[grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

Fri Apr 27 09:53:46 CEST 2018

Καλημέρα σας,

είμαι μέλος της ομάδας ερευνητών από το group INSPIRE 
(www.inspire.edu.gr), Ίδρυμα Έρευνας και Τεχνολογίας (ΙΤΕ) στο Ηράκλειο 
Κρήτης.
Ενδιαφερόμαστε ιδιαίτερα για ασφαλή δρομολόγηση στο Διαδίκτυο, με έμφαση 
σε καταπολέμηση BGP prefix hijacking, και στην υλοποίηση πρακτικών 
εργαλείων που επωφελούν network operators.

Με αφορμή το συμβάν που αναφέρεται στο email, θα θέλαμε να συστήσουμε το 
σύστημα ARTEMIS στο οποίο δουλεύουμε εντατικά,
που στοχεύει σε joint monitoring, detection and mitigation of hijacks. 
Έχουμε λάβει υπόψιν ένα survey που πραγματοποιήσαμε για την αντιμετώπιση 
hijacks από network operators (https://arxiv.org/pdf/1801.02918.pdf) και 
έχουμε υλοποιήσει πειράματα πάνω από το πραγματικό Internet (PEERING 
testbed) για να δείξουμε ότι ένα τέτοιο σύστημα μπορεί να ανιχνεύσει το 
πρόβλημα σε seconds και να το επιλύσει μέσα σε 1 λεπτό 
(https://arxiv.org/pdf/1801.01085.pdf). Σκοπεύουμε να παρουσιάσουμε το 
ARTEMIS στο επερχόμενο RIPE meeting (RIPE76), καθώς έχουμε λάβει 
χρηματοδότηση από RIPE NCC για το project. Για περισσότερες πληροφορίες: 
http://www.inspire.edu.gr/artemis/ . To software είναι under development 
και γενικά θα εκτιμούσαμε feedback όσον αφορά την ιδέα και τυχόν 
requirements από operators.

Για διευκόλυνση, η παρακάτω παρουσίαση παρέχει ένα overview του ARTEMIS 
https://docs.google.com/presentation/d/139RrlFTVvYuhMlrd_T9cPuoT4mOy5h4fV-lN8ci_3BQ/edit?usp=sharing

Με εκτίμηση,
Βασίλης Κοτρώνης

υ.γ. Αν το θέμα είναι ενδιαφέρον για το GRNOG, θα θέλαμε να 
παρουσιάσουμε το ARTEMIS στο επερχόμενο GRNOG meeting.

On 25/04/2018 11:55 πμ, Myron Lasithiotakis wrote:
> Καλημέρα σε όλους,
>
> Ίσως διαβάσατε την ιστορία.
> https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_hijack/
>
> Εν συντομία :
>
> Κάποιοι κάνουν BGP hijack και ανακοινώνουν μέσω ενος hosting provider 
> (eNet AS10297),
> δίκτυα της Amazon που χρησιμοποιεί για DNS Services.
>
> Εκεί σηκώνουν DNS service το οποίο επιστρέφει την IP ενός phishing 
> site σε όσους ζητούν το MyEtherWallet.com
>
> Ορισμένοι χρήστες αγνοούν την προειδοποίηση για το self-signed SSL 
> certificate του phishing site,
> οπότε χρησιμοποιώντας πλέον τα στοιχεία τους ξεκινούν μεταφορές 
> Ethereum στο πορτοφόλι των Cybercriminals
> (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39)
>
>
> Για το θέμα του BGP Routing Policy / Filtering έχουν γραφτεί τόσα 
> πολλά, παρ'ολα αυτά
> πάντα βρίσκεται κάποιος αδύναμος κρίκος. Αυτή τη φορά φαίνεται να ηταν 
> η Hurricane Electric
> που δέχτηκε τα δίκτυα από την eNet, όπως και η eNet η οποία δέχτηκε τα 
> δίκτυα υποθέτω
> από κάποιον "πελάτη" της με τον οποίο έχει BGP session (εκτός αν 
> απέκτησαν πρόσβαση σε routers/servers της eNet).
>
> Aυτό που δε κατάλαβα καλά είναι γιατί κάποιοι ρίχνουν ευθύνες και στην 
> Google
> της οποίας οι DNS δέχτηκαν την αλλαγή της IP, ενώ για παράδειγμα αυτοί 
> της Cloudflare (1.1.1.1) :)
> δεν άλλαξαν τις απαντήσεις τους για το myetherwallet.com
>
> https://twitter.com/GossiTheDog/status/988873775285460992
>
> Φιλικά,
> Λασηθιωτάκης Μύρων
>

-- 
=======================================
Vasileios Kotronis
Postdoctoral Researcher, member of the INSPIRE Group
INSPIRE = INternet Security, Privacy, and Intelligence REsearch
Telecommunications and Networks Lab (TNL)
Foundation for Research and Technology - Hellas (FORTH)
Leoforos Plastira 100, Heraklion 70013, Greece
Tel: +302810391241 Office: G-060
e-mail : vkotronis at ics.forth.gr
url: http://inspire.edu.gr
=======================================