web-dev-qa-db-ja.com

AWS DNSサーバーが昨日ハイジャックされたにもかかわらず、DNSハイジャックがmyetherwallet.comの障害だった方法

ここで述べたように、Amazonsドメインサービスが侵害されたため、myetherwalletが1日前にハッキングされた方法について読んでいます。

https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

タイトルが間違っています。侵害されたのは、Amazonのドメインサービスでした。 GoogleのDNSサーバーは、AmazonのドメインサービスがMEWのドメインを解決するように指示したIPを取得します。

https://doublepulsar.com/Hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f

そして

https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_Hijack/

しかし、MyEtherWalletのTwitterの人々は、ハッキングのせいで彼らを非難し、DNSSecが適切に設置されていればそれは実現しなかったと不平を言っています。

Amazon DNSがハイジャックされたとしても、MyEtherWalletの障害はどうですか?

5
curiator

ここでうまくいかなかったいくつかのことがあり、MyEtherWalletはリスクを減らすために何かをしたかもしれません。問題は、DNSサーバーへのトラフィックが乗っ取られ、特定のドメインに対するクエリが偽装された応答を引き起こし、サーバーが元のサイトになりすました攻撃者のIPアドレスにブラウザーを誘導することでした。ユーザーに提示されたのは、元のサイトのように見える偽のサイトでした。

DNSSec は、まさにこの種のスプーフィングを防止するように設計されています。つまり、応答が偽物であることを検出します。ただし、DNSSecは、ドメイン所有者(レコードに署名する必要があります)、DNSサーバー(署名されたレコードを返す必要があります)、およびクライアント(署名されたレコードを必要とする)からのサポートを必要とします。 MyEtherWalletは、ドメインにDNSSecを提供するようにシステムを構成できますが、クライアントの部分を制御できません。一部のクライアントのみが最初にDNSSecを要求し、さらに少数のクライアントのみがDNSSecを要求するため、攻撃者が署名されていない応答を返す可能性があります。署名された応答。

MyEtherWalletのドメインに [〜#〜] hsts [〜#〜] を設定する方が簡単でしょう。このHTTPヘッダーが設定されている場合 最新のブラウザ は、ドメインに常にHTTPSでアクセスする必要があり、SSLの問題が発生した場合に例外が許可されないことを覚えています。この単純なセットアップ保護をバイパスするには、攻撃者は攻撃されたドメインの有効な証明書も取得する必要があります。攻撃者が一時的にドメインを制御している場合( Fox-IT に対する攻撃からのこのレポートに示されているように)、しかし、追加の制御を備えたCA発行者を使用し、 DNS CAAレコード を使用して発行者CAを制限することにより、攻撃者が不可能または少なくとも非常に困難にすることができたパブリックCAからこのドメインの証明書を取得します。

要約すると、MyEtherWalletは、攻撃者を困難にするためにいくつかのことを行う可能性があります。これらのいくつかは実装が簡単ですが、それでも非常に効果的です(HSTS)。他のもの(DNSSecなど)は、クライアント側で適切なサポートを必要としますが、今日は現実的ではありません。

6
Steffen Ullrich