Cómo el secuestro de DNS fue un error de myetherwallet.com a pesar de que el servidor de DNS de AWS fue secuestrado ayer

Question

Cómo el secuestro de DNS fue un error de myetherwallet.com a pesar de que el servidor de DNS de AWS fue secuestrado ayer

#1 de Steffen Ullrich (5 votos)

4

He estado leyendo sobre cómo fue hackeado myetherwallet hace un día porque el servicio de dominio de Amazon estaba comprometido, como se menciona aquí,

enlace

El título es erróneo. Era el servicio de dominio de Amazonas que era   comprometida. Los servidores DNS de Google solo toman cualquier dominio de IP Amazon   servicio le dice que el dominio de MEW está resuelto.

y

enlace

Pero en el Twitter de MyEtherWallet, la gente los culpa por el hackeo, quejándose de que si tuvieran DNSSec en su lugar, no habría ocurrido.

¿Cómo es que la falla de MyEtherWallet, a pesar de que Amazon DNS fue secuestrado?

dns dnssec

pregunta curiator 26.04.2018 - 06:32

fuente

1 respuesta

Lea otras preguntas en las etiquetas dns dnssec

¿Qué método de cifrado utiliza el programa zip en macOS? ¿Por qué puedo ver las solicitudes HTTPS completas a través de Fiddler?

score 5 · Answer 1

Hay varias cosas que salieron mal aquí y MyEtherWallet podría haber hecho cosas para reducir el riesgo. El problema fue que el tráfico al servidor DNS fue secuestrado y, por lo tanto, las consultas de dominios específicos dieron como resultado una respuesta falsificada, lo que dirigió el navegador a la dirección IP de los atacantes con un servidor que se hacía pasar por el sitio original. Allí se presentó al usuario un sitio falso que se parecía al original.

DNSSec está diseñado para evitar exactamente este tipo de falsificación, es decir, detectar que una respuesta es falsa. Pero, DNSSec requiere soporte del propietario del dominio (debe firmar registros), el servidor DNS (debe devolver los registros firmados) y del cliente (debe requerir registros firmados). Si bien MyEtherWallet podría haber configurado el sistema para ofrecer DNSSec para el dominio, no tiene control sobre la parte del cliente: el atacante podría haber devuelto una respuesta sin firmar, ya que solo algunos clientes solicitarán DNSSec en primer lugar e incluso muchos menos insistirán en obtener solo una respuesta firmada.

Más fácil hubiera sido establecer HSTS para los dominios de MyEtherWallet. Si este encabezado HTTP está configurado, navegadores modernos recordarán que HTTPS siempre debe acceder al dominio y que no hay excepciones en caso de Se permiten problemas de SSL. Para omitir esta sencilla protección de configuración, el atacante también debería obtener un certificado válido para el dominio atacado. A menudo es posible obtener dicho certificado si el atacante controla temporalmente el dominio (como se ve en este informe de un ataque contra Fox-IT ) pero usando un emisor de CA con controles adicionales y restringiendo el CA de emisor usando DNS CAA records podría haber sido imposible o al menos muy difícil para el atacante obtener un certificado para este dominio de una CA pública.

En resumen: MyEtherWallet podría haber hecho varias cosas para que sea más difícil para el atacante. Algunos de estos serían fáciles de implementar pero aún así muy efectivos (HSTS). Otros (como DNSSec) requieren un soporte adecuado en el lado del cliente, lo cual no es una realidad en la actualidad.