Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.Судя по опубликованной разработчиками Trezor информации, все признаки указывают на то, что как и при проведении апрельской атаки на MyEtherWallet, для организации фишинга использовалась подстановка фиктивного маршрута в BGP, благодаря которой удалось перенаправить трафик подсетей с DNS-сервеами Trezor на полконтрльный атакующим сервер, на котором была организована MiTM-атака по подмене ответов DNS.
В ответ на попытки определения имени хоста wallet.trezor.io пользователям, работающим через провайдеров, которых затронуло изменение маршрутизации, выдавался IP-адрес клона сайта Trezor Wallet, на котором при попытке входа выводилось сообщение о повреждении данных в хранилище с предложением ввести последовательность для восстановления доступа к кошельку. В случае ввода кода, злоумышленники получали полный контроль за ключами к криптовалютам, размещённым в хранилище Trezor (wallet.trezor.io предоставляет web-интерфейс для доступа к подключенному к системе пользователя аппаратному хранилищу ключей).
Атака была зафиксирована в выходные, после того как от пользователей стали поступать сообщения о применении некорректного SSL-сертификата на сайте wallet.trezor.io (атакующие использовали самоподписанный сертификат, для которого выдавалось предупреждение в браузере). Информации о размере нанесённого в ходе атаки ущерба пока нет, анализ инцидента ещё не завершён и окончательно метод подмены результатов обращения к DNS пока не ясен (наиболее вероятным называется подстановка маршрутов BGP, но никакие деталей и подтверждений от сервисов мониторинга BGP пока нет).
URL: https://www.reddit.com/r/TREZOR/comments/8vauiv/psa_phishing.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48889
Объясните мне дубине как такое реализуется?
Если у меня есть свой IP пул, AS, и стыки с другими AS, то я у себя анонсирую IPшники этого сервиса, у соседей перестраивается таблица BPG и трафик идет ко мне?
да, что-то типа такого
лучше почитай https://www.opennet.dev/opennews/art.shtml?num=48494
Да, так. Ещё может быть атака на BGP-сессию между маршрутизаторами. По хорошему все должны настраивать BGP фильтры строго по whois и вырезая /25+ вдобавок. А так же настраивать IPSEC между маршрутизаторами. В таком случае ни одна из атак не пройдёт.
> А так же настраивать IPSEC между маршрутизаторамиИшь, чё захотел...
он имел ввиду, наверное, control-plane трафик. Так то ничего необычного, то же OSPFv3 использует IPSEC вместо собственног велосипеда для аутентификации, что есть правильно. в bgp есть встроенный механизм PSK-аутентификации сессии
Видимо не успели выдать валидный сертификат lets encrypt. и Тогда бы никто не заметил, о невалидном сайте.
Два сертификата на одно доменное имя не выдают.
Выдают, лично получал и с Let's Encrypt, и со StartSSL.
На разные поддомены?
На один и тот же.Сегодня я как раз собирался обновлять сертификаты Let's Encrypt, попробую из интереса их получить, но не устанавливать на сервер, и точно посмотреть, что будет со старыми сертификатами (теоретически можно было бы отозвать старые сертификаты, но вроде бы не отзывают)
Обновил, десять минут - полёт нормальный, браузеры признают оба сертификата (и старый, и новый)
Почти сутки - полёт всё ещё нормальный, старый сертификат продолжает успешно приниматься браузерами.
Браузер с дополнением Certificate Patrol ( https://addons.mozilla.org/firefox/addon/certificate-patrol/ ) переспрашивает при каждой смене сертификата. Например, у Википедии не менее 2 сертификатов, и это дополнение хорошо даёт это понять.
Нет, выдают и на те же самые.
Так а почему не можно два получить, в чем здесь нарушение?
с чего вдруг. Цепочка доверия сертификатов не означает что кто-то должен контролировать что у домена должен быть только один сертификат. Вы можете иметь несколько сертификатов вполне легально для одно домена.
При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается.
Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте.
> При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается.
> Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте.И не нужно. Достаточно DNS-сервера к которому обращается LE для резолвинга.
На кого эта атака расчитана? На пользователей десятки?
> На кого эта атака расчитана? На пользователей десятки?Да, к сожалению расчитывается всегда большинство. Линуксоидам с их 1.5% бояться как всегда нечего, эффект Неуловимого Джо в действии :)
пользователей пятёрочки.
Да уж... С самоподписанным-то сертификатом - забавно, да и только.Для тех, кто не в курсе:
1) Trezor - это хардварный кошель для криптовалют, такими пользуются те, кто безопасностью парится всерьёз. Очень сомнительно, что такие товарищи поведутся на самоподписанный сертификат.
2) То, что предлагалось сделать (" ввести последовательность для восстановления доступа к кошельку") - это адски форсмажорная штука, которая вообще не делается без десятикратных проверок. Даже без браузерной ругани подобное предложение вылилось бы в разбирательства "что произошло", а не в бездумный ввод кода.
Как итог - это не атака, а какая-то странная пародия.
Доверять ключи какому то железу, которое клепает чужой дядя? Ты в своем уме?А если серьезно: значительная часть пользователей приобрела эту хрень по совету/из-за рекламы, не более, и ни черта не шарят в технологиях. так что атака хоть и палевная, но не лишена смысла.
Была даже история про их конкурентов - ledger. Там левые перекупы на ebay подменяли инструкции и предлагали проинициализировать девайс с их заранее сгенерированным сидом. И ничего, люди велись.
Ладно хоть не с BFG2000
9000
Бег по граблям. Но поддержку DANE внедрять по-прежнему никто в браузеры не планирует... Ok, чё.
В данном случае тупой запрет самоподписанных сертификатов принёс бы гораздо больше пользы - как, сосбтвенно, для всех случаев, не связанных с домашними сервачками или разработкой. Ну и планируемая letsencrypt проверка из нескольких точек при выдаче сертификата. При этом вообще никакие изменения в инфраструктуре не нужны.
Нереально, дофигаща людей, которые считают, что самоподписанные сертификаты это свобода, letsencrypt это коварный проект ZOG по прослушиванию трафика, а таблеточки, выписанные психиатром для их больной головушки пить не стоит.
Если бы этот самый енкрипт хотя бы в европе был, а то как обычно всё в США.
А StartSSL угробили.
Если вас не смущает что все IT сервисы в США и что конкурентов из других локаций мочат - вероятно вы мало думаете о следствиях и последствиях, хотя бы в перспективе 5-10 лет.
Один нюанс - к данному случаю это никакого отношения не имеет.А так - нет, не смущает. Для подпольщины есть Tor, i2p, retroshare и куча всего остального. Для дел же легальных и "простого потребителя" никаких проблем в этом нет.
А, ну и ещё я не страдаю паранойей по поводу США.
Расскажи это крымчанам, которые внезапно остались вообще без всех сервисов пендостана.
Речь не про отдельный сайт/сервис а про политический рычаг влияния, у нас шутят про отключение газа а они выключили инет.
Отвалились только зонды. Я за блокировку этих сервисов для всего мира, кроме США.
да и вообще адресную строку убрать — давно уже экспериментируют же. но как-то очень несмело. зачем эта вот ерунда с «куда хочешь — туда и ходишь»? очевидно же, что там везде мошенники сидят! неча шастать, ходи куда положено, а больше тебе никуда не надо.
Это звучит не так иронично, как тебе кажется. Для "обычного пользователя" запросто можно убирать - у него один хрен всё с поисковика начинается. А на каждый "чистый" самоподписанный сайт хомяк нарвётся минимум на сотню малварных.
тут есть, правда, нюанс. сначала «защитим детей от порнографии», а потом роскомцензура. потому что запреты вместо обучения — они только так и работают.
учиться не модно
> у него один хрен всё с поисковика начинаетсяПлюсую. Мильён раз видел как обычные пользователи заходят на почту набирая в яндекс/мейлсру-поиске слово "почта", на строку с адресом мало кто смотрит, а пользуются ей вообще единицы.
а ещё «обычный пользователь» не пишет на сишечке. поэтому сишечку надо разрешать ставить только после того, как ты глубоко в системе поменял 100500 флажков на «да, я согласен».самое забавное то, что когда это случится — ни перед одним whistleblower'ом никто даже не подумает хотя бы извиниться.
В данном, возможно, бы и хватило.
А про будущее надо подумать бы уже теперь (вчера).
>тупой запрет самоподписанных сертификатовЭто тоталитаризм