Aanvaller wijzigt dns Coinhive door middel van hergebruikt wachtwoord
Een aanvaller is er gisteren in geslaagd de dns van Coinhive aan te passen waardoor websites die van de cryptominer gebruikmaken naar een JavaScript-bestand van de aanvaller wezen. Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit.
Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. De aanvaller wist toegang te krijgen tot het Cloudflare-account van Coinhive. Cloudflare is de dns-provider van Coinhive.
Vervolgens wijzigde de aanvaller de dns-instellingen, waardoor verzoeken voor coinhive.com naar een andere server werden doorgestuurd. Deze server draaide een aangepaste versie van het JavaScript-bestand. Dit zorgde ervoor dat de aanvaller profiteerde van de berekeningen die websitebezoekers uitvoerden, in plaats van de websites die Coinhive draaien.
Volgens Coinhive is het Cloudflare-account gehackt via een onveilig wachtwoord dat waarschijnlijk bij de hack van Kickstarter in 2014 is gestolen. "We hebben sindsdien harde lessen over security geleerd en voor alle diensten tweefactorauthenticatie en unieke wachtwoorden gebruikt, maar hebben nagelaten ons jarenoude Cloudflare-account bij te werken", aldus Coinhive. Er wordt nu gekeken naar manieren om getroffen websites te compenseren.
eehm. whaat? ja, als je een cloudflare account overneemt, maak je gebruik van het certificaat van Cloudflare, zodat je er alles achter kunt hangen wat je wilt. Dat is het mooien van Cloudflare, en het lelijke.
https zorgt ervoor dat ik een veilige verbinding heb naar een server, hopelijk de goeie, maar zorgt er ook voor dat niemand van de zijkant binnen komt. dit blijft overeind als ik https naar de verkeerde server opzet.
DV-certificaten bewijzen ook als dit soort situaties misbruikt worden dat de aanvrager op het moment van aanvraag over het domein beschikte. Dat verhoogt de kans dat je met de partij praat die je voor je denkt te hebben in de praktijk heel wat meer dan "nauwelijks", maar voor kritische toepassingen zijn EV-certificaten nodig.
Het is onverstandig om die zekerheid afhankelijk te maken van DNS, routing en enkelvoudige menselijke stommiteit.
Niet voor niets, dat de FBI waarschuwt voor de gevaren van cloudcomputing op het niet publiek toegankelijke net.
Door kwetsbare beveiligingsmethoden zijn een heleboel diensten niet meer veilig te gebruiken. Denk hierbij bij voorbeeld aan de 25.000 onveilige apparaten, die aangevallen kunnen worden omdat de ANSI X9.31 RNG niet langer meer veilig is (d.w.z. een af te voeren encryptie random generator voor cryptografische sleutels, die nu via een aanval te achterhalen vallen).
Dan kom je een Contiki Nano webs server tegen met een B-graad beveiliging. Is ie kwetsbaar voor BREACH, LUCKY13 , SWEET32 en secure client re-negotiation aanvallen. Men gebruikt bij deze Duitse server geen Public Key Pinning, dus aanvallers kunnen ongeldige certificaten gebruiken.
Wat een ellende allemaal. Als je niet goed oplet, ben je overal vogelvoer. Dit mede met dank aan de "spooks", die inmiddels zowat alles hebben gepn*w*d ten behoeve van hun heilige surveillance &b corporatie imperium en waar een heleboel openstaande achterdeuren nog niet eens publiekelijk bekend zijn gemaakt. Wat gaan we er aan doen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.