In che modo il dirottamento DNS era un errore myetherwallet.com anche se il server AWS DNS è stato dirottato ieri

Question

In che modo il dirottamento DNS era un errore myetherwallet.com anche se il server AWS DNS è stato dirottato ieri

#1 da (5 voti)

4

Ho letto su come il myetherwallet è stato violato un giorno fa perché il servizio del dominio Amazons è stato compromesso, come menzionato qui,

link

The title is erroneous. It was Amazons domain service that was compromised. Googles DNS servers just take whatever IP Amazons domain service tells it MEW's domain resolved to.

https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f

e

link

Ma su MyEtherWallet, le persone di Twitter li stanno incolpando per l'hack, lamentandosi che se avessero installato DNSSec, non sarebbe successo.

Come è colpa di MyEtherWallet anche se Amazon DNS è stato dirottato?

dns dnssec

posta curiator 26.04.2018 - 06:32

fonte

1 risposta

Leggi altre domande sui tag dns dnssec

Implicazioni sulla sicurezza di consentire ai siti Web di aprire socket TCP Come mai posso vedere le richieste HTTPS complete tramite Fiddler?

score 5 · Answer 1

Ci sono diverse cose che sono andate storte qui e MyEtherWallet avrebbe potuto fare cose per ridurre il rischio. Il problema era che il traffico verso il server DNS è stato dirottato e quindi le query per domini specifici hanno provocato una risposta falsa, indirizzando quindi il browser sull'indirizzo IP degli hacker con un server che impersona il sito originale. Lì l'utente è stato presentato era un sito falso che sembrava quello originale.

DNSSec è progettato per prevenire esattamente questo tipo di spoofing, cioè rilevare che una risposta è falsa. Tuttavia, DNSSec richiede il supporto del proprietario del dominio (deve firmare i record), il server DNS (deve restituire i record firmati) e dal client (deve richiedere record firmati). Anche se MyEtherWallet avrebbe potuto configurare lì il sistema per offrire DNSSec per il dominio non ha alcun controllo sulla parte client: l'autore dell'attacco potrebbe aver appena restituito una risposta non firmata dal momento che solo alcuni clienti chiedono DNSSec e ancor meno insistono per ottenere solo una risposta firmata.

Più facile sarebbe stato impostare HSTS per i domini di MyEtherWallet. Se questa intestazione HTTP è impostata su browser moderni ricorderà che il dominio deve sempre essere accessibile da HTTPS e che nessuna eccezione in caso di I problemi SSL sono consentiti. Per evitare questa protezione semplice da installare, l'autore dell'attacco dovrebbe anche ottenere un certificato valido per il dominio attaccato. È spesso possibile ottenere tale certificato se l'utente malintenzionato controlla temporaneamente il dominio (come si vede in questo rapporto da un attacco contro Fox-IT ) ma utilizzando un emittente della CA con controlli aggiuntivi e limitando la CA emittente utilizzando Record DNS CAA potrebbe essere stato reso impossibile o almeno molto difficile per l'hacker ottenere un certificato per questo dominio da una CA pubblica.

In sintesi: MyEtherWallet avrebbe potuto fare parecchie cose per rendere più difficile l'attacco. Alcuni di questi sarebbero facili da implementare ma ancora molto efficaci (HSTS). Altri (come DNSSec) richiedono un supporto adeguato dal lato del cliente che non è realtà oggi.