Aanvallers nemen Amazon ip-adressen over voor dns-aanval
Aanvallers zijn er gisterenavond in geslaagd om tijdelijk ip-adressen van Amazon over te nemen en die vervolgens voor een dns-aanval te gebruiken. De aanval was gericht op gebruikers van MyEtherWallet, een online portemonnee voor de digitale valuta ethereum.
Voor het uitvoeren van de aanval werd er gebruik gemaakt van een "BGP-lek", zo meldt internetbedrijf Cloudflare. Het Border Gateway Protocol (BGP) is een routeringsprotocol dat wordt gebruikt om verkeer tussen verschillende providers te routeren. Wanneer een internetgebruiker geen directe link naar de router van een partij heeft, ontvangt die de route via een transitprovider die wel met de partij verbonden is.
Om te voorkomen dat mensen dezelfde adresruimte gebruiken zijn er Regional Internet Registries (RIRs) die verantwoordelijk zijn voor het toewijzen van ip-adressen. Bij een BGP-lek zegt iemand de eigenaar van een bepaalde adresruimte te zijn, terwijl hij dat eigenlijk niet is. Gisteren was er een partij die stelde dat het de eigenaar van de adresruimte van Amazon was.
Het ging hierbij specifiek om de ip-adressen van Amazons Route53 dns-servers. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door de aanval werd er niet gewezen naar de servers van Amazon, maar naar die van de aanvallers. Die wezen internetgebruikers die naar myetherwallet.com wilden gaan vervolgens door naar een phishingsite. De aanvallers kregen zo toegang tot de accounts van gebruikers. Bij de aanval zou voor 152.000 dollar aan Ethereum zijn gestolen. Alle getroffen gebruikers krijgen hun geld terug, zo meldt MyEtherWallet op Reddit. Volgens Cloudflare is het lastig om één schuldige aan te wijzen, aangezien er meerdere partijen betrokken zijn, waaronder eindgebruikers die certificaatwaarschuwingen negeerden.
TheYOSH
Je kunt ook redeneren: dergelijke gebruikers moet je tegen zichzelf in bescherming nemen (want er zijn er best veel van op het internet). En met goed functionerende DNSSEC, waren deze gebruikers in dit geval überhaupt niet op de vervalste website uitgekomen.
Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.
Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.
TheYOSH
Met HSTS had de browser toch de niet-passeerbare melding gegeven? (Iig in chrome)
Dit is wel iets waar ik al een tijdje bang voor was gezien hoe veel verschillende dingen via aws lopen; het lijkt nagenoeg onmogelijk te zijn om goed te beoordelen of de pagina's erachter zondermeer legitiem/niet problematisch zijn; er lijkt zelfs heel vaak aangenomen te worden dat als het via AWS looot, het wel snor zou moeten zitten.
DNSSEC heeft zo zijn problemen met prestaties (het DNS systeem wordt er trager door).
Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.
Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.
Ik vind dat er meer aandacht moet komen voor oplossingen die het mogelijk of makkelijker maken om de criminelen
te pakken. Dat heeft uiteindelijk meer effect dan het steeds maar proberen om de gebruiker tegen te houden om
onveilige dingen te doen, waar toch altijd wel weer een "negeren" knopje op zit.
Dus iets doen aan adres spoofing, iets doen aan BGP veiligheid, etc. En vooral: traceerbaarheid van malversaties.
TheYOSH
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
DNSSEC had geen resultaten terug gegeven (want SEC failure) en dus waren mensen niet op de verkeerde plek terecht gekomen, en hadden ze niet eens een certificaat fout oid gezien. Ook niet eenvoudig te omzeilen dus.
Jouw redenering is, mensen slaan een waarschuwing in de wind.. dus verdienen ze het om bestolen te worden.
dus elke keer dat je je auto parkeert op een plek waar "parkeren op eigen risico" staat, verdien je het om bestolen te worden?
Eh, nee.
F2a met zelf ff bladeren in het telefoonboek en daarna opbellen.
Bij geen gehoor Amazon door naar Apeldoorn.
Gewoon ff optelefoneren,
dus.
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.
HSTS blokkeert niets. Het zorgt er alleen maar voor dat er gedwongen via https verbonden wordt. Maar https helpt niets als er certificaat-waarschuwingen genegeerd worden. (Zoals duidelijk in de laatste zin van het bericht staat)
Het negeren van zo'n waarschuwing maakt ook niets uit, want ik lees dat alle slachtoffers hun geld terug krijgen. Iets wat ik dus weer niet begrijp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
