Ang Amazon ay tumagal ng higit sa tatlong oras upang mabawi ang kontrol sa mga IP address na ginagamit nito upang mag-host ng mga cloud-based na serbisyo matapos itong biglang mawalan ng kontrol. Mga natuklasan ipakita na dahil sa kapintasan na ito, ang mga hacker ay maaaring magnakaw ng $235,000 sa mga cryptocurrencies mula sa mga kliyente ng isa sa mga nakompromisong kliyente.
Paano Ito Ginawa ng mga Hacker
Sa pamamagitan ng paggamit ng isang pamamaraan na tinatawag na Pag-hijack ng BGP, na sinasamantala ang mga kilalang flaws sa isang pangunahing Internet protocol, kinuha ng mga attacker ang kontrol sa humigit-kumulang 256 na IP address. Ang BGP, maikli para sa Border Gateway Protocol, ay isang karaniwang detalye na ginagamit ng mga autonomous system network—mga organisasyong nagdidirekta ng trapiko—para makipag-ugnayan sa ibang mga ASN.
Para masubaybayan ng mga negosyo kung aling mga IP address ang lehitimong sinusunod mga ASN, Ang BGP ay pangunahing binibilang pa rin sa Internet na katumbas ng word-of-mouth, kahit na ang kritikal na papel nito sa pagruruta ng napakalaking volume ng data sa buong mundo sa real-time na batayan.
Ang mga Hacker ay Naging Mas Mapanlinlang
Isang /24 na bloke ng mga IP address na kabilang sa AS16509, isa sa hindi bababa sa 3 ASN na pinapatakbo ng Birago, ay biglang inanunsyo na maa-access sa pamamagitan ng autonomous system 209243, na pagmamay-ari ng network operator na nakabase sa UK na Quickhost, noong Agosto.
Ang host ng IP address na cbridge-prod2.celer.network, isang subdomain na namamahala sa pagbibigay ng mahalagang interface ng user ng smart contract para sa palitan ng crypto ng Celer Bridge, ay bahagi ng nakompromisong block sa 44.235.216.69.
Dahil maipakita nila sa awtoridad ng Latvian certificate na GoGetSSL na kinokontrol nila ang subdomain, ginamit ng mga hacker ang pagkuha para makakuha ng TLS certificate para sa cbridge-prod2.celer.network noong Agosto 17.
Kapag nakuha na nila ang sertipiko, inilagay ng mga salarin ang kanilang matalinong kontrata sa loob ng parehong domain at binantayan ang mga bisitang sumusubok na bisitahin ang lehitimong pahina ng Celer Bridge.
Ang mapanlinlang na kontrata ay humigop ng $234,866.65 mula sa 32 na account, batay sa sumusunod na ulat mula sa threat intelligence team ng Coinbase.
Tila Dalawang beses na Kinagat ang Amazon
Ang isang pag-atake ng BGP sa isang Amazon IP address ay nagresulta sa malaking pagkalugi sa bitcoin. Isang hindi nakakatuwang magkaparehong insidente gamit ang sistema ng Route 53 ng Amazon para sa serbisyo ng mga domain name naganap noong 2018. Tinatayang $150,000 ang halaga ng cryptocurrency mula sa MyEtherWallet mga account ng customer. Kung ang hackers gumamit ng TLS certificate na pinagkakatiwalaan ng browser sa halip na isang self-signed na nag-udyok sa mga user na mag-click sa isang notice, malamang na mas malaki ang halagang ninakaw.
Kasunod ng pag-atake noong 2018, ang Amazon nagdagdag ng mahigit 5,000 IP prefix sa Route Origin Authorizations (ROAs), na bukas na magagamit na mga talaan na tumutukoy kung aling mga ASN ang may karapatang mag-broadcast ng mga IP address.
Ang pagbabago ay nagbigay ng ilang seguridad mula sa isang RPKI (Resource Public Key Infrastructure), na gumagamit ng mga electronic na sertipiko upang i-link ang ASN sa kanilang mga tamang IP address.
Ipinapakita ng pananaliksik na ito na noong nakaraang buwan ay ipinakilala ng mga hacker ang AS16509 at ang mas tumpak na /24 na ruta sa isang AS-SET na na-index sa ALTDB, isang libreng registry para sa mga autonomous na system upang i-publish ang kanilang mga prinsipyo sa pagruruta ng BGP, upang makalusot sa mga depensa.
Sa depensa ng Amazon, Malayo ito sa unang cloud provider na nawalan ng kontrol sa mga IP number nito dahil sa pag-atake ng BGP. Sa loob ng mahigit dalawang dekada, naging madaling kapitan ang BGP sa mga walang ingat na error sa pagsasaayos at tahasang panloloko. Sa huli, ang isyu sa seguridad ay isang isyu sa buong sektor na hindi malulutas ng Amazon ng eksklusibo.
Pinagmulan: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/