Googlen .zip ja .mov -domainpäätteet ovat hurja uhka tietoturvalle

Google häärää lähes kaikessa mahdollisessa mikä vain millään tavalla liittyy internetin toimintaan. Yhtiö on kaiken muun lisäksi myös useita verkon ylätason domainpäätteitä hallinnoiva ja operoiva taho.

Verkon ylätason domainpäätteet ovat siis verkko-osoitteen päätteenä olevia nimiä, joista tunnetuin on tietysti .com ja suomalaisille tuttu .fi. Pitkään maailma menikin niin, että maakohtaisten ylätason domainpäätteiden lisäksi tarjolla oli lähinnä .com, .net sekä .org. Jokunen vuosi sitten ketsuppipullo turahti auki ja ylätason domainpäätteet vapautettiin lähes täysin sääntelystä. Tuon jälkeen uusia domainpäätteitä onkin syntynyt pilvin pimein, kuten vaikkapa aikuisviihteelle tarkoitettu .xxx, yleiskäyttöiseksi ajateltu .top sekä etenkin roskapostittajien suosiossa oleva .xyz.

Mutta nyt uusimmat lisäykset ovat nostaneet tietoturva-asiantuntijat barrikadeille, sillä Googlen käyttöönottamat uudet domainpäätteet uhkaavat tuhota kaiken, mitä netin peruskäyttäjille on taottu päähän tietoturvasta viimeisen 25 vuoden aikana.

Itse asiassa ongelmana eivät ole niinkään kaikki Googlen lisäämät uudet domainpäätteet, vaan tarkalleen ottaen kaksi niistä: .zip ja .mov.

Tarkkasilmäisimmät ymmärtävätkin näiden kahden ongelmallisuuden. Eli jatkossa on täysin mahdollista, että verkosta löytyy sivusto, jonka virallisena, oikeana osoitteena on ImportantFiles.zip.

Tähän saakka helpoimmalla taviskäyttäjien neuvonnassa tietoturvan osalta on päässyt, kun on käskenyt heitä olla aukaisematta mitään epäilyttävää sähköpostin mukana tulevaa linkkiä- ja varsinkaan, jos niiden päätteenä on vaikkapa .exe tai .zip. Eli kielletään avaamasta suoritettavia tiedostoja tai zip-paketteja, joiden sisältä voi löytyä epämääräisiä yllätyksiä.

Nyt tuo neuvo ei enää pädekään, kun ihan oikeakin verkkosivusto voi olla nimeltään sellainen, että sen domainpäätteenä on .zip, ilman että se viittaa zip-paketteihin millään tavalla.

Vielä hurjemmaksi tilanne muuttuu siksi, että verkko-osoitteen voi itse asiassa kirjoittaa hyvinkin hämmentävillä eri tavoilla ja se on silti täysin toimiva ja oikea osoite.

Ajatellaan vaikkapa täysin oikeaa ja rehellistä osoitetta, kuten tietyn GitHubista löytyvän tiedoston latausosoitetta:

Ylläoleva osoite lata AgentGPT-tekoälybotin uusimman lähdekoodin version GitHubista, eli latautuvan tiedoston nimi on v.0.5.0-beta.zip

Mutta entäpä tällainen osoite...?

Se itse asiassa lataa sivuston v050beta.zip etusivun, joka voi olla itsessään myös .zip -pakattu tiedosto.

Miksikö näin? Koska @-merkki katkaisee verkko-osoitteissa kokonaisuuden ja vasta sen jälkeen oleva tieto kertoo sen, mille sivustolle ja mikä sivu ladataan. @-merkkiä edeltävä osa välitetään sivustolle käyttäjänimenä ja sillä ei ole mitään muuta merkitystä. Ongelman on nostanut esiin useampikin tietoturvataho, mm. Bobby Rauch blogikirjoituksessaan.

Samaan ongelmaan törmätään myös .mov -domainpäätteen kanssa, joka on etenkin Applen maailmasta tuttu videotiedostojen tiedostopääte.

Epämääräisiä ja käyttäjiä sekoittavia osoitteita onkin rynnätty varaamaan jo vauhdilla, sillä toiminnassa ovat ainakin jo mm. steaminstaller.zip, setup.zip sekä clientdocs.zip.

• domain
• Google
• tietoturva