Aanvaller wijzigt dns Coinhive door middel van hergebruikt wachtwoord
Een aanvaller is er gisteren in geslaagd de dns van Coinhive aan te passen waardoor websites die van de cryptominer gebruikmaken naar een JavaScript-bestand van de aanvaller wezen. Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.
Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. De aanvaller wist toegang te krijgen tot het Cloudflare-account van Coinhive. Cloudflare is de dns-provider van Coinhive.
Vervolgens wijzigde de aanvaller de dns-instellingen, waardoor verzoeken voor coinhive.com naar een andere server werden doorgestuurd. Deze server draaide een aangepaste versie van het JavaScript-bestand. Dit zorgde ervoor dat de aanvaller profiteerde van de berekeningen die websitebezoekers uitvoerden, in plaats van de websites die Coinhive draaien.
Volgens Coinhive is het Cloudflare-account gehackt via een onveilig wachtwoord dat waarschijnlijk bij de hack van Kickstarter in 2014 is gestolen. "We hebben sindsdien harde lessen over security geleerd en voor alle diensten tweefactorauthenticatie en unieke wachtwoorden gebruikt, maar hebben nagelaten ons jarenoude Cloudflare-account bij te werken", aldus Coinhive. Er wordt nu gekeken naar manieren om getroffen websites te compenseren.
eehm. whaat? ja, als je een cloudflare account overneemt, maak je gebruik van het certificaat van Cloudflare, zodat je er alles achter kunt hangen wat je wilt. Dat is het mooien van Cloudflare, en het lelijke.
https zorgt ervoor dat ik een veilige verbinding heb naar een server, hopelijk de goeie, maar zorgt er ook voor dat niemand van de zijkant binnen komt. dit blijft overeind als ik https naar de verkeerde server opzet.
DV-certificaten bewijzen ook als dit soort situaties misbruikt worden dat de aanvrager op het moment van aanvraag over het domein beschikte. Dat verhoogt de kans dat je met de partij praat die je voor je denkt te hebben in de praktijk heel wat meer dan "nauwelijks", maar voor kritische toepassingen zijn EV-certificaten nodig.
Het is onverstandig om die zekerheid afhankelijk te maken van DNS, routing en enkelvoudige menselijke stommiteit.
Niet voor niets, dat de FBI waarschuwt voor de gevaren van cloudcomputing op het niet publiek toegankelijke net.
Door kwetsbare beveiligingsmethoden zijn een heleboel diensten niet meer veilig te gebruiken. Denk hierbij bij voorbeeld aan de 25.000 onveilige apparaten, die aangevallen kunnen worden omdat de ANSI X9.31 RNG niet langer meer veilig is (d.w.z. een af te voeren encryptie random generator voor cryptografische sleutels, die nu via een aanval te achterhalen vallen).
Dan kom je een Contiki Nano webs server tegen met een B-graad beveiliging. Is ie kwetsbaar voor BREACH, LUCKY13 , SWEET32 en secure client re-negotiation aanvallen. Men gebruikt bij deze Duitse server geen Public Key Pinning, dus aanvallers kunnen ongeldige certificaten gebruiken.
Wat een ellende allemaal. Als je niet goed oplet, ben je overal vogelvoer. Dit mede met dank aan de "spooks", die inmiddels zowat alles hebben gepn*w*d ten behoeve van hun heilige surveillance &b corporatie imperium en waar een heleboel openstaande achterdeuren nog niet eens publiekelijk bekend zijn gemaakt. Wat gaan we er aan doen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
