ამაზონს სამ საათზე მეტი დასჭირდა IP მისამართების კონტროლის დასაბრუნებლად, რომელსაც იყენებს ღრუბელზე დაფუძნებული სერვისების განსათავსებლად, მას შემდეგ რაც მოულოდნელად დაკარგა კონტროლი. დასკვნები აჩვენეთ, რომ ამ ხარვეზის გამო, ჰაკერებს შეეძლოთ 235,000 დოლარის კრიპტოვალუტის მოპარვა ერთ-ერთი კომპრომეტირებული კლიენტის კლიენტებისგან.
როგორ გააკეთეს ეს ჰაკერებმა
ტექნიკის გამოყენებით ე.წ BGP-ის გატაცება, რომელიც სარგებლობს ფუნდამენტური ინტერნეტ პროტოკოლის ცნობილი ხარვეზებით, თავდამსხმელებმა აიღეს კონტროლი დაახლოებით 256 IP მისამართზე. BGP, შემოკლებით Border Gateway Protocol, არის სტანდარტული სპეციფიკაცია, რომელსაც ავტონომიური სისტემის ქსელები - ორგანიზაციები, რომლებიც მართავენ ტრაფიკს - იყენებენ სხვა ASN-ებთან კომუნიკაციისთვის.
საწარმოებმა თვალყური ადევნონ, თუ რომელ IP მისამართებს ლეგიტიმურად იცავენ ASNs, BGP ჯერ კიდევ უმთავრესად ითვლის ინტერნეტის ეკვივალენტს სიტყვიერად, თუმცა მისი გადამწყვეტი როლი მსოფლიოს მასშტაბით მონაცემთა დიდი მოცულობის მარშრუტიზაციაში რეალურ დროში.
ჰაკერები უფრო ოსტატურად გახდნენ
IP მისამართების /24 ბლოკი, რომელიც ეკუთვნის AS16509-ს, მინიმუმ 3 ASN-დან ერთ-ერთს, რომელსაც მართავს Amazon, მოულოდნელად გამოცხადდა, რომ ხელმისაწვდომი იყო ავტონომიური სისტემის მეშვეობით 209243, რომელიც ეკუთვნის გაერთიანებულ სამეფოში დაფუძნებულ ქსელურ ოპერატორ Quickhost-ს, აგვისტოში.
IP მისამართის მასპინძელი cbridge-prod2.celer.network, ქვედომენი, რომელიც პასუხისმგებელია Celer Bridge კრიპტო ბირჟისთვის გადამწყვეტი ჭკვიანი კონტრაქტის მომხმარებლის ინტერფეისის უზრუნველყოფაზე, იყო კომპრომეტირებული ბლოკის ნაწილი 44.235.216.69.
მას შემდეგ, რაც მათ შეეძლოთ ეჩვენებინათ ლატვიის სერტიფიკატის ორგანოს GoGetSSL, რომ ისინი აკონტროლებდნენ ქვედომენს, ჰაკერებმა გამოიყენეს აღება TLS სერთიფიკატის მისაღებად cbridge-prod2.celer.network-ისთვის 17 აგვისტოს.
მას შემდეგ, რაც მათ მიიღეს სერთიფიკატი, დამნაშავეებმა განათავსეს თავიანთი ჭკვიანი კონტრაქტი იმავე დომენში და აკვირდებოდნენ ვიზიტორებს, რომლებიც ცდილობდნენ ეწვიონ ლეგიტიმურ Celer Bridge-ს.
თაღლითურმა კონტრაქტმა 234,866.65 ანგარიშიდან ამოიღო $32, Coinbase-ის საფრთხის სადაზვერვო ჯგუფის შემდეგი ანგარიშის საფუძველზე.
როგორც ჩანს, Amazon-ს ორჯერ უკბინეს
BGP თავდასხმამ ამაზონის IP მისამართზე გამოიწვია ბიტკოინის მნიშვნელოვანი დანაკარგები. შემაშფოთებელი იდენტური ინციდენტი Amazon-ის Route 53 სისტემის გამოყენებით დომენური სახელების სერვისისთვის მოხდა 2018 წელს. დაახლოებით $150,000 ღირებულების კრიპტოვალუტა MyEtherWallet მომხმარებელთა ანგარიშები. თუ Hackers გამოიყენა ბრაუზერის მიერ სანდო TLS სერთიფიკატი, ნაცვლად ხელმოწერილი სერთიფიკატისა, რომელიც აიძულებდა მომხმარებლებს დააწკაპუნონ შეტყობინებაზე, მოპარული თანხა, სავარაუდოდ, უფრო დიდი იყო.
2018 წლის თავდასხმის შემდეგ Amazon დაამატა 5,000-ზე მეტი IP პრეფიქსი მარშრუტის წარმოშობის ავტორიზაციაზე (ROAs), რომელიც არის ღიად ხელმისაწვდომი ჩანაწერები, რომლებიც აკონკრეტებენ რომელ ASN-ებს აქვთ IP მისამართების მაუწყებლობის უფლება.
ცვლილება უზრუნველყოფდა გარკვეულ უსაფრთხოებას ა RPKI (რესურსების საჯარო გასაღების ინფრასტრუქტურა), რომელიც იყენებს ელექტრონულ სერთიფიკატებს ASN-ის სწორ IP მისამართებთან დასაკავშირებლად.
ეს კვლევა აჩვენებს, რომ გასულ თვეში ჰაკერებმა შემოიღეს AS16509 და უფრო ზუსტი /24 მარშრუტი AS-SET-ისკენ, რომელიც ინდექსირებულია ALTDB-ში, უფასო რეესტრი ავტონომიური სისტემებისთვის, რათა გამოაქვეყნონ თავიანთი BGP მარშრუტიზაციის პრინციპები, თავდაცვითი ტერიტორიების თავიდან ასაცილებლად.
Amazon-ის დასაცავად, ის შორს არის პირველი ღრუბლოვანი პროვაიდერისგან, რომელმაც დაკარგა კონტროლი მის IP ნომრებზე BGP შეტევის გამო. ორ ათწლეულზე მეტი ხნის განმავლობაში, BGP მგრძნობიარე იყო კონფიგურაციის უყურადღებო შეცდომებისა და აშკარა თაღლითობის მიმართ. საბოლოო ჯამში, უსაფრთხოების საკითხი არის მთელი სექტორის საკითხი, რომელიც არ შეიძლება გადაწყდეს მხოლოდ ამაზონის მიერ.
წყარო: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/