sabato 30 giugno 2012

Registro italiano, nuovi domini .it con lettere accentate: rischio phishing


Il Registro.it è l’anagrafe dei domini Internet .it, la targa Internet dell’Italia. Su richiesta degli utenti, il Registro associa gli indirizzi numerici necessari per muoversi in rete a un nome. Su questo principio funzionano il Web, la posta elettronica e molti altri servizi internet. L’associazione è memorizzata in un archivio (Dbna: database dei nomi assegnati) che tutti i computer collegati in rete devono consultare per raggiungere un dominio .it.

A partire dall'11 luglio prossimo il Registro italiano procederà con l’approvazione del “Regolamento Assegnazione v6.2” che prevede la possibilità di registrare nomi di dominio con lettere accentate. I caratteri che potranno essere utilizzati sono i seguenti: ASCII: cifre (0-9), lettere (a-z) e trattino (-) - NON ASCII: à, â, ä, è, é, ê, ë, ì, î, ï, ò, ô, ö, ù, û, ü, æ, œ, ç, ÿ, β.

Apparentemente nulla di strano se non fosse che questo nuovo regolamento darà il via ad un ondata di phishing mai vista prima. Sarà infatti possibile registrare il dominio postè.it, finecò.it o qualsiasi altro nome di obiettivi notoriamente vittima del phishing senza nessun problema. Per il Registro il problema è “facilmente” risolvibile: i possessori di marchi dovranno registrare tutte le possibili estensioni al fine da metterle al sicuro dal phishing.

Quante sono? Luca Perugini, il primo a segnalare il pericolo, nel suo sito Web propone un calcolatore in grado di quantificare il numero di varianti che ogni aziende e banca dovrà registrare: le cifre sono sconvolgenti. Poste Italiane per proteggere Poste.it dovrà registrare 20 domini, Banca Fineco (fineco.it) 160, il Corriere della Sera (corriere.it) 320.


Particolarmente sfortunata Telecom Italia che per il suo telecomitalia.it dovrà accaparrarsi ben 5120 domini. Una soluzione francamente assurda e dispendiosa che non protegge in nessun modo. E' infatti sufficiente registrare una variante del dominio vittima utilizzando una lettera accentata e la truffa è servita. C'è poi da  considerare il fenomeno del cybersquatting.

Ad opporsi con gran forza al nuovo regolamento è lo stesso Luca Perugini che con l’iniziativa via Twitter #noaccentate chiede al registro: di posticipare l’entrata in vigore delle nuove regole; - di inserire un ulteriore comma nel documento che vieti la registrazione dei nomi di dominio declinati. Ma il pericolo è solo per le banche? No. Perchè i nuovi domini daranno il via ad uno stato di caos ed omonimia anche per i normali possessori di nomi a dominio.

Qualsiasi nome a dominio sarà a rischio. Anche quelli di Anti-Phishing Italia per provare a mettere al sicuro il loro nome dovrebbero registrare 96 domini che al costo medio di € 9,99+iva richiederebbe una spesa di € 959 iva esclusa. Ci uniamo anche noi al #noaccentate per chiedere la sospensione dell’utilizzo delle lettere accentate. Sono inutili e porteranno solo problemi.

Il Regolamento Assegnazione v6.2 definisce le regole di registrazione dei nomi a dominio ed è corredato di una manualistica tecnica, dove sono descritte dettagliatamente le operazioni necessarie alla registrazione dei nomi a dominio secondo le modalità di registrazione sincrona e asincrona. Registro .it specifica che "la registrazione di un dominio non costituisce una garanzia contro registrazioni simili".

Via: Anti-phishing Italia

Nessun commento:

Posta un commento