Cymerodd Amazon fwy na thair awr i adennill rheolaeth ar y cyfeiriadau IP y mae'n eu defnyddio i gynnal gwasanaethau yn y cwmwl ar ôl iddo golli rheolaeth yn sydyn. Canfyddiadau dangos, oherwydd y diffyg hwn, y gallai hacwyr ddwyn $235,000 mewn arian cyfred digidol gan gleientiaid un o'r cleientiaid dan fygythiad.
Sut Gwnaeth yr Hacwyr hynny
Trwy ddefnyddio techneg o'r enw herwgipio BGP, sy'n manteisio ar ddiffygion adnabyddus mewn protocol Rhyngrwyd sylfaenol, cymerodd yr ymosodwyr reolaeth o tua 256 o gyfeiriadau IP. Mae BGP, sy'n fyr ar gyfer Border Gateway Protocol, yn fanyleb safonol y mae rhwydweithiau systemau ymreolaethol - sefydliadau sy'n cyfeirio traffig - yn ei defnyddio i gyfathrebu ag ASNs eraill.
Er mwyn i fentrau gadw golwg ar ba gyfeiriadau IP sy'n cadw'n gyfreithlon at ba rai ASNs, Mae BGP yn dal i gyfrif yn bennaf ar yr hyn sy'n cyfateb i'r Rhyngrwyd ar lafar gwlad, er mai ei rôl hollbwysig wrth lwybro symiau enfawr o ddata ledled y byd ar sail amser real.
Daeth yr Hacwyr yn Fwy Crefftus
Bloc /24 o gyfeiriadau IP sy'n perthyn i AS16509, un o o leiaf 3 ASN sy'n cael eu rhedeg gan Amazon, cyhoeddwyd yn sydyn ei fod yn hygyrch trwy system ymreolaethol 209243, sy'n eiddo i'r gweithredwr rhwydwaith o'r DU, Quickhost, ym mis Awst.
Roedd y gwesteiwr cyfeiriad IP cbridge-prod2.celer.network, is-barth sy'n gyfrifol am ddarparu rhyngwyneb defnyddiwr contract smart hanfodol ar gyfer cyfnewidfa crypto Celer Bridge, yn rhan o'r bloc dan fygythiad yn 44.235.216.69.
Gan y gallent ddangos i awdurdod tystysgrif Latfia GoGetSSL eu bod yn rheoli'r is-barth, defnyddiodd yr hacwyr y trosfeddiannu i gael tystysgrif TLS ar gyfer cbridge-prod2.celer.network ar Awst 17.
Ar ôl iddynt gael y dystysgrif, defnyddiodd y cyflawnwyr eu contract smart o fewn yr un parth a gwylio am ymwelwyr yn ceisio ymweld â thudalen gyfreithlon Celer Bridge.
Fe wnaeth y contract twyllodrus seiffno $234,866.65 o 32 cyfrif, yn seiliedig ar yr adroddiad canlynol gan dîm cudd-wybodaeth bygythiadau Coinbase.
Mae'n ymddangos bod Amazon wedi cael ei frathu ddwywaith
Mae ymosodiad BGP ar gyfeiriad IP Amazon wedi arwain at golledion bitcoin sylweddol. Digwyddiad ansefydlog yr un fath yn defnyddio system Route 53 Amazon ar gyfer gwasanaeth enwau parth digwydd yn 2018. Gwerth tua $150,000 o arian cyfred digidol o MyEtherWallet cyfrifon cwsmeriaid. Os bydd y hacwyr wedi defnyddio tystysgrif TLS y gellir ymddiried ynddi gan borwr yn hytrach nag un hunan-lofnodedig a oedd yn gorfodi defnyddwyr i glicio trwy hysbysiad, mae'n debyg y byddai'r swm a ddygwyd wedi bod yn fwy.
Yn dilyn ymosodiad 2018, Amazon ychwanegu dros 5,000 o rhagddodiaid IP i'r Awdurdodiadau Tarddiad Llwybr (ROAs), sef cofnodion sydd ar gael yn agored sy'n nodi pa ASNs sydd â'r hawl i ddarlledu cyfeiriadau IP.
Darparodd y newid rywfaint o sicrwydd o an RPKI (Isadeiledd Allwedd Cyhoeddus Adnoddau), sy'n defnyddio tystysgrifau electronig i gysylltu ASN â'u cyfeiriadau IP cywir.
Mae'r ymchwil hwn yn dangos bod yr hacwyr y mis diwethaf wedi cyflwyno AS16509 a'r llwybr mwy manwl gywir /24 i AS-SET wedi'i fynegeio yn ALTDB, cofrestrfa am ddim ar gyfer systemau ymreolaethol i gyhoeddi eu hegwyddorion llwybro BGP, i fynd o gwmpas yr amddiffynfeydd.
Yn amddiffyniad Amazon, Mae'n bell o'r darparwr cwmwl cyntaf sydd wedi colli rheolaeth ar ei niferoedd IP oherwydd ymosodiad BGP. Ers dros ddau ddegawd, mae BGP wedi bod yn agored i wallau cyfluniad diofal a thwyll amlwg. Yn y pen draw, mae'r mater diogelwch yn fater sector cyfan na ellir ei ddatrys gan Amazon yn unig.
Ffynhonnell: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/