Aanvallers nemen Amazon ip-adressen over voor dns-aanval
Aanvallers zijn er gisterenavond in geslaagd om tijdelijk ip-adressen van Amazon over te nemen en die vervolgens voor een dns-aanval te gebruiken. De aanval was gericht op gebruikers van MyEtherWallet, een online portemonnee voor de digitale valuta ethereum.
Voor het uitvoeren van de aanval werd er gebruik gemaakt van een "BGP-lek", zo meldt internetbedrijf Cloudflare. Het Border Gateway Protocol (BGP) is een routeringsprotocol dat wordt gebruikt om verkeer tussen verschillende providers te routeren. Wanneer een internetgebruiker geen directe link naar de router van een partij heeft, ontvangt die de route via een transitprovider die wel met de partij verbonden is.
Om te voorkomen dat mensen dezelfde adresruimte gebruiken zijn er Regional Internet Registries (RIRs) die verantwoordelijk zijn voor het toewijzen van ip-adressen. Bij een BGP-lek zegt iemand de eigenaar van een bepaalde adresruimte te zijn, terwijl hij dat eigenlijk niet is. Gisteren was er een partij die stelde dat het de eigenaar van de adresruimte van Amazon was.
Het ging hierbij specifiek om de ip-adressen van Amazons Route53 dns-servers. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door de aanval werd er niet gewezen naar de servers van Amazon, maar naar die van de aanvallers. Die wezen internetgebruikers die naar myetherwallet.com wilden gaan vervolgens door naar een phishingsite. De aanvallers kregen zo toegang tot de accounts van gebruikers. Bij de aanval zou voor 152.000 dollar aan Ethereum zijn gestolen. Alle getroffen gebruikers krijgen hun geld terug, zo meldt MyEtherWallet op Reddit. Volgens Cloudflare is het lastig om één schuldige aan te wijzen, aangezien er meerdere partijen betrokken zijn, waaronder eindgebruikers die certificaatwaarschuwingen negeerden.
TheYOSH
Je kunt ook redeneren: dergelijke gebruikers moet je tegen zichzelf in bescherming nemen (want er zijn er best veel van op het internet). En met goed functionerende DNSSEC, waren deze gebruikers in dit geval überhaupt niet op de vervalste website uitgekomen.
Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.
Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.
TheYOSH
Met HSTS had de browser toch de niet-passeerbare melding gegeven? (Iig in chrome)
Dit is wel iets waar ik al een tijdje bang voor was gezien hoe veel verschillende dingen via aws lopen; het lijkt nagenoeg onmogelijk te zijn om goed te beoordelen of de pagina's erachter zondermeer legitiem/niet problematisch zijn; er lijkt zelfs heel vaak aangenomen te worden dat als het via AWS looot, het wel snor zou moeten zitten.
DNSSEC heeft zo zijn problemen met prestaties (het DNS systeem wordt er trager door).
Volledigheidshalve wil ik er graag nog bij vermelden dat DNSSEC op zichzelf niet zaligmakend is. Het is onderdeel van een palet aan maatregelen, waaronder ook RPKI, HTST, allerlei HTTP-headers, TLS en in het beste geval zelfs DANE vallen.
Met al die maatregelen, wordt het voor criminelen toch weer wat lastiger om dit soort aanvallen uit te voeren.
Ik vind dat er meer aandacht moet komen voor oplossingen die het mogelijk of makkelijker maken om de criminelen
te pakken. Dat heeft uiteindelijk meer effect dan het steeds maar proberen om de gebruiker tegen te houden om
onveilige dingen te doen, waar toch altijd wel weer een "negeren" knopje op zit.
Dus iets doen aan adres spoofing, iets doen aan BGP veiligheid, etc. En vooral: traceerbaarheid van malversaties.
TheYOSH
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
DNSSEC had geen resultaten terug gegeven (want SEC failure) en dus waren mensen niet op de verkeerde plek terecht gekomen, en hadden ze niet eens een certificaat fout oid gezien. Ook niet eenvoudig te omzeilen dus.
Jouw redenering is, mensen slaan een waarschuwing in de wind.. dus verdienen ze het om bestolen te worden.
dus elke keer dat je je auto parkeert op een plek waar "parkeren op eigen risico" staat, verdien je het om bestolen te worden?
Eh, nee.
F2a met zelf ff bladeren in het telefoonboek en daarna opbellen.
Bij geen gehoor Amazon door naar Apeldoorn.
Gewoon ff optelefoneren,
dus.
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.
Daarom HSTS, dit blocked de toegang, en is heel moeilijk (if at all) te omzeilen.
HSTS is te omzeilen als je allereerste verbinding met de webserver ge MITM’d wordt. Google maar es.
HSTS blokkeert niets. Het zorgt er alleen maar voor dat er gedwongen via https verbonden wordt. Maar https helpt niets als er certificaat-waarschuwingen genegeerd worden. (Zoals duidelijk in de laatste zin van het bericht staat)
Het negeren van zo'n waarschuwing maakt ook niets uit, want ik lees dat alle slachtoffers hun geld terug krijgen. Iets wat ik dus weer niet begrijp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.