Aanvallers wijzigen wereldwijd dns-instellingen domeinen
Aanvallers zijn erin geslaagd om de dns-instellingen van domeinen van bedrijven, overheidsinstanties en telecomproviders wereldwijd aan te passen en zo gevoelige gegevens te stelen. Daarvoor waarschuwen securitybedrijf FireEye en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).
Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. In de dns-records van een domeinnaam staan bijvoorbeeld het ip-adres van de webserver of mailserver vermeld. Bij de aanvallen waar FireEye en het US-CERT voor waarschuwen weten aanvallers via gestolen inloggegevens op het beheerderspaneel van de dns-aanbieder in te loggen.
Vervolgens wijzigen de aanvallers de records van het domein, bijvoorbeeld het ip-adres van de webmailserver. Het verkeer van gebruikers gaat hierdoor eerst naar het ip-adres van de aanvallers, die het vervolgens naar het juiste ip-adres doorsturen. De aanvallers maken hierbij gebruik van een via Let's Encrypt gegenereerd certificaat.
"Het Let's Encrypt-certificaat laat de browsers een verbinding zonder certificaatfouten opzetten, aangezien Let's Encrypt Authority X3 wordt vertrouwd. De verbinding wordt doorgestuurd naar een loadbalancer, die een verbinding met het echte domein opzet. De gebruiker heeft de aanpassingen niet door en merkt mogelijk alleen een kleine vertraging", aldus Muks Hirani van FireEye. Door deze opzet weten de aanvallers gebruikersnamen en wachtwoorden te stelen van gebruikers die bijvoorbeeld op de webmail van hun organisatie inloggen.
Ook komt het voor dat de aanvallers de nameserver-records van de domeinnaam aanpassen of een "dns redirector" gebruiken. Dit is een machine van de aanvallers die op dns-verzoeken reageert. "Een groot aantal organisaties is door deze dns-manipulaties en frauduleuze ssl-certificaten getroffen. Het gaat om telecom- en internetproviders, internetinfrastructuurproviders, overheden en gevoelige commerciële entiteiten", zo stelt Hirani. Getroffen organisaties bevinden zich in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika.
Organisaties krijgen het advies om multifactorauthenticatie voor hun dns-beheerdersportaal te gebruiken en aanpassingen van A- en NS-records te valideren. Verder kunnen organisaties zoeken naar ssl-certificaten die op hun domeinnaam betrekking hebben en die in laten trekken. Tevens wordt het valideren van de source ip-adressen in de logbestanden van Exchange en Outlook Web Acces aangeraden.
1. Welke organisaties?
2. Welke Internet Providers?
3. Welke Telecom Providers?
Graag meer info hierover.
Anders hebben wij hier niets aan.
Waar kan dat dan?
luntrus
De topic start is ook apart: Mensen met affiniteit voor secrity weten allemaal wat DNS is en hoe het werkt
luntrus
Dus het probleem van onterecht uitgegeven certificaten is niet iets wat let's encrypt veroorzaakt. Sterker, hun "controle", such as it is, beperkt zich tot "hebben ze controle over het domein waar het certificaat voor is?" en dat is eigenlijk het enige criterium dat er toe doet. Dus voorzover PKI een goed idee is (is het nou niet echt, nee) doet let's encrypt het prima. In ieder geval doen ze het niet slechter dan andere certificaatuitgevers. (Zie ook: "Honest Achmed".)
Dat vervolgens de beheersinterfaces voor die domeinen een zwak punt blijken is nou niet echt let's encrypt of welke andere certificatenboer dan ook aan te rekenen.
Dat maakt de open discussie met vraag en wedervraag er ook niet al te gemakkelijk op.
Cybercriminelen hebben die limiteringen niet, zeker niet de ethische beperkingen en ook geen last van opgedrongen mogelijkheden. Ze kennen aleen de praktische loopholes, waar ze zich doorheen kunnen wringen om te bereiken wat ze willen.
Als de pakkans vervolgens ook klein blijft en hun globale operatieterrein vrijwel onbeperkt (alleen niet in de eigen achtertuin, want dan wordt er niet meer gedoogd), gaat dit circus onverdroten voort.
Waarom altijd kritiek op van alles en nog wat en nooit op de inrichting door de grote data slurpers, die lobbyen en bepalen en bijbuigen en algoritmen wijzigen en zich als kameleons aanpassen, nu weer met het verdedigen van hun opereren op basis van de Benda filsodofie uit de jaren twintig om hun globalistische praktijken respectabl en ethisch te doen lijken.
Desinteresse en onverschilligheid spelen hen flink in de kaart. De bijkomende ellende is voor elke eindgebruiker.
Je ziet het met facebook, je zou verwachten dat er geen verslaafde meer achterbleef. Helaas de vliegenval trekt steeds meer slachtoffers aan en farcebook zet nog een tandje bij.
In het artikel hierboven wordt ook een link gelegd met Iran "The researchers assessed with moderate confidence that the attackers had a link to Iran, based on IP addresses they’re using". (Als die ook niet gespoofed zijn).
M.a.w. omdat DV speelgoedcertificaten nou eenmaal bestaan en op basis van een DNS testje aan fraudeurs worden verstrekt (zonder enige aanvullende checks), en omdat gewone mensen een DV certificaat hooguit van een EV certificaat kunnen onderscheiden (en je alleen maar kunt hopen dat ze onthouden dat jouw site een EV cert had en dat bezoekers van nep uitgaan zodra ze een non-EV cert zien op jouw site), ben je een dubbele prutser als het aanvallers lukt om toegang te krijgen tot jouw DNS registrar account.
Kortom, als DV speelgoedcertificaten (waaronder die van Let's Encrypt) niet zouden bestaan, zouden precies dit soort aanvallen onmogelijk zijn.
ehh.... in het artikel "Bij de aanvallen waar FireEye en het US-CERT voor waarschuwen weten aanvallers via gestolen inloggegevens op het beheerderspaneel van de dns-aanbieder in te loggen."
Zeg maar liever cracking, want het is crimineel hacken en geen hacken in de zin van ethisch tweaken of resource engineeren of desnoods fuzzen en error-hunting. De laatste activiteiten zou toezicht ook graag tot bad activities verklaren,
omdat het ook tegen hen kan worden gebruikt.
Ze krijgen te veel ruimte die PHISHERtjes. Kijk dagelijks via urlquery dot com scans en je komt om in de PHISHING sites.
Maar ja met geen oog voor best policies, uitfaseren van kwetsbare biblitheken en allerlei excessieve info proliferatie,
die dat soort ongein alleen maar vergemakkelijkt, komen we er niet.
Security blijft nog steeds een "last resort thing", tot de wal het schip gaat keren, maar dat kan nog wel even duren.
Daarnaast, je ziet 'm hier minstens wekelijks herhaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.