Комментарии 7
Разве DNS-over-TLS поможет, если взломали DNS-провайдера и подменили вашу запись? 2FA и сертификаты здесь тоже не спасут.
Всё равно не совсем понятно, как происходил взлом, или в итоге виноваты владельцы сайтов. Чтобы подмена DNS не имела смысла, достаточно включить https (+ перенаправление на него с http), включить HSTS и добавить домен в HSTS preload list популярных браузеров, чтобы новых клиентов сразу перебрасывало на https. В этом случае взлом сводится к похищению закрытого ключа с хостинга, что значительно сложнее подмены DNS.
Какая-то дичь написана, нельзя получить сертификат Let’s Encrypt на неподконтрольное имя домена, для этого нужен взлом хостинга оригинального домена. И потом, даже если DNS провайдера подменён, браузер сразу же предупредит о фишинге. В этом и есть смысл https, а здесь по сути рассказывается о mitm без https.
Опять же это можно сделать только без https. Даже если владельцы сайта забыли настроить HSTS, на http попадут только новые пользователи, а у них красть нечего.
Уже тогда браузер предупреждал бы о фишинге, и остальные программы отказывались бы работать с сайтом без корректного сертификата.
Злоумышленники взламывали системы DNS-провайдеров (пока достоверно неизвестно каким образом), а затем изменяли запись DNS A, связывая настоящий домен с принадлежащим хакерам IP.
В результате жертвы попадали на аналогичный оригинальному по внешнему виду сайт. Чтобы добиться максимального сходства, для поддельного сайта даже изготавливали криптографические сертификаты Let’s Encrypt. При этом запросы с поддельного ресурса перенаправляли на оригинальный. Фальшивая страница возвращала настоящие ответы, и подмену можно было заметить только по более долгой загрузке страниц.
Какая-то дичь написана, нельзя получить сертификат Let’s Encrypt на неподконтрольное имя домена, для этого нужен взлом хостинга оригинального домена. И потом, даже если DNS провайдера подменён, браузер сразу же предупредит о фишинге. В этом и есть смысл https, а здесь по сути рассказывается о mitm без https.
Вторая схема злоумышленников связана с изменением в регистре DNS-адресов NS-записи домена. Она отвечает не за одну страницу конкретного домена (например: mail.victim.com), а за все ссылки вида x.victim.com. В остальном метод похож на первый: взломщики создавали копию оригинального сайта и перенаправляли на него пользователей, после чего крали данные.
Опять же это можно сделать только без https. Даже если владельцы сайта забыли настроить HSTS, на http попадут только новые пользователи, а у них красть нечего.
Посетителей сайта не сразу отправляли на поддельную страницу. Сперва они переходили на дополнительный сервис — DNS Redirector.
Уже тогда браузер предупреждал бы о фишинге, и остальные программы отказывались бы работать с сайтом без корректного сертификата.
В статье FireEye авторы пишут, что сертификаты Lets Encrypt браузер считал валидными и не выдавал никаких ошибок.
«Let’s Encrypt certificate allows browsers to establish a connection without any certificate errors as Let's Encrypt Authority X3 is trusted.»
Что касается HTTPS, то могу только предположить: раз волна атак идет довольно давно, и не все еще используют HTTPS, то схема работала
«Let’s Encrypt certificate allows browsers to establish a connection without any certificate errors as Let's Encrypt Authority X3 is trusted.»
Что касается HTTPS, то могу только предположить: раз волна атак идет довольно давно, и не все еще используют HTTPS, то схема работала
Нужно чтобы был не любой сертификат Let’s Encrypt, а по имени домена, и чтобы его получить требуется контроль над хостингом. При таком уровне доступа нет смысла менять DNS.
Если учесть что
То выпустить сертификат Let's Encrypt не должно составить большого труда — Lets encrypt (Provisioning a DNS record under example.com)
Злоумышленники взламывали системы DNS-провайдеров
То выпустить сертификат Let's Encrypt не должно составить большого труда — Lets encrypt (Provisioning a DNS record under example.com)
Чтоб получить сертификат LE на домен, вам надо сначала сам LE убедить в том что домен смотрит на подконтрольный вам IP так?
А как это можно сделать без получения доступа к админке/базе регистратора домена я не особо представляю.
Выводом можно было написать — для регистрации доменов используемых в корпоративных целях или связанных с ценной информацией используйте надёжных регистраторов, ну и плюсом обычные советы по паролям.
А так, если у вас уже спёрли домен, и проксируют с него все запросы на настоящий туды-сюды, многофакторная авторизация не особо спасёт, наверное.
А как это можно сделать без получения доступа к админке/базе регистратора домена я не особо представляю.
Выводом можно было написать — для регистрации доменов используемых в корпоративных целях или связанных с ценной информацией используйте надёжных регистраторов, ну и плюсом обычные советы по паролям.
А так, если у вас уже спёрли домен, и проксируют с него все запросы на настоящий туды-сюды, многофакторная авторизация не особо спасёт, наверное.
Как я понял, поддельный сайт работал по HTTP и пользователь не обращал на это внимание или по HTTPS, но с опечаткой в названии и валидным сертификатом Let's encrypt.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ситуация: новая волна атак с перехватом DNS-запросов — разбираем базовые методы защиты