image

Aanvaller wijzigt dns Coinhive door middel van hergebruikt wachtwoord

woensdag 25 oktober 2017, 09:35 door Redactie, 5 reacties

Een aanvaller is er gisteren in geslaagd de dns van Coinhive aan te passen waardoor websites die van de cryptominer gebruikmaken naar een JavaScript-bestand van de aanvaller wezen. Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.

Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. De aanvaller wist toegang te krijgen tot het Cloudflare-account van Coinhive. Cloudflare is de dns-provider van Coinhive.

Vervolgens wijzigde de aanvaller de dns-instellingen, waardoor verzoeken voor coinhive.com naar een andere server werden doorgestuurd. Deze server draaide een aangepaste versie van het JavaScript-bestand. Dit zorgde ervoor dat de aanvaller profiteerde van de berekeningen die websitebezoekers uitvoerden, in plaats van de websites die Coinhive draaien.

Volgens Coinhive is het Cloudflare-account gehackt via een onveilig wachtwoord dat waarschijnlijk bij de hack van Kickstarter in 2014 is gestolen. "We hebben sindsdien harde lessen over security geleerd en voor alle diensten tweefactorauthenticatie en unieke wachtwoorden gebruikt, maar hebben nagelaten ons jarenoude Cloudflare-account bij te werken", aldus Coinhive. Er wordt nu gekeken naar manieren om getroffen websites te compenseren.

Reacties (5)
25-10-2017, 10:09 door Bitwiper
Dit type stommiteit is 1 van de redenen waarom Domain Validated certificaten nauwelijks meerwaarde hebben boven http.
25-10-2017, 10:28 door Anoniem
Door Bitwiper: Dit type stommiteit is 1 van de redenen waarom Domain Validated certificaten nauwelijks meerwaarde hebben boven http.

eehm. whaat? ja, als je een cloudflare account overneemt, maak je gebruik van het certificaat van Cloudflare, zodat je er alles achter kunt hangen wat je wilt. Dat is het mooien van Cloudflare, en het lelijke.

https zorgt ervoor dat ik een veilige verbinding heb naar een server, hopelijk de goeie, maar zorgt er ook voor dat niemand van de zijkant binnen komt. dit blijft overeind als ik https naar de verkeerde server opzet.
25-10-2017, 11:00 door Anoniem
Door Bitwiper: Dit type stommiteit is 1 van de redenen waarom Domain Validated certificaten nauwelijks meerwaarde hebben boven http.
Het probleem hier is het soort schade dat een onveilig wachtwoord zonder 2FA op kan leveren. Dat zegt in dit geval meer over Cloudflare en de legitieme domeineigenaar dan over DV-certificaten.

DV-certificaten bewijzen ook als dit soort situaties misbruikt worden dat de aanvrager op het moment van aanvraag over het domein beschikte. Dat verhoogt de kans dat je met de partij praat die je voor je denkt te hebben in de praktijk heel wat meer dan "nauwelijks", maar voor kritische toepassingen zijn EV-certificaten nodig.
25-10-2017, 11:44 door Bitwiper
Door Anoniem: https zorgt ervoor dat ik een veilige verbinding heb naar een server, hopelijk de goeie
Diffie-Hellman en AES zorgen voor de veilige verbinding naar een server. Het enige doel van een TLS servercertificaat is dat je zeker weet dat het de bedoelde server is.

Het is onverstandig om die zekerheid afhankelijk te maken van DNS, routing en enkelvoudige menselijke stommiteit.
25-10-2017, 15:45 door Anoniem
Hallo Bitwiper en anderen in deze draad,

Niet voor niets, dat de FBI waarschuwt voor de gevaren van cloudcomputing op het niet publiek toegankelijke net.

Door kwetsbare beveiligingsmethoden zijn een heleboel diensten niet meer veilig te gebruiken. Denk hierbij bij voorbeeld aan de 25.000 onveilige apparaten, die aangevallen kunnen worden omdat de ANSI X9.31 RNG niet langer meer veilig is (d.w.z. een af te voeren encryptie random generator voor cryptografische sleutels, die nu via een aanval te achterhalen vallen).

Dan kom je een Contiki Nano webs server tegen met een B-graad beveiliging. Is ie kwetsbaar voor BREACH, LUCKY13 , SWEET32 en secure client re-negotiation aanvallen. Men gebruikt bij deze Duitse server geen Public Key Pinning, dus aanvallers kunnen ongeldige certificaten gebruiken.

Wat een ellende allemaal. Als je niet goed oplet, ben je overal vogelvoer. Dit mede met dank aan de "spooks", die inmiddels zowat alles hebben gepn*w*d ten behoeve van hun heilige surveillance &b corporatie imperium en waar een heleboel openstaande achterdeuren nog niet eens publiekelijk bekend zijn gemaakt. Wat gaan we er aan doen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.