[grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

Wed Apr 25 12:25:35 CEST 2018

Καλησπέρα,

Όντως ενδιαφέρον συμβάν. Προσωπικά, δεν βλέπω να έχει κάποια ευθύνη η Google.

Σχετικά με το RPKI, αν και θα έλυνε αρκετά θέματα, θεωρώ ότι απαιτεί μεγάλο ποσοστό υλοποίησης για να λειτουργήσει. Συνεπώς, μου φαντάζει λίγο ουτοπικό.

Θα θεωρούσα πιο εύκολη τη λύση του prefix filtering προς πελάτες από τους λίγους μεγάλους παρόχους. Αντίστοιχα εύκολη θεωρώ και τη χρήση του Peer Locking.

Δυστυχώς όμως, όσο αυτό δεν προκαλεί ζημιά προς τους ίδιους τους παρόχους, φοβάμαι ότι δε θα αλλάξει κάτι. Από την άλλη, αν φτάσουμε στο σημείο να υπάρχει σχετική ρύθμιση από τρίτους και ευθύνη των παρόχων για τέτοιες πράξεις, πιθανώς να σώσουμε μερικά δέντρα και να χάσουμε το δάσος.

Φιλικά,

[id:5E6E4B51-9051-4F92-883B-EC9737BFDE79]<http://www.connecticore.com/>

Spyros Kakaroukas
IP & Data Manager / CCIE #36537

Connecticore SA
78 Kifisias Avenue, Marousi, 15125, Greece
T:  +30 211 000 7089 | M: +30 695 676 0684
F:  +30 211 000 7099 | E: s.kakaroukas at connecticore.com

P Consider our environment – Think before you print ü

From: <grnog-request at lists.grnog.gr> on behalf of Αλέξανδρος Σταμάτης <a.stamatis at hostmein.net>
Organization: HostMeIn Cloud Solutions
Reply-To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Date: Wednesday, 25 April 2018 at 12:09
To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Cc: Myron Lasithiotakis <myrlas at otenet.gr>
Subject: Re: [grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

Καλημέρα,

Νομίζω εάν δεν πάνε όλοι σε RPKI αυτά τα φαινόμενα απλά θα συνεχίσουν να υπάρχουν.

---
Με εκτίμηση,
Kind Regards,

Alexander Stamatis,
Chief Technology Officer

HostMeIn ΙΚΕ
Internet Services
32 Kifisias ave, 151 25, Marousi, Athens (Atrina Tower)
Tel: +30 212 213 5061

Like us on Facebook : https://www.facebook.com/HostMeIn
Follow us on Twitter : https://twitter.com/HostMeIn

Στις 25-04-2018 11:55, Myron Lasithiotakis έγραψε:
Καλημέρα σε όλους,

Ίσως διαβάσατε την ιστορία.
https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_hijack/

Εν συντομία :

Κάποιοι κάνουν BGP hijack και ανακοινώνουν μέσω ενος hosting provider (eNet AS10297),
δίκτυα της Amazon που χρησιμοποιεί για DNS Services.

Εκεί σηκώνουν DNS service το οποίο επιστρέφει την IP ενός phishing site σε όσους ζητούν το MyEtherWallet.com

Ορισμένοι χρήστες αγνοούν την προειδοποίηση για το self-signed SSL certificate του phishing site,
οπότε χρησιμοποιώντας πλέον τα στοιχεία τους ξεκινούν μεταφορές Ethereum στο πορτοφόλι των Cybercriminals
(https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39)

Για το θέμα του BGP Routing Policy / Filtering έχουν γραφτεί τόσα πολλά, παρ'ολα αυτά
πάντα βρίσκεται κάποιος αδύναμος κρίκος. Αυτή τη φορά φαίνεται να ηταν η Hurricane Electric
που δέχτηκε τα δίκτυα από την eNet, όπως και η eNet η οποία δέχτηκε τα δίκτυα υποθέτω
από κάποιον "πελάτη" της με τον οποίο έχει BGP session (εκτός αν απέκτησαν πρόσβαση σε routers/servers της eNet).

Aυτό που δε κατάλαβα καλά είναι γιατί κάποιοι ρίχνουν ευθύνες και στην Google
της οποίας οι DNS δέχτηκαν την αλλαγή της IP, ενώ για παράδειγμα αυτοί της Cloudflare (1.1.1.1) :)
δεν άλλαξαν τις απαντήσεις τους για το myetherwallet.com

https://twitter.com/GossiTheDog/status/988873775285460992

Φιλικά,
Λασηθιωτάκης Μύρων
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180425/4d9d4084/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 8071 bytes
Desc: image001.png
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180425/4d9d4084/attachment.png>