Podcast #152: Ataque a myetherwallet, como se podría haber minimizado

Últimamente se habla mucho de secuestro de direccionamientos, para evitar que nos secuestren un rango o al menos enterarnos RIPE pone a nuestra disposición la certificación de recursos (RPKI), obviamente esta no es la única finalidad, pero sí una de ellas. Luego hay otra cosa que se llama DNSSEC que en este caso habría sido crítica también.

El capítulo de hoy surge a partir de una noticia que se comentó en el grupo de Telegram en la que se cuenta que el día 24 de Febrero hubo un secuestro de 5 prefijos de Amazon y que fueron anunciados por el AS10297, que por supuesto no es Amazon (ver noticia).

Al hacer esto se comenzó a propagar por BGP los prefijos anunciándose desde el nuevo origen

205.251.192.0/24 Amazon.com, Inc.
205.251.193.0/24 Amazon.com, Inc.
205.251.195.0/24 Amazon.com, Inc.
205.251.197.0/24 Amazon.com, Inc.
205.251.199.0/24 Amazon.com, Inc.

El objetivo de ese día parece ser que fue el robo de criptomonedas, en concreto el objetivo parece ser que fue cambiar la respuesta de DNS de myetherwallet.com. Es decir, se intentó cambiar la respuesta del servidor de DNS de este servicio para devolver una IP diferente a la original. Muy rebuscando, pero parece que con alguno funcionó y el dinero de algunos usuarios fue robado aprovechando esta vulnerabilidad o feature, como queráis verlo.

A día de hoy si hacéis un whois a myetherwallet.com sigue usando los mismos DNSs, pero hay una cosa que habría ayudado muchísimo a la mitigación del ataque que habría sido el poner DNSsec al dominio ya que no habría funcionado el dominio para todos aquellos usuarios que tuvieran resolvers que soportaran DNSsec.

En el dominio el DNSsec se habilita en el registrador y con la llave que genera el servidor de DNS se eleva al raíz, con lo que si cambia el servidor de DNS se va a romper la petición, recordad que DNSsec lo que hace es validar que la petición de DNS sea correcta, nada más, ni encripta ni hace magia, pero en este caso habría servidor para detectar que la respuesta es falsa.

Si hacéis un whois del dominio myetherwallet.com veréis justo debajo de los DNSs

DNSSEC: unsigned

Esto tiene que estar habilitado por el registrador, y perdonad que meta la cuña, pero en Neodigit obviamente se puede habilitar DNSsec y creo que ahora mismo somos los que más dominios, por lo menos .es con DNSSec tenemos en el mundo, a esto le podemos dedicar un capítulo más adelante.

Si miráis eduardocollado.com por supuesto tiene DNSsec como no podía ser de otra manera 🙂

Volviendo a la certificación de recuersos de RIPE tenemos algo llamado Route Origin Authorisations (ROAs) y en este caso Amazon falla, pues el ROA no es valido:

# whois -h whois.bgpmon.net 205.251.192.0
% This is the BGPmon.net whois Service
% You can use this whois gateway to retrieve information
% about an IP adress or prefix
% We support both IPv4 and IPv6 address.
%
% For more information visit:
% https://portal.bgpmon.net/bgpmonapi.php

Prefix: 205.251.192.0/23
Prefix description: Amazon prefix
Country code: US
Origin AS: 16509
Origin AS Name: Amazon.com, Inc.
RPKI status: ROA validation failed: Invalid Prefix-Length
First seen: 2011-10-19
Last seen: 2018-04-28
Seen by #peers: 113

Sin embargo un rango de Tecnocrática donde tengo el servidor que aloja el podcast:

# whois -h whois.bgpmon.net 31.47.74.0
% This is the BGPmon.net whois Service
% You can use this whois gateway to retrieve information
% about an IP adress or prefix
% We support both IPv4 and IPv6 address.
%
% For more information visit:
% https://portal.bgpmon.net/bgpmonapi.php

Prefix: 31.47.72.0/21
Prefix description: Neodigit IPv4 space route
Country code: ES
Origin AS: 16134
Origin AS Name: Tecnocratica Centro de Datos, S.L.
RPKI status: ROA validation successful
First seen: 2012-10-18
Last seen: 2018-04-28
Seen by #peers: 114

Así que si la plataforma no se tiene montada correctamente al final pasa lo que pasa, tener el ROA bien y el DNSSEC funcionando no te van a salvar de todo, pero no tener DNSSEC y no tener el ROA bien definido a día de hoy es pegarse un tiro en el pie. Y en este caso el ROA Amazon lo tiene mal y el DNSSEC myetherwallet.com no lo ha puesto, no creo que sea problema de herramientas sino de conocmimentos.

 


Enlaces relacionados:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.