image

Aanvallers nemen Amazon ip-adressen over voor dns-aanval

woensdag 25 april 2018, 10:44 door Redactie, 13 reacties

Aanvallers zijn er gisterenavond in geslaagd om tijdelijk ip-adressen van Amazon over te nemen en die vervolgens voor een dns-aanval te gebruiken. De aanval was gericht op gebruikers van MyEtherWallet, een online portemonnee voor de digitale valuta ethereum.

Voor het uitvoeren van de aanval werd er gebruik gemaakt van een "BGP-lek", zo meldt internetbedrijf Cloudflare. Het Border Gateway Protocol (BGP) is een routeringsprotocol dat wordt gebruikt om verkeer tussen verschillende providers te routeren. Wanneer een internetgebruiker geen directe link naar de router van een partij heeft, ontvangt die de route via een transitprovider die wel met de partij verbonden is.

Om te voorkomen dat mensen dezelfde adresruimte gebruiken zijn er Regional Internet Registries (RIRs) die verantwoordelijk zijn voor het toewijzen van ip-adressen. Bij een BGP-lek zegt iemand de eigenaar van een bepaalde adresruimte te zijn, terwijl hij dat eigenlijk niet is. Gisteren was er een partij die stelde dat het de eigenaar van de adresruimte van Amazon was.

Het ging hierbij specifiek om de ip-adressen van Amazons Route53 dns-servers. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door de aanval werd er niet gewezen naar de servers van Amazon, maar naar die van de aanvallers. Die wezen internetgebruikers die naar myetherwallet.com wilden gaan vervolgens door naar een phishingsite. De aanvallers kregen zo toegang tot de accounts van gebruikers. Bij de aanval zou voor 152.000 dollar aan Ethereum zijn gestolen. Alle getroffen gebruikers krijgen hun geld terug, zo meldt MyEtherWallet op Reddit. Volgens Cloudflare is het lastig om één schuldige aan te wijzen, aangezien er meerdere partijen betrokken zijn, waaronder eindgebruikers die certificaatwaarschuwingen negeerden.

Image

Reacties (13)
25-04-2018, 10:52 door Anoniem
Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.
25-04-2018, 11:17 door Anoniem
Door Anoniem: Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.
Hmmm.... vermoed van niet. Het schijnt dat gebruikers een SSL waarschuwing kregen in de browser. Maar alsnog gewoon doorgaan. Ze zijn gewaarschuwd door de browser dat SSL niet klopte.... Het zijn nog steeds de gebruiker die alles negeren en doorgaan. Die verdienen dan ook om hun ether te verliezen

TheYOSH
25-04-2018, 11:25 door Anoniem
HSTS ^^ ;)
25-04-2018, 12:36 door Anoniem
Door Anoniem:
Door Anoniem: Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.
\Het schijnt dat gebruikers een SSL waarschuwing kregen in de browser. Maar alsnog gewoon doorgaan. Die verdienen dan ook om hun ether te verliezen.

Je kunt ook redeneren: dergelijke gebruikers moet je tegen zichzelf in bescherming nemen (want er zijn er best veel van op het internet). En met goed functionerende DNSSEC, waren deze gebruikers in dit geval überhaupt niet op de vervalste website uitgekomen.

Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.

Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.
25-04-2018, 13:12 door Anoniem
Door Anoniem:
Door Anoniem: Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.
Hmmm.... vermoed van niet. Het schijnt dat gebruikers een SSL waarschuwing kregen in de browser. Maar alsnog gewoon doorgaan. Ze zijn gewaarschuwd door de browser dat SSL niet klopte.... Het zijn nog steeds de gebruiker die alles negeren en doorgaan. Die verdienen dan ook om hun ether te verliezen

TheYOSH

Met HSTS had de browser toch de niet-passeerbare melding gegeven? (Iig in chrome)

Dit is wel iets waar ik al een tijdje bang voor was gezien hoe veel verschillende dingen via aws lopen; het lijkt nagenoeg onmogelijk te zijn om goed te beoordelen of de pagina's erachter zondermeer legitiem/niet problematisch zijn; er lijkt zelfs heel vaak aangenomen te worden dat als het via AWS looot, het wel snor zou moeten zitten.
25-04-2018, 13:21 door Anoniem
Developers van MyEtherWallet hadden gebruikers ook niet de mogelijkheid mogen moeten bieden om certificaat fouten te negeren.
25-04-2018, 13:30 door Anoniem
HSTS, maar vooral HPKP lost dit probleem op!
25-04-2018, 13:46 door Anoniem
Door Anoniem: Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.

DNSSEC heeft zo zijn problemen met prestaties (het DNS systeem wordt er trager door).
25-04-2018, 14:54 door Anoniem
Door Anoniem:
Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.

Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.

Ik vind dat er meer aandacht moet komen voor oplossingen die het mogelijk of makkelijker maken om de criminelen
te pakken. Dat heeft uiteindelijk meer effect dan het steeds maar proberen om de gebruiker tegen te houden om
onveilige dingen te doen, waar toch altijd wel weer een "negeren" knopje op zit.

Dus iets doen aan adres spoofing, iets doen aan BGP veiligheid, etc. En vooral: traceerbaarheid van malversaties.
25-04-2018, 15:14 door Anoniem
Door Anoniem:
Door Anoniem: Mooi voorbeeld van waar DNSSEC (maar ook HTST) geholpen zouden hebben.
Hmmm.... vermoed van niet. Het schijnt dat gebruikers een SSL waarschuwing kregen in de browser. Maar alsnog gewoon doorgaan. Ze zijn gewaarschuwd door de browser dat SSL niet klopte.... Het zijn nog steeds de gebruiker die alles negeren en doorgaan. Die verdienen dan ook om hun ether te verliezen

TheYOSH

Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
DNSSEC had geen resultaten terug gegeven (want SEC failure) en dus waren mensen niet op de verkeerde plek terecht gekomen, en hadden ze niet eens een certificaat fout oid gezien. Ook niet eenvoudig te omzeilen dus.

Jouw redenering is, mensen slaan een waarschuwing in de wind.. dus verdienen ze het om bestolen te worden.
dus elke keer dat je je auto parkeert op een plek waar "parkeren op eigen risico" staat, verdien je het om bestolen te worden?
25-04-2018, 20:41 door Anoniem
Door Anoniem: HSTS, maar vooral HPKP lost dit probleem op!

Eh, nee.
F2a met zelf ff bladeren in het telefoonboek en daarna opbellen.
Bij geen gehoor Amazon door naar Apeldoorn.
Gewoon ff optelefoneren,
dus.
26-04-2018, 09:24 door Anoniem


Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.

HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.
26-04-2018, 16:12 door Briolet
Door Anoniem:


Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.

HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.

HSTS blokkeert niets. Het zorgt er alleen maar voor dat er gedwongen via https verbonden wordt. Maar https helpt niets als er certificaat-waarschuwingen genegeerd worden. (Zoals duidelijk in de laatste zin van het bericht staat)

Het negeren van zo'n waarschuwing maakt ook niets uit, want ik lees dat alle slachtoffers hun geld terug krijgen. Iets wat ik dus weer niet begrijp.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.