊。這類(lèi)似于注冊(cè)近似域名，例如攻擊者注冊(cè)www.goog1e.co.uk，但這依賴于自然人類(lèi)錯(cuò)別字，同形異義欺騙攻擊會(huì)利用視覺(jué)上無(wú)區(qū)別的名稱(chēng)來(lái)欺騙用戶。

Unicode融入了很多書(shū)寫(xiě)系統(tǒng)，并增加了相似字符的數(shù)量，例如希臘Ο、拉丁O和西里爾О。這樣一來(lái)，網(wǎng)絡(luò)罪犯或攻擊者可以創(chuàng)建郵箱地址，讓收件人相信這是來(lái)自可信的朋友或者同事，例如аndrew123@gmail.com，而不是andrew123@gmail.com，第一個(gè)地址使用的是Unicode字符U+430，西里爾小字母a，而不是Unicode字符U + 0061，拉丁小字母a。

對(duì)于試圖利用Unicode同形字符來(lái)發(fā)動(dòng)攻擊的攻擊者，谷歌正試圖先發(fā)制人，通過(guò)更新其Gmail垃圾郵件過(guò)濾器來(lái)提高有針對(duì)性網(wǎng)絡(luò)釣魚(yú)攻擊的難度，阻止使用可疑字符組合的郵箱地址的郵件。怎樣來(lái)判斷郵箱地址是否可疑呢?這是根據(jù)Unicode協(xié)會(huì)設(shè)置的規(guī)范，該協(xié)會(huì)對(duì)一致表述以及處理世界上大部分書(shū)寫(xiě)系統(tǒng)中的文本制定了計(jì)算機(jī)行業(yè)標(biāo)準(zhǔn)。

雖然其他網(wǎng)絡(luò)郵件提供商可能會(huì)先看看全球化Gmail是否會(huì)為谷歌帶來(lái)更多用戶以及影響其自己的用戶數(shù)量，才考慮引入更多語(yǔ)言本地化，但郵件地址全球化勢(shì)在必行。為了解決Unicode同形字符攻擊帶來(lái)的危害，網(wǎng)站和用戶都可以使用數(shù)字證書(shū)，讓其他人可以驗(yàn)證他們正在訪問(wèn)的域名，以及確認(rèn)收到郵件的發(fā)送者的身份。