The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от opennews (??) on 25-Апр-18, 14:28 
Злоумышленники смогли (https://doublepulsar.com/hijack-of-amazons-internet-domain-s...) используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 (https://aws.amazon.com/route53/) на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet  была огранизована фишинг-атака, которая позволила за два часа украсть (https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/offic.../) 215 ETH (около 137 тысяч долларов).


Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (http://www.ee.net/index.php) (AS 10297) в Колумбусе (Огайо), который является upstream-провайдером Amazon. После анонса все пиры eNet стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24  Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix (https://en.wikipedia.org/wiki/Equinix) в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.


Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94...) 24276 ETH, что составляет более 15 млн долларов США.


Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.

URL: https://arstechnica.com/information-technology/2018/04/suspi.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48494

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +12 +/
Сообщение от An (??) on 25-Апр-18, 14:28 
Дожили.
Особенно интересно это "...использовался самоподписанный HTTPS-сертификат,...что не помешало в ходе грубого фишинга украсть..."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от IB on 25-Апр-18, 14:44 
См следующий вопрос.
Весьма вероятен или подкуп сотрудника или взлом его компьютера (с физическим доступом?).

За пару лет куча случаев кражи SSH ключей/паролей с домашних компов админов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –5 +/
Сообщение от нах on 25-Апр-18, 15:23 
> Весьма вероятен или подкуп сотрудника или взлом его компьютера (с физическим доступом?).

если у тебя есть 24276 ETH - тебе не надо ничего взламывать. Мне 5000, и пока меня на работе хватятся, пока догадаются посмотреть что там у меня (на деле не на том что на столе), пока проверят изменения конфигов роутеров - хрен вы уже меня найдете. Еще за 1000 этот фейковый сайт прекрасно захостим прямо рядом с core, и так, что хрен найдут.

> За пару лет куча случаев кражи SSH ключей/паролей с домашних компов админов.

а вот жадничать не надо - ключи и пароли с моего домашнего компа тебе не помогут получить доступ к инфраструктуре, позволяющей инжектить что-то левое в bgp, да еще так, чтобы оно проработало дольше пяти минут, а потом у коллег возникнут *вопросы*.

да и квалификации, скорее всего, у тебя не хватит, сети у большого магистрального оператора очень сложные, ты просто не поймешь, куда тыкаться и что править.

тут, блин, при наличии документации и помощи коллег разбираешься месяцами.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +4 +/
Сообщение от Аноним (??) on 25-Апр-18, 15:44 
> сети у большого магистрального оператора очень сложные

ойли, циска аср9000, чтoле сложная, бгп чтoле сложная, или вариаций железа много? Я скорее поверю что у деревенского админа васи сеть на убиквитях сложнее с фееричными костылями чем у апстримов.

> куда тыкаться и что править.

в таблицу маршрутизации, добавлять приоритет динамическому маршруту, или тупо статику нарисовать.

> тут, блин, при наличии документации и помощи коллег разбираешься месяцами.

А вы с почтой россии не путаете, там мб так и есть, бордер настраивается 20 минут с нуля, ну ацльки порисовать час полтора два.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –4 +/
Сообщение от нах on 25-Апр-18, 18:16 
тебя ждут не дождутся в Билайне. Говорят - десятого уже собеседуем, а ни кар, ни мяу, одни офисные админчеги. А задачки у них попроще бордера, его есть кому настраивать.
резюме куда слать (ни разу не в билайн), если ты в теме, сам знаешь.

>> куда тыкаться и что править.
> в таблицу маршрутизации, добавлять приоритет динамическому маршруту, или тупо статику нарисовать.

а, не, тогда чужое время можешь не тратить.
Больших сетей не видел даже на картинке. Бордеры, да еще с сотнями пиров, тоже явно не твоя стихия. Там обычно есть (опустим подробности), их сами курить без знания что чего означает и где применяется куда больше 20 минут будешь.
К тому времени, как ты разберешься в конкретной моей, не такой уж большой, куда и на какой железке "рисовать статику", и почему ничего в результате не работает, ты уже пару раз задевналлишь маршруты на амазоновские dns, и тебя возьмут за мягкую жёппу.
Это при условии что статик вообще тут нужен, Equinix не факт что клиент того же апстрима.

> А вы с почтой россии не путаете, там мб так и есть

если ваш опыт ограничивается почтой раиси и настройкой бордера с единственным апстримом, то у меня для вас плохие новости. (у почты, кстати, все сравнительно прилично, не считая особенностей взаимодействия с аутсорсерами, ибо на своих они пожабились. Но они не оператор, там все достаточно примитивно.)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

61. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от a (??) on 25-Апр-18, 23:59 
> Больших сетей не видел даже на картинке

Ну так скачай посмотри.

> Бордеры, да еще с сотнями пиров

Тебя от собственной важности прет, или у вас бгп на дсл-модемах? Препенды крутить высшее колдунство, ага.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

80. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –2 +/
Сообщение от нах on 26-Апр-18, 11:15 
>> Больших сетей не видел даже на картинке
> Ну так скачай посмотри.

ну так что же ты? (где, кстати, скачать? А то я свои не могу показывать, а иногда надо хотя бы примерно людям показать, как выглядит в общих чертах. Цискину методичку про конвергентные сети не надо - это слишком общо, мне б про бэкбоны.)
>> Бордеры, да еще с сотнями пиров
> Тебя от собственной важности прет, или у вас бгп на дсл-модемах? Препенды

судя по метанию какашек, от собственной важности тут прет горе-админчиков, дорвавшихся до конфигурежа единственной циски, и думающих, что они все-все знают о больших сетях - "там то же самое, только шкафчик побольше". Там не то же самое. Такая фигня.
> крутить высшее колдунство, ага.

на сотне пиров? Препенды? Не, не возьмут. Я же говорю - опыт сразу виден. Недолир с недовыполненным условием про два апстрима. Препенды крутит, траффик вручную ковшиком переливает. Крути дальше, следующий!

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

88. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 26-Апр-18, 14:04 
> не то же самое. Такая фигня.

Да, да, давай расскажи как ты там фотонные коммутаторы в детском саду настраивал.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

89. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 14:11 
кстате о билайне, чувак оттуда на мое место приходил устраивался, там видимо совсем зп тяжкая, а я решил сменить вектор и свалить из долбозвонов эксплуататоров пока не деграднул.
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

90. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 26-Апр-18, 14:54 
повторяю для непонятливых: если чувак назвал тебе в качестве места работы сам Билайн - к его магистралям он ни малейшего отношения не имеет, они семками торгуют там.

А если он работал в 2010м, то это да, примерно озвученный уровень, сопли, клей, умею рулить траффиком prepend'ами, я двоих оттуда видел, полный трэш (то есть их совершенно правильно уволили, это не переобучаемо). С тех пор железо и используемые технологии подтянули к человеческому уровню, иначе бы оно уже давно под собственным весом рухнуло.

При этом учти, что они по количеству линков/пиров/клиентов даже не 1/10 от eNet.

> а я решил сменить вектор и свалить из долбозвонов эксплуататоров пока не деграднул.

ну, типа их всего пять, в которых еще можно чему-то научиться, а не наоборот. Причем два аутсорсятся, еще в двух непонятно, зачем вообще так живут и почему не идут торговать шаурмой.
Чего вы хотите от копроэкономики?

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

95. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +3 +/
Сообщение от Аноним (??) on 27-Апр-18, 04:06 
> долбозвонов эксплуататоров пока не деграднул.

И правильно, а то станешь таким как нах.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

69. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от sergey (??) on 26-Апр-18, 07:55 
Да ну нафиг этот пчелайн, лет несколько назад (4-5) для оптимизации бизнес процессов поувольняли кучу народу с хорошим опытом и сертификатами мурзиковскими по BGP, а управление сеткой и поддержку отдали на аутсорсинг, теперь вот типа народ ищут, кто с ними работал раньше их уже не заманишь к ним, слава богу что ума хватило не трогать те участки сети где нормальные люди строили, ещё пока работает.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

79. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 26-Апр-18, 11:06 
> Да ну нафиг этот пчелайн, лет несколько назад (4-5) для оптимизации бизнес
> процессов поувольняли кучу народу

чувак, ты отстал от жизни - они уволили _всех_. "оптимизировать" начали еще в 2010м, хреновые инженеры стали хор...э..не очень менеджерами по оптимизации, хорошие сбежали от такой жизни.
Я же говорю - резюм надо присылать в другую контору. Ее нельзя называть вслух, но все кто в теме, и так знают (как будто их много ;-)

и нет, там в общем все нормально (и после этого фокуса стало лучше) с квалификацией, я пять лет их клиент, просто очередная пачка сбежала в ростелек, где жирнее.
А народу, действительно можущего и умеющего такие сети, да еще желающего заниматься унылятиной по их ежедневному обслуживанию - действительно по пальцам одной руки. Добавь совсем профнепригодных hr - получишь нынешнее состояние дел.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

46. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +7 +/
Сообщение от аноним 12 on 25-Апр-18, 19:34 
Капец ты продажный.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

78. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 26-Апр-18, 10:58 
> Капец ты продажный.

то есть, тебе 5000 предлагать бесполезно, ты хочешь сразу все 24? ;-)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

57. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 25-Апр-18, 21:49 
> Дожили.

ничего нового.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +3 +/
Сообщение от meequz (ok) on 25-Апр-18, 14:37 
Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 25-Апр-18, 15:25 
> Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.

легко. Совершенно беспалевно - за эти-то бабки.

Там, наверное, уже от всего отдела, отвечающего за бордеры, только пустые столы и зажеванная принтером копия билета в какую-то теплую карибскую страну, не выдающую уголовных преступников.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +6 +/
Сообщение от Аноним (??) on 25-Апр-18, 15:36 
$137к? как-то так себе
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от fi (ok) on 25-Апр-18, 15:52 
24276 ETH, что составляет более 15 млн долларов США.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

62. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Ordu email(ok) on 26-Апр-18, 00:22 
Это у них в кошельке 24276, а увели они всего на $137k.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

87. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 26-Апр-18, 13:59 
> Это у них в кошельке 24276, а увели они всего на $137k.

ага, а остальные 24 тыщи, конечно ж, сами намайнили.

Это они спалились на $137k. (что, кстати, позволит отделатся условным сроком, даже если поймают - и жить припеваючи не в карибской стране, а прямо в US. И даже налогов платить не придется...эх, где мои семнадцать лет...)


Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

94. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 27-Апр-18, 03:39 
> эх, где мои семнадцать лет...)

Fort Knox пойдет? :) Американская фемида любит учитывать все! По совокупности там еще какое-нибудь незаконное проникновение в системы найдется и все такое прочее. Как раз и поживешь прямо в US. Может даже не 17 лет а подольше. Во всяком случае, создателю silk road вроде таки на пожизненное по общей сумме достижений набралось.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

97. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним_ on 27-Апр-18, 11:32 
ну ты сравнил - создатель-то торговал вполне невиртуальными оружием и наркотиками, и пострадал за это, а не за то что плохо платил с них налоги, или за то что не все оплаченное доставлялось потребителю.

а тут непойми что сп-ли, непойми у кого (которые еще и не торопятся признаваться, что у них что-то было и чего-то не стало), и, поскольку это не деньги, налоговая тоже не агрится.
Так что семнадцати не дадут, да даже если и - ты вот за 17 лет рабского труда в офисе хрен заработаешь пятнадцать лямов. А они еще будут хорошо себя вести и выйдут через семь.

Некоторые еще и GС умудряются за время предварительной отсидки получить (не спрашивайте, как конкретно, но это true story, причем, похоже, механизм поставлен на поток)

так что у пацанов все нормально, идут к успеху.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

36. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 25-Апр-18, 18:19 
> $137к? как-то так себе

если они только этим ограничились, то да. На одного индуса, и то впритык. Но раз у ребят два дестятка ТЫЩ eth - они нихрена на этом не остановились ;-) Просто владельцы конкретного сайта начали, видимо, плакаться, а остальные молчат.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

70. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от sergey (??) on 26-Апр-18, 08:01 
> Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.

Вполне себе без палева, как говорится лохов надо наказывать, особенно когда мышей не ловят, для тех кто в курсе CVE-2018-017

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

93. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 18:01 
Интересно и много админов на том дырявом железе BGP поднимает?
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

7. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +39 +/
Сообщение от Аноним (??) on 25-Апр-18, 14:53 
Если тебе браузер орет "невалидный сертификат", а ты заходишь значит крипта это не твое.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 26-Апр-18, 01:12 
Если ты заходишь через браузер значит крипта это не твое.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от ыы on 25-Апр-18, 15:06 
Это просто праздник какой-то...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 25-Апр-18, 16:01 
Заранее прежупреждаю, что я в этом не силён, потому и спрашиваю.

Теоретическа, атака на BGP могла бы задеть сервера Let's Encrypt?

Допустим:

а) либо у MyEtherWallet в DNS-записях малый TTL, и по цепочке запросов от корневого DNS до авторитативного DNS MEW.com время кэширования не завышено искуственно – ни DNS-серверами из цепочки (примерно следующей – dig com NS @a.root-servers.net; dig myetherwallet.com NS @a.gtld-servers.net; dig фmyetherwallet.com @ns-73.awsdns-09.com), ни DNS-резолвером самого LE, который ходит от root servers к authority NS MEW.com, ни промежуточными сетевыми коробками, которые могут делать это неявно;

Б) либо ответы не кешируются резолвером LE совсем и вся цепочка перезапрашивается от корня каждый раз.

У LE есть верификация домена по DNS. Если одно из условий выше правдиво, и были задеты магистральщики, и при условии, что трафик от серверов LE идёт через них, возможно получить валидный сертификат для домена от LE.

Я прав? Как LE может защититься от этого вида атаки?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 16:03 
*Теоретически
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от dss (ok) on 25-Апр-18, 18:04 
Дык зону свою подписывать надо.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

43. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 25-Апр-18, 19:19 
Разве? Если речь не о wildcard certificate.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

81. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от dss (ok) on 26-Апр-18, 11:37 
При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

83. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 26-Апр-18, 13:00 
> При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.

А, понял вас.

Да, защищает. Но проверяет ли его LE?

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

37. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 25-Апр-18, 18:26 
> Заранее прежупреждаю, что я в этом не силён, потому и спрашиваю.
> Теоретическа, атака на BGP могла бы задеть сервера Let's Encrypt?

а зачем? Если у тебя уже перехвачен dns или хост, LE с радостию великой выпустит тебе _валидный_ сертификат, не задавая лишних вопросов.

просто они, видимо, сетевики а не админы, и не знали про LE (а остальные требуют предъявлять кредитку).

> Я прав? Как LE может защититься от этого вида атаки?

а смысл? Если у тебя уже есть dns или ты взломал сам хост - le ломать не надо, они и так радостно тебе все выдадут. Тем и плохи DV.
А если ты не умеешь перехватить dns или подломить хост - зачем тебе сертификат этого хоста, даже если, предположим, ты его получил? Расшифровать зашифрованное настоящим он тебе не поможет, а больше от него толку-то и нет, пока каким-то образом ты не направишь к себе траффик того, на чье имя его выдали.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

47. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 25-Апр-18, 19:37 
Цель атаки – направить юзеров на фишинговый браузерный кошелёк. На серверах настоящего MEW кошельки и ключи не хранятся, только сама веб-морда, которая способна работать в браузере автономно после загрузки всех ресурсов (можно открыть сайт и отключить интернет). Ключи не покидают браузер.

Возвращаясь к моему вопросу: я пытаюсь понять, мог ли злоумышленник получить валидный сертификат от LE, если бы LE не знал, что он общается с настоящим NS, а не зловредным.

Хост MEW не захвачен.
DNS захвачен условно – с настоящим ничего не случилось, но проверяющий хост LE при попытке обратиться к NSу MEW (в данном случае Amazon) из-за вредоносного BGP-анонса попадает на NS злоумышленника. Это при условии, что атака задевает одного из вышестоящих провайдеров LE, а судя по списку компаний в тексте новости, веротяность этого очень высока.
Дальше LE смотрит на TXT записи для  MEW, видит там строку, которую надо было проверить, и выдаёт сертификат.
Точно так же можно было сделать проверку через http, т.к. LE взял бы A/CNAME с того же сервера злоумышленника.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

49. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 19:40 
> пока каким-то образом ты не направишь к себе траффик того, на чье имя его выдали.

Через анонс как раз это и делается. Трафик _к_ MEW попадёт к атакующему, т.к. запросы об адресе MEW будет отдавать фэйковый NS, к которому будут обращаться все, кого заденет анонс атакующего.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 19:41 
s/общается с настоящим NS, а не зловредным/общается с зловредным NS, а не настоящим/
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

96. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 27-Апр-18, 04:13 
> Возвращаясь к моему вопросу: я пытаюсь понять, мог ли злоумышленник получить валидный
> сертификат от LE, если бы LE не знал, что он общается с настоящим NS, а не зловредным.

Настоящий NS послал бы LE на настоящий сервер и злоумышленник вероятно получил бы дырку от бублика. По идее для успеха такой атаки злоумышленнику надо как-то обмануть еще и LE, так чтобы тот сходил на именно сервер злоумышленника. Насколько это получится - вопрос.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

101. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 02-Июл-18, 17:52 
Да-да, я это и имел в виду. Если зловредный анонс задевает крупнейших провайдеров, то он мог задеть и провайдеров, которыми пользуется Let's Encrypt, и LE стал бы общаться с DNSом атакующего, через него проверил бы контрольную строку в TXT для выдачи сертификата, и выдал бы сертификат. Либо с того же DNSа атакующего взял A/CNAME сервера атакующего и сходил бы по http на well-known адрес, через который производится проверка.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

102. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 02-Июл-18, 17:55 
Кажется, тут помогло бы только следующее:

1) HPKP (HTTP Public Key Pinning);
2) сайт, на котрый производится атака, должен использовать другой CA, которым не пользуется злоумышленник.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

24. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 16:44 
Интеррреееесно, а у этого самого eNet скомпрометированные роутеры не на джуниках ли были? https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 25-Апр-18, 18:30 
> Интеррреееесно, а у этого самого eNet скомпрометированные роутеры не на джуниках

если у них принимаются bgp пакеты от кого попало, без фильтрации - пофиг, на чем там роутеры.
(кстати, у магистралов бывает, им вечно некогда нормально политики настроить)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 16:49 
А всего-то надо было фильтровать BGP-анонсы…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Адноним on 25-Апр-18, 17:55 
bgp hijacking

RPKI & BGPsec

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –3 +/
Сообщение от Аноним (??) on 25-Апр-18, 17:00 
Ну хорошо, переправили трафик на MyEtherWallet.com,
а откуда они взяли сертификат для него? Или у MyEtherWallet.com нет https?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 25-Апр-18, 17:45 
Новость читайте внимательнее.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +3 +/
Сообщение от Аноним (??) on 25-Апр-18, 17:07 
> самоподписанный HTTPS-сертификат

Раз уж завернули на себя DNS, могли бы заодно получить letsencrypt сертификат по
DNS проверке, например. Ленивые злоумышленники

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –2 +/
Сообщение от Аноним (??) on 25-Апр-18, 17:12 
точняк.
значит все-таки https - мусор, и никакой пупер-секурности не дает. а так натягивают его, натягивают всем :)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Всем Анонимам Аноним on 25-Апр-18, 17:22 
Просто policy не поставили правильно. Если стоит, то тогда например Chrome вообще не пускает никак.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +4 +/
Сообщение от Аноним84701 (ok) on 25-Апр-18, 18:38 
> Просто policy не поставили правильно. Если стоит, то тогда например Chrome вообще не пускает никак.

С помощью какой именно policy можно запретить хрому заходить на хайджекнутые сайты, где для атакующего принципиально не проблема раздобыть валидный LЕ сертификат?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

99. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от sage (??) on 10-Май-18, 18:11 
https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key...
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

100. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним84701 (ok) on 10-Май-18, 20:28 
Так в хроме его то ли выпилили то ли совсем скоро выпилят ;)
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

103. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 02-Июл-18, 17:56 
Увы. Кстати, почему?
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

104. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним84701 (ok) on 02-Июл-18, 20:33 
> Увы. Кстати, почему?

https://groups.google.com/a/chromium.org/forum/#!msg/blink-d...
Официально: сложен в обращении, мало кем используется.
В качестве альтернативы предлагается Certificate Тransparency стандарт:
> To defend against certificate misissuance, web developers should use the Expect-CT header

то, что оный развивается гуглом, конечно же абсолютно случайное совпадение :)

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

34. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +3 +/
Сообщение от dss (ok) on 25-Апр-18, 18:05 
> точняк.
> значит все-таки https - мусор, и никакой пупер-секурности не дает. а так
> натягивают его, натягивают всем :)

на то hpkp и придуман

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

45. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Адноним on 25-Апр-18, 19:26 
hpkp не спасет отца русской демократии, ведь проблема во всех 3х местах - изначально strict BGP (bgpsec, rpki режимы работы пиров только по согласованию обоих сторон), HTTPS ocsp, DNS тоже по дефолта кефира не секрет и не подписан
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

53. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 20:32 
> на то hpkp и придуман

Ага, только? во-первых, ни одним клиентом ACME он не поддерживается, а во-вторых, гугл сказал, что HPKP не нужен, так что жить ему осталось всего ничего.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

82. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от dss (ok) on 26-Апр-18, 11:41 
А зачем его должны поддерживать клиенты ACME?
ACME занимается получением сертификатов. А ротацией ключей ему не надо заниматься.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

44. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +6 +/
Сообщение от нах on 25-Апр-18, 19:19 
> значит все-таки https - мусор, и никакой пупер-секурности не дает.

ну как же не дает? Если бы не https - любой васян сосед по подъезду мог бы по дороге спереть твой кошелечек. А так - только хорошие парни, админы крупной сети.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

55. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 25-Апр-18, 21:12 
Чтобы это был не мусор надо понимать различие сертификатов. Как написали выше DV сертификат тебе не гарантирует что сайт принадлежит этой организации.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –1 +/
Сообщение от Аноним (??) on 25-Апр-18, 17:46 
См. мой вопрос в #21.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

40. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от Аноним (??) on 25-Апр-18, 18:42 
> После BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту.

Они подменили MyEtherWallet.com только для ограниченного числа интернет пользователей, а именно тех, кто поверил их ложному анонсу (несколько довольно крупных провайдеров). Не факт, что Let'sEncrypt был среди их числа (а значит, при попытке получить сертификат, LE общался бы с настоящим сайтом). По сути они устроили anycast - для небольшой части интернета был один MyEtherWallet.com, для другой части - настоящий MyEtherWallet.com.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 25-Апр-18, 19:18 
вам же сказали - этот оператор апстримит амазон. "Поверили" все, может даже включая сам амазон, если ему тоже прилетело. Ни фильтрация не спасет от такого, ни multihome.

Поскольку анонсили они /24, а амазон (лень проверять, но почти наверняка) анонсится гораздо более крупными блоками - не пострадали только те, кто был непосредственными клиентами других амазонских апстримов (и то если анонсилось именно от имени амазоновской as, а, собственно, зачем им?) ну и те, до кого анонс просто не успел добраться, и они продолжали общаться с агрегатом.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

41. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  –1 +/
Сообщение от Адноним on 25-Апр-18, 19:17 
Let's Encrypt надули?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 25-Апр-18, 20:34 
> Let's Encrypt надули?

Нет, лоханулись. В следующий раз обещали исправиться.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

48. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от YetAnotherOnanym (ok) on 25-Апр-18, 19:38 
То есть, после того, как пакистанская чёрная дыра положила Ютьюб, никто никаких выводов для себя не сделал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Адноним on 25-Апр-18, 19:43 
Ютуб не волнует что там с население Пакистана будет.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от ыы on 25-Апр-18, 21:20 
> Ютуб не волнует что там с население Пакистана будет.

Ютуб законопослушный. Очень. Как ему скажут дяди в погонах -так и сделает.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

75. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 10:30 
Но гугл не выгнал телеграм со своих айпишников, пуши не отключил, из российского маркета не удалил.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 25-Апр-18, 22:42 
>на котором использовался самоподписанный HTTPS-сертификат

А если бы юзали let's encrypt, то сертификат был бы настоящий.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от YetAnotherOnanym (ok) on 25-Апр-18, 23:06 
Да, в этом вся суть LE - исполни спуфинг один раз для их сервера, и можешь потом исполнять его для всех остальных уже с валидным сертификатом, выданным столь любимым опенсорсниками УЦ.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

76. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от нах on 26-Апр-18, 10:55 
> Да, в этом вся суть LE

в этом суть dv (digital validation)
le просто во-первых выполняют ее наихудшим образом, или были пиoнерами в этом, во-вторых, те кто за ними стоит, старательно уничтожили более вменяемых конкурентов и частично нивелировали технические средства защиты (pkp). Товарищу майору ж неудобно...

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

60. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Dmitry77 (ok) on 25-Апр-18, 23:43 
Вообще текущая архитектура http довольно уязвимая.
По хорошему MEW должен распологаться в столь любимом криптовалютчиками IPFS.

Вообще таким же успехом владельцы MEW могли сами подзарабработать свалив это на BGP

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Аноним (??) on 26-Апр-18, 09:17 
MEW должен располагаться на компе пользователя, и подключаться к локальной ноде.

А если по-хорошему, то он вообще не нужен

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

84. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 13:03 
Только так всегда им и пользовался.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

86. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +2 +/
Сообщение от Dmitry77 (ok) on 26-Апр-18, 13:52 
это следствие  кривости интернета, который "держится благодаря милиции".
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

63. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +1 +/
Сообщение от vitalif (ok) on 26-Апр-18, 00:43 
Это роскомнадзор наверное игрался!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +3 +/
Сообщение от Аноним (??) on 26-Апр-18, 08:55 
Какие-то они странные. Амазон взломали, а валидный сертификат не сделали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 09:41 
дык, как можно получить валид сертификат на домен не имея к нему доступ ?
разве что на момент атаки сделать запрос в letsencrypt на получение, но на сколько такое возможно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 13:04 
Именно так. Выше аж две ветки обсуждения.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

91. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Адноним on 26-Апр-18, 16:11 
Разборные полетов https://nag.ru/articles/article/101232/istoriya-odnogo-bgp-h...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

92. "Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."  +/
Сообщение от Адноним on 26-Апр-18, 16:19 
https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру