Произведена атака на MyEtherWallet, через перехват DNS-сервиса Amazon при помощи BGP

[kwaskoff]

очень много логических нестыковочек. Почему не сделали let's encrypt сертификат? Почему палили эфиренки собранные с других мест? Почему все эфиринки собираются только на этом адресе. И какой адрес-то? Почему в статье его нет?
п.с. Новость от самих MEW и репостнута всеми СМИ… Такой PR?

[achekalin]

Думаю, на половину вопросов можно только у авторов атаки спросить. Может, до LE просто руки не дошли, и так было чем заняться?
MEW, конечно, попиарились на этом, но я бы от такой публичности на их месте отказался — репутационные потери, тем более в сфере криптовалют, дороже вышли наверняка. Но что их слова в техническом аспекте подтвердил хотя бы тот же CF, мне добавляет уверенности, что было если не дословно это, то что-то близкое.
Да и то, историю анонсов BGP вы и сами можете посмотреть — как часть картины.

[Ghost_nsk]

Что бы сделать LE сертификат, надо что бы LE либо проверил файл на сервере, либо DNS запись. Если их автономка далеко от скомпрометированной, ничего бы не вышло. Возможно так и было. Но они могли бы анонсировать IP центров сертификации, и тогда ssl превратился бы в тыкву. Хотя корневые сертификаты вроде зашиты в браузер.

[RouterShell]

ну может маршрут от Let`s encrypt до их железки при активации bgp hijacking`a у них не проложился, поэтому и не выпустили. да и вообще они же DNS амазона захватывали, а не сам сайт MEW, поэтому и без сертификата сработали парни

[vesper-bot]

DNSSEC где?

[achekalin]

Видно не было. «Так получилось», думаю.

[RouterShell]

не спасло бы в данном кейсе

[rumkin]

Сегодня основную проблему создают даже не протоколы, а браузеры. Они совершенно не приспособлены для запуска приложений с гарантированной надежностью: запуск подверженного неконтролируемым изменениям неподписанного кода и надежность – две противоположные вещи.

[RouterShell]

понравилось как Игнас Багдонас разложил эту тему с BGP и захватом DNS серверов Amazon, кому интересно - посмотрите