The attackers used BGP — a key protocol used for routing internet traffic around the world — to reroute traffic to Amazon’s Route 53 service, the largest commercial cloud provider who count major websites such as Twitter.com as customers.
So far the only known website to have traffic redirected was to MyEtherWallet.com, a cryptocurrency website. This traffic was redirected to a server hosted in Russia, which served the website using a fake certificate — they also stole the cryptocoins of customers.
5:19 AM PDT We are investigating reports of problems resolving some DNS records hosted on Route53 using the third party DNS resolvers 8.8.8.8 and 8.8.4.4 . DNS resolution using other third-party DNS resolvers or DNS resolution from within EC2 instances using the default EC2 resolvers are not affected at this time.
Woke up today, Put my computer on, went on to myetherwallet and saw that myetherwallet had a invalid connection certificate in the corner. I thought this was odd. https://i.imgur.com/2x9d7bR.png . So I double checked the url address, tripple checked it, went on google, got the url . Used EAL to confirm it wasn't a phisihing site. And even though every part of my body told me not to try and log in, I did. As soon as I logged in, there was a countdown for about 10 seconds and A tx was made sending the available money I had on the wallet to another wallet " 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29 "
- 3318 megtekintés
Hozzászólások
LOL
- A hozzászóláshoz be kell jelentkezni
Így belegondolva letsencrypt-től akár valid certet is szerezhettek volna...
- myetherwallet.com: hsts: off, dnssec: off, caa: off
Összehasonlításképpen megnéztem pár domaint:
- coinbase.com: hsts: +, dnssec: -, caa: -
- bistamp.com: hsts: -, dnssec: -, caa: -
- bitfinex.com: hsts: -, dnssec: -, caa: -
- kraken.com: hsts: -, dnssec: +, caa: -
- paypal.com: hsts: +, dnssec: +, caa: +
- otpbank.hu: hsts: -, dnssec: -, caa: -
- raiffeisen.hu: hsts: -, dnssec: -, caa: -
- cib.hu: hsts: -, dnssec: -, caa: -
- A hozzászóláshoz be kell jelentkezni
Ezt a CAA rekordot még nem is ismertem. Nájsz!
- A hozzászóláshoz be kell jelentkezni
Mondjuk itt pont nem segített volna semmit. Mármint: pont a DNS-t irányították át.
--
https://naszta.hu
- A hozzászóláshoz be kell jelentkezni
Ok. De az a rész meg "védhető" dnssec-cel.
(Más kérdés, hogy aztán azt meg ritkán szokta ellenőrizni bármi, de ez megint egy másik problémakör.)
- A hozzászóláshoz be kell jelentkezni
Az OS-nek kéne becsületesen támogatni...
--
https://naszta.hu
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
:)
- A hozzászóláshoz be kell jelentkezni
Akkor legyenek itt ezek is a HSTS mellett:
X-Frame-Options: SAMEORIGIN Protects against Clickjacking attacks. ref.: https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
X-XSS-Protection: 1; mode=block https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-h…
X-Content-Type-Options: nosniff https://www.veracode.com/blog/2014/03/guidelines-for-setting-security-h…
Referrer-Policy: strict-origin Prevents from leaking referrer data over insecure connections. ref.: https://scotthelme.co.uk/a-new-security-header-referrer-policy/
És érdemes lehet CSP-t is beállítani: http://content-security-policy.com/ tesztelő: https://csp-evaluator.withgoogle.com/
--
https://naszta.hu
- A hozzászóláshoz be kell jelentkezni
+1
Köszi a listáért!
- A hozzászóláshoz be kell jelentkezni
A xss/scripting megint elég sok lehetőséget hordoz magában, de ezek nem igazán relevánsak dns/bgp támadás esetén,
- A hozzászóláshoz be kell jelentkezni
[törölve]
- A hozzászóláshoz be kell jelentkezni
https://www.etherchain.org/account/1d50588C0aa11959A5c28831ce3DC5F1D312…
https://www.etherchain.org/account/0xf203a3B241deCAFD4BdEBBb557070db337…
Alapján kicsit nagyobb összegről van szó 524 ETH * 703USD = 368k USD (202 usertől)
A myetherwallet kommunikációja: "This can happen to any org & is not due to a lack of security on the MEW platform, but due to criminal hackers finding vulnerabilities in public-facing DNS servers. Your security & privacy is ALWAYS priority." - via
Ami egyértelműen nem igaz, mert a HSTS és a DNSSEC is védelmet nyújtott volna ez ellen.
- A hozzászóláshoz be kell jelentkezni
Update: van egy 3. cím is amire a lopott coinok mentek ezen kicsit nagyobb összeg van: 24,583 ETH = $16,087,155
Viszont ennek nagy része már korábban érkezett, szóval valószínű nem ez volt az egyetlen akciója a hackernek: https://www.etherchain.org/account/0xb3aaaae47070264f3595c5032ee94b620a…
- A hozzászóláshoz be kell jelentkezni
Cloudflare report: BGP leaks and cryptocurrencies
Is there somebody to blame?
As there are many actors involved, it is hard to determine fault. Actors involved:
The ISP that announced a subnet it did not own.
The transit providers that did not check the announcement before relaying it.
The ISPs that accepted the route.
The lack of protection on the DNS resolvers and authority.
The phishing website hosted on providers in Russia.
The website that did not enforce legitimate TLS certificates.
The user that clicked continue even though the TLS certificate was invalid.
https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/
- A hozzászóláshoz be kell jelentkezni
Azért igaza van...
- A hozzászóláshoz be kell jelentkezni
Ennyike.
Ezért jó játék ez a coinozgatás a számítógépen: "könnyen" jött a coin, de aztán tényleg könnyen megy is, ha az ember nem Defcon videókat nézeget állandóan.
--
- A hozzászóláshoz be kell jelentkezni
Az biztos, hogy én bejelentkezés előtt nézem az ssl cert kiállítóját is, web-es walletet meg teljesen kizárom (eddig se használtam)
- A hozzászóláshoz be kell jelentkezni
Egyrészt user error, mert invalid certre kattintott. Másrészt az elmaradott hagyományos bankok már mindenhol 2 factor auth-ot használnak. Itt meg csóka belép a jelszóval és már hussan is el a pénze...de a myetherwallet-nél a biztonság a legfontosabb :)
- A hozzászóláshoz be kell jelentkezni
> Itt meg csóka belép a jelszóval és már hussan is el a pénze...de a myetherwallet-nél a biztonság a legfontosabb :)
2fa nem lehetséges ilyen helyzetben: A myetherwallet nem tárol semmi adatot, minden a kliens oldalon működik és tárolódik. (mondjuk szerintem faszság a böngészőre bízni ilyen adatokat, de mindegy)
- A hozzászóláshoz be kell jelentkezni
Hogy jön ide a BGP? az csak teszi a dolgát, DNS-t pedig egyáltalán nem használ. Újságírók...
- A hozzászóláshoz be kell jelentkezni
A BGP nem használ DNS-t, de a DNS használ BGP-t...
A cikkben elég egyszerűen le van írva:
> This IP space is allocated to Amazon (AS16509). But the ASN that announced it was eNet Inc (AS10297) to their peers and forwarded to Hurricane Electric (AS6939).
> Those IPs are for Route53 Amazon DNS servers. When you query for one of their client zones, those servers will reply.
> Any DNS resolver that was asked for names handled by Route53 would ask the authoritative servers that had been taken over via the BGP leak. This poisoned DNS resolvers whose routers had accepted the route.
- A hozzászóláshoz be kell jelentkezni
sokra menne a 2fa-val, ha beproxyzzak az eredeti oldalra. sima MITM.
- A hozzászóláshoz be kell jelentkezni
nem is ertem miert nem csinaltak egy certet is, ha mar a dns rajuk mutat egy domain validatedet nem lett volna nagy cucc es meg tobb embert bepalizhattak volna (azert csak voltak akik a hibas cert miatt nem doltek be)
- A hozzászóláshoz be kell jelentkezni
Feltételezem csináltak volna, ha tudnak, de valószínű a letsencrypt dns szerverei nem voltak érintettek. Az is lehet, hogy van valami védelmük ilyen esetekre. (pl nem állítanak ki olyan domainre certet aminek van érvényes másik szolgáltatótól származó)
- A hozzászóláshoz be kell jelentkezni
eleg sok cert kibocsato van a letsencrypten kivul is, egyet se talaltak? :)
hiaba van vedelmuk, ha erintett a dns-uk akkor azt fogjak latni hogy nincs certje. vagy barmit, amit mutatnak nekik.
- A hozzászóláshoz be kell jelentkezni
Certificate transparency bevezetése óta minden cert kiállító köteles publikus listát vezetni a kibocsátott certekről (különben a chrome nem fogadja el validnak), így könnyen ellenőrizhető a dolog.
Itt kereshető domain alapján (akár évekre visszamenőleg, subdomaineket listázva is): https://transparencyreport.google.com/https/certificates
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni