Alfabetten

 

Afbeelding via Unsplash

Het is een wat vreemde gewaarwording als opeens iedereen over iets praat en je hebt zelf geen flauw idee waar het vandaan komt. Mijn teamgenoten brachten uitkomst: het stond op Facebook, en dat is nou net een hoekje van het internet waar ik nooit kom. Misschien heb jij ‘m wel zien langskomen: dat bericht waarmee wordt gewaarschuwd voor links die niet zijn wat ze lijken, omdat ze letters uit een ander alfabet bevatten. Het werd overgenomen door de populaire krant USA Today en dan gaat het hard.

Homogliefen is de term voor tekens die op letters lijken. Het bekendste voorbeeld van homogliefen in onze eigen wereld zijn de 0 en de O: de eerste is een cijfer, de tweede een letter. Altijd lastig om het verschil te zien. En wat dacht je van de l en de I? Het eerste is de kleine letter L, het tweede de hoofdletter i. Omdat we in moderne teksten meestal schreefloze letters gebruiken, zie je het verschil niet. Kies je een lettertype met schreven, dan zie je dat wel: “En wat dacht je van de l en de I?”. 

Het cyrillische alfabet, dat in Rusland en omstreken wordt gebruikt, bevat ook homogliefen. In het op Facebook getoonde voorbeeld worden onze a en zijn cyrillische tegenhanger genoemd. Overigens is de letter, die in dat bericht de cyrillische a wordt genoemd, de Griekse letter alfa (ɑ). Want de cyrillische a ziet er zo uit: а.

Alle letters, cijfers en andere tekens, die je op je toetsenbord kunt typen, zijn gedefinieerd in tabellen. De bekendste tabel is ASCII, op het mainframe gebruiken ze EBCDIC en de meest uitgebreide is Unicode, omdat daarin de letters uit alle alfabetten – dus niet alleen het ons bekende Latijnse alfabet – gedefinieerd zijn. De cyrillische letter aan het eind van de vorige alinea heb ik gemaakt door de Unicode voor die letter (0430) te typen en dan op Alt en X te drukken. Met behulp van de Unicode-tabellen kun je dus alle tekens maken, ook als ze niet op je toetsenbord voorkomen. Zoals bijvoorbeeld Њ en ß.

In de adresbalk van je browser zie je het verschil niet tussen belastingdienst.nl en beIаstingdienst.nI (de laatste bevat twee keer de hoofdletter i en de cyrillische a). Deze URL brengt je naar een website die in Nicaragua wordt gehost, want het top level domain  (TLD) .ni hoort bij dat land. Je ziet hoe gemakkelijk criminelen je naar hun valse website kunnen lokken, waar ze je vervolgens gegevens ontfutselen of jouw apparaat voorzien van kwaadaardige programmatuur. Nederlandse domeinen, die dus onder de TLD .nl vallen, zijn relatief veilig omdat er geen domeinen kunnen worden geregistreerd met karakters uit andere dan ons eigen alfabet. Maar let op: de truc met de i en de L werkt hier wél.

Je browser kan je beschermen tegen een aanval met homogliefen, domweg door ze niet te ondersteunen of door een mix van verschillende alfabetten te weigeren. Daarnaast zien ook veel domain registrars erop toe dat er geen domeinen worden geregistreerd die niet deugen. Je zou dus kunnen zeggen dat alle aandacht voor homogliefen een beetje overtrokken is – er zijn immers effectieve maatregelen getroffen.

In deze context wil ik het ook nog even over een andere vorm van list en bedrog hebben, die luistert naar de naam typosquatting. Bij deze truc registreert iemand een domeinnaam die lijkt op een echte, en dan hoopt hij dat mensen typfouten maken of zich in de naam vergissen en daardoor op hun site terechtkomen. Denk bijvoorbeeld aan googel.com, amazone.com of microsof.com. De houders van de officiële websites van deze organisaties kunnen zich hiertegen beschermen door zélf alle domeinen te registeren die op het hunne lijken.  Weet een slimmerik toch een gelijkend domein te scoren, dan kan de houder van het echte domein eisen dat het valse domein wordt opgeheven.

Mijn inschatting is dat je niet gauw in de problemen komt door homogliefen. De kans dat je een verkeerd webadres intypt waar toevallig een typosquatter aan heeft gedacht, is al wat groter. Maar het opmerkelijkste aan deze technieken vind ik toch dat ze überhaupt bestaan. Zo zie je maar weer eens dat criminelen bijzonder inventief kunnen zijn en over veel kennis beschikken.

 

En in de grote boze buitenwereld …

• kun je natuurlijk ook een satelliet hacken.
• is er al heel wat cryptogeld in de zakken van criminelen verdwenen. [De reclame in het artikel mag je negeren.]
• kun je veel mobieltjes ontgrendelen met een foto van de eigenaar.
• is er een krachtige lobby in Europa om regelgeving omtrent kunstmatige intelligentie niet al te streng te maken.
• worden gehackte ChatGPT-accounts gretig verhandeld.
• verzorgen criminele dienstverleners het ‘crypten’ van malware.
• bestaan er allerlei smaken tweefactorauthenticatie.
• zet Amerika in op de bestrijding van statelijke actoren.
• biedt jouw achtergelaten winkelwagentje een ingang voor aanvallers.
• is het zelfs bij voerautomaten voor huisdieren een slecht idee om wachtwoorden hard te coderen.
• wordt Telegram steeds populairder bij criminelen.