Gå til innhold

Hackere stjal kryptovaluta ved å utnytte selve kjernen i Internett

AfterGlow

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Kakeshoma

Kakeshoma

Skrevet
Skrevet (endret)

og de som ble rammet har mest sannsynlig klikket seg forbi en advarsel om usignert SSL-sertifikat som dukker opp når brukerne besøkte en ondsinnet utgave av MyEtherWallet-siden.

 

Er vel noen som tror at sertifikatene bare er til pynt..

Endret av Kakeshoma
  • Liker 2
Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

Folk flest aner ikke hva sertifikater er. Til og med blant folk som 'jobber med data' er dette et tema som får folk til å skru på tusenmetersblikket..

 

Sertifikater er kort sagt for vanskelig til at folk flest skal skjønne seg på det, browserern din må med andre ord ta jobben som portvakt og plent nekte å vise sider med ugyldige sertifikater. (Å skru på 'ekspertmodus' for å inspisere sider med tvilsomme sertifikater bør være mulig men vanskelig).

Lenke til kommentar
Bing123

Bing123

Skrevet
Skrevet (endret)

Folk flest aner ikke hva sertifikater er. Til og med blant folk som 'jobber med data' er dette et tema som får folk til å skru på tusenmetersblikket..

 

Sertifikater er kort sagt for vanskelig til at folk flest skal skjønne seg på det, browserern din må med andre ord ta jobben som portvakt og plent nekte å vise sider med ugyldige sertifikater. (Å skru på 'ekspertmodus' for å inspisere sider med tvilsomme sertifikater bør være mulig men vanskelig).

Vanskelig og vanskelig, man trenger jo ikke forstå tekniske detaljer hvis man vet hva advarselen betyr at det er fare på ferde, spørs hvilken browser men de vanligste flagger rødt. Problemet er at noen ikke gidder å ha skikkelig sertifikater og man lærer i enkelte tilfeller at "det skal være sånn"

 

Du kan teste hvordan browseren oppfører seg med feil sertifikat her:

https://badssl.com/

Endret av atlemag
  • Liker 1
Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet

 

og de som ble rammet har mest sannsynlig klikket seg forbi en advarsel om usignert SSL-sertifikat som dukker opp når brukerne besøkte en ondsinnet utgave av MyEtherWallet-siden.

 

Er vel noen som tror at sertifikatene bare er til pynt..

I dette tilfellet, så kunne jo uansett angriperne laget nye gyldige SSL-sertifikater for MyEtherWallet.

Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

 

 

og de som ble rammet har mest sannsynlig klikket seg forbi en advarsel om usignert SSL-sertifikat som dukker opp når brukerne besøkte en ondsinnet utgave av MyEtherWallet-siden.

 

Er vel noen som tror at sertifikatene bare er til pynt..

I dette tilfellet, så kunne jo uansett angriperne laget nye gyldige SSL-sertifikater for MyEtherWallet.

Hvordan mener du de kunne ha gjort det?

De må jo tross alt få en autoritet til å signere sertifikatene, ellers får du samme advarselen om at det er utrygt.

Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet (endret)

 

I dette tilfellet, så kunne jo uansett angriperne laget nye gyldige SSL-sertifikater for MyEtherWallet.

Hvordan mener du de kunne ha gjort det?

De må jo tross alt få en autoritet til å signere sertifikatene, ellers får du samme advarselen om at det er utrygt.

 

 

Let’s Encrypt tilbyr jo nettopp dettehttps://letsencrypt.org/how-it-works/

Endret av sk0yern
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

 

I dette tilfellet, så kunne jo uansett angriperne laget nye gyldige SSL-sertifikater for MyEtherWallet.

Hvordan mener du de kunne ha gjort det?

De må jo tross alt få en autoritet til å signere sertifikatene, ellers får du samme advarselen om at det er utrygt.

 

 

Let’s Encrypt tilbyr jo nettopp dettehttps://letsencrypt.org/how-it-works/

Du får heller ikke Let's Encrypt til å utstede sertifikater uten at du har kontroll på domenet og/eller server. Det er på en av de forutsetningene de gir deg muligheten til å lage sertifikater. Så det er en autoritet som signerer sertifikatene - selv om det skjer automatisk.

Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet

 

Let’s Encrypt tilbyr jo nettopp dettehttps://letsencrypt.org/how-it-works/

Du får heller ikke Let's Encrypt til å utstede sertifikater uten at du har kontroll på domenet og/eller server. Det er på en av de forutsetningene de gir deg muligheten til å lage sertifikater. Så det er en autoritet som signerer sertifikatene - selv om det skjer automatisk.

 

Og det er jo akkurat hva som skjedde i dette tilfellet?

Angriperne hadde kontroll på dns, og pekte på sin egen webserver.

Lenke til kommentar
Bjarne Nilsson

Bjarne Nilsson

Skrevet
Skrevet

"BGP brukes til ruting av trafikk " Vet ikke om jeg er helt enig her, bgp brukes vel til å utveksle routing infotrmasjon (fylle inn rib) mens selve BGP prosessen (deamon) ikke er involvert i selve routing prsossesn. Mulig jeg flisespikker litt her men i teorien kunne vel BGP slås av når rib er er komplett (selsagt vil dette føre til problemer ift endringer)

Lenke til kommentar
Bing123

Bing123

Skrevet
Skrevet

 

 

Let’s Encrypt tilbyr jo nettopp dettehttps://letsencrypt.org/how-it-works/

Du får heller ikke Let's Encrypt til å utstede sertifikater uten at du har kontroll på domenet og/eller server. Det er på en av de forutsetningene de gir deg muligheten til å lage sertifikater. Så det er en autoritet som signerer sertifikatene - selv om det skjer automatisk.

 

Og det er jo akkurat hva som skjedde i dette tilfellet?

Angriperne hadde kontroll på dns, og pekte på sin egen webserver.

Høres litt enkelt ut det du sier, ville vært insane om ingen har tenkt på noe så dumt og at det er bare å hijacke dns og gå til en annen authority og få et sertifikat. Uansett så stemmer det ikke med hva som skjedde på MyEtherWallet, du fikk nemlig en advarsel ref skjermbilde fra et offer:

 

https://i.imgur.com/2x9d7bR.png

Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet

Høres litt enkelt ut det du sier, ville vært insane om ingen har tenkt på noe så dumt og at det er bare å hijacke dns og gå til en annen authority og få et sertifikat. Uansett så stemmer det ikke med hva som skjedde på MyEtherWallet, du fikk nemlig en advarsel ref skjermbilde fra et offer:

https://i.imgur.com/2x9d7bR.png

Nå er det vel slik at det i utgangspunktet ikke er "bare" å hijacke dns, men det er mulig for de som virkelig vil.

Og nei, de utstedte ikke sertifikater i dette angrepet, derav min kommentar om at det kunne de ha gjort dersom de ville.

Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

 

 

Let’s Encrypt tilbyr jo nettopp dette, https://letsencrypt.org/how-it-works/

Du får heller ikke Let's Encrypt til å utstede sertifikater uten at du har kontroll på domenet og/eller server. Det er på en av de forutsetningene de gir deg muligheten til å lage sertifikater. Så det er en autoritet som signerer sertifikatene - selv om det skjer automatisk.

Og det er jo akkurat hva som skjedde i dette tilfellet?

Angriperne hadde kontroll på dns, og pekte på sin egen webserver.

Såvidt jeg forstod det gjaldt det bare Google sin DNS. Hvis LetsEncrypt brukte en annen løsning ville de ikke funnet serveren til angriperne.

 

Ellers er det en svakhet ja.

Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

 

Folk flest aner ikke hva sertifikater er. Til og med blant folk som 'jobber med data' er dette et tema som får folk til å skru på tusenmetersblikket..

 

Sertifikater er kort sagt for vanskelig til at folk flest skal skjønne seg på det, browserern din må med andre ord ta jobben som portvakt og plent nekte å vise sider med ugyldige sertifikater. (Å skru på 'ekspertmodus' for å inspisere sider med tvilsomme sertifikater bør være mulig men vanskelig).

Vanskelig og vanskelig, man trenger jo ikke forstå tekniske detaljer hvis man vet hva advarselen betyr at det er fare på ferde, spørs hvilken browser men de vanligste flagger rødt. Problemet er at noen ikke gidder å ha skikkelig sertifikater og man lærer i enkelte tilfeller at "det skal være sånn"

 

Du kan teste hvordan browseren oppfører seg med feil sertifikat her:

https://badssl.com/

 

Problemet er at forståelsen for hva sertifikater er og hvorfor det er viktig er i praksis ikke-eksisterende blant folk flest. Og det inkluderer for så vidt det med 'rødt flagg', det er altfor lett å godta bare for å 'komme videre'.. :(

 

 

Bra side forresten, må bare se på den med noe annet enn Edge. :p

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

 

Let’s Encrypt tilbyr jo nettopp dettehttps://letsencrypt.org/how-it-works/

Du får heller ikke Let's Encrypt til å utstede sertifikater uten at du har kontroll på domenet og/eller server. Det er på en av de forutsetningene de gir deg muligheten til å lage sertifikater. Så det er en autoritet som signerer sertifikatene - selv om det skjer automatisk.

 

Og det er jo akkurat hva som skjedde i dette tilfellet?

Angriperne hadde kontroll på dns, og pekte på sin egen webserver.

De kapret DNS servere (BGP routing), men det betyr ikke at de kan få til å autosignere sertifikater. Med BGP-routing har man heller ikke kontroll over Whois (orginal DNS oppsett) - og en av metodene for sertifisering er en txt i DNS-oppsettet. BGP routing kan ikke endre dette.

 

Den andre metoden - TCP challenge - kan man klare å "lage" nytt sertifikat - men det vil ikke oppføre seg helt korrekt. Det vil mangle organisasjonsnavn, og det kan også lage sertifikatkonflikter som medfører advarsler. Roota til sertifikatet kan være feil.

 

EFF (Let's Encrypt) er eller klar over de mulig problemene her. De gjorde en endring i systemet i februar/mars for å redusere risikoen. Samt en del andre mekanismer. Realiteten er altså at det ikke er sikkert at de kunne får på plass relevante sertifikater i denne sammenheng. Det vet vi faktisk ikke.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...