Можно ли защититься от атаки на DNS при работе с криптовалютой?

27 апреля

Компания Clouddflare разобрала проблемы, возникшие при атаке на криптокошелек MyEtherWallet, и опубликовала рекомендации, помогающие исключить финансовые потери при попадании под атаку на DNS.

Атаки на DNS могут проявляться в самых различных формах. DNS — это ключевая система Интернета, поэтому от ее исправной работы зависит правильная работа всех остальных систем, в том числе при работе децентрализованных приложений, пишет Bitcoin.com.

В лучшем случае нарушение работы DNS влечет за собой неудобства, выражающиеся в отключении веб-сайтов и предотвращением доступа к ним. В худшем случае потери в случае нарушения работы DNS могут оказаться весьма весомыми. Это было наглядно продемонстрировано на этой неделе в связи с хищениями, которые были зарегистрированы у владельцев акккаунтов на криптокошельке MyEtherWallet. Общая сумма потерь оценивается в $150,000.

Как бы то ни было, но опыт прошедшей недели показал, что при работе в криптопространстве необходимо знать некоторые правила, позволяющие защититься от атак на DNS.

Как была проведена DNS-атака на пользователей MyEtherWallet

По результатам проведенной в прошедший вторник атаки DNS была затронута функциональность ряда важных веб-сайтов. Атака принесла «убыток» части пользователей — владельцев аккаунтов на криптокошельке MyEtherWallet.

В связи с этим компания Cloudflare опубликовала отчет, в котором объяснила технологию проведенного взлома.

Как отмечает издание, злоумышленники использовали уязвимости в системе DNS, связанные с работой протокола пограничных шлюзов BGP — стандартизированного шлюза, используемого для маршрутизации данных, передаваемых из одной части Интернета в другую.

«Злоумышленники смогли, используя протокол BGP, успешно перенаправить трафик DNS-сервиса Amazon Route 53 на свой хост. В результате на протяжении нескольких часов они «успешно» подменяли сайт MyEtherWallet.com, используемый для онлайн-размещения криптокошелька для Ethereum. На подготовленном клоне сайта MyEtherWallet, изготовленным заранее злоумышленниками, была организована фишинг-атака. Это позволило им за два часа украсть 215 ETH или около $137,000.

Подстановка фиктивного маршрута во взломанную систему DNS была осуществлена от имени крупного американского интернет-провайдера eNet. После внесения изменений в BGP все пиры eNet, среди которых были такие крупные Интернет-операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали перенаправлять трафик, идущий Amazon Route 53 (высокодоступному и масштабируемому облачному веб-сервису DNS) по маршруту, заранее указанному злоумышленниками. Он вел к подконтрольному атакующим серверу, который был размещен в датацентре провайдера Equinix в Чикаго. На его ресурсах была организована MiTM-атака (A man in the middle), связанная с подменой ответов DNS.

Путем подмены параметров DNS пользователи MyEtherWallet.com перенаправлялись затем на поддельный сайт. Там использовался самоподписанный HTTPS-сертификат. Хотя браузеры пользователей выдавали предупреждение о проблемах с защищённым соединением, тем не менее путем грубого фишинга злоумышленникам все-таки удалось украсть около $137,000. Это происходило, когда пользователь не обращал внимание на предупреждение и вводил свои персональные идентификационные данные, запрашиваемые для работы с криптокошельком. В случае «успешной» аутентификации через фишинговый сайт у пользователя списывались все средства, имевшиеся на данный момент в криптокошельке.

Как отмечают исследователи, атакующие оказались весьма состоятельными людьми. Исследователи оценили суммы криптовалюты, хранящейся на ETH-кошельках злоумышленников, на которые перенаправлялись «переводы» пользователей во время атаки. На этих криптокошельках оказалось 24,276 ETH, что составляет приблизительно $15 млн.

Как не оказаться под атакой на DNS при пользовании криптокалютой?

Хорошей новостью является то, что в большинстве случаев для выявления признаков наличия атаки на DNS от пользователя не требует специальных знаний, связанных с пониманием архитектуры интернет-протокола. Первая подсказка, что в системе что-то неладно, могла прийти к ним со стороны браузера. Взглянув на адресную строку, ни могли заметить, что браузер предлагает ввести блокировку для https.

В нормальной ситуации этот адрес должен быть обозначен зеленым цветом. Это обозначает, что сертификат посещаемого веб-сайта является надежным и проверенным. Если же адресная строка «краснеет» или на экран пользователю выдается предупреждающее сообщение, то надо было остановиться и не делать никаких действий.

Как пишет Cloudflare, «при использовании протокола HTTPS при посещении поддельного веб-сайта появится сообщение, что сертификат TLS был подписан неизвестным органом. Хотя домен, указанный в сертификате, мог быть правильным, это не означает, что подпись не была фальсифицирована. Проблемы могли возникнуть только в том случае, если пользователь соглашался работать со „скомпрометированным“ сертификатом. С этого момента все, что он будет отправляться в сеть, будет, как и раньше, передаваться в зашифрованном виде, но в распоряжении злоумышленников будут приватные ключи, которые позволят им раскрыть содержимое передаваемых данных».

В такой ситуации, подсказывает издание bitcoin.com, лучше воспользоваться сервисом Whoismydns.com. Он позволяет проверить имя и IP-адрес DNS-сервера, его репутацию.

Учитывая риски хранения криптовалюты на централизованных (например, MyEtherWallet) и децентрализованных (например, Etherdelta) биржах, в настоящее время уже ведутся проекты, направленные на исключение жертв, которые могут возникнуть при атаках на DNS. Издание приводит в качестве примера проект REMME, где занимаются разработкой технологии предупреждения об атаках на DNS.

Читайте также наш материал о том, какие действия приводят к потере криптовалюты!

 

Оставайтесь в курсе и следите за развитием событий на сайте blockchain.ru! Присоединяйтесь к обсуждениям самых интересных тем в нашем сообществе Facebook. А для того, чтобы оперативно узнавать о горячих новостях, подписывайтесь на наш телеграм-канал.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera