Tempo di lettura: 3 minuti

Ogni giorno su Internet leggiamo di attacchi hacker avvenuti con successo nel mondo delle crittovalute: phishing attraverso email, keylogger e furti di account a causa di utilizzo delle stesse password per diversi servizi Web.

In questo articolo andremo a fare un’analisi teorica e successivamente pratica di un altro tipo di attacco, che ha recentemente colpito MyEtherWallet e successivamente Trezor.

Quando parliamo di Phishing, Trojan e vettori d’attacco simili, parliamo di tecniche abbastanza facili da realizzare e già collaudate negli anni.

L’attacco che ha colpito questi due ultimi servizi si caratterizza per una difficoltà nettamente maggiore nell’esecuzione, difficile da capire senza avere prima in mente il chiaro funzionamento della rete Internet, dei suoi protocolli e Layers.

sicurezza wallet crittovalute
Un confronto tra il modello ISO/OSI e TCP/IP

Modello ISO/OSI e TCP/IP

Quando con il click del mouse, o di uno schermo touch inviamo una foto, una mail o richiediamo l’apertura di una pagina Web, questa richiesta si trasforma in un percorso attraverso diversi livelli logici (e fisici).

Se interessato all’argomento puoi trovare tantissimo materiale online riguardo il Modello ISO/OSI e TCP/IP, attualmente utilizzato mentre leggi questo articolo. Quello che ci serve per spiegare questi attacchi è quello che succede nel livello Application, il 7° nello stack ISO/OSI, in cui possiamo trovare il DNS (insieme a tanti altri servizi).

Domain Name Systems, un sistema gerarchico

Ognuno di noi almeno una volta ha sentito la sigla DNS, ovvero Domain Name Systems.

myetherwallet dns attacco
Struttura DNS, una gerarchia!

DNS è un’applicazione del Livello 7 ISO/OSI che consiste in un database distribuito (ma non decentralizzato 😛 ) che permette di risolvere i nomi dei domini. In parole semplici?

Si occupa di trasformare google.com in 216.58.205.142, cioè l’indirizzo IP (acronimo di Internet Protocol) del server su cui risiede la risorsa che stiamo cercando.

Border Gateway Protocol

Immagina ora Internet come una rete, divisa in tante aree, simili a delle regioni di una nazione, chiamate AS (Autonomous Systems). BGP, acronimo di Border Gateway Protocol, è un protocollo che si occupa della comunicazione tra i router di diversi AS, proprio come vedi nella seguente foto:

bgp hijacking cos'è
BGP: Border Gateway Protocol

Analizziamo l’attacco

Sparsi per il mondo ci sono molti server DNS, macchine cioè che si occupano di fare questa traduzione dei nomi dei domini. Ecco una mappa dei 13 root DNS Server.

myetherwallet attacco dns
Ecco i 13 Root Servers

Torniamo un po’ indietro, fino alle 11.05 del 24 Aprile. Fino a quel minuto il server che si occupava della traduzione degli IP tra 205.251.192.0 e 205.251.199.0 era un AWS (Amazon Web Services), come anche oggi!

Alle 11.05 comincia la trasmissione di questi messaggi:

BGP4MP|04/24/18 11:05:42|A|205.251.199.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.197.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.195.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.193.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.192.0/24|10297
...
BGP4MP|04/24/18 11:05:54|A|205.251.197.0/24|4826,6939,10297

Attraverso questi messaggi il protocollo BGP è stato aggiornato, portando la traduzione degli IP da Amazon verso due nuovi ASeNet Inc (AS10297) e Hurricane Electric (AS6939AS4826).

Dove venivano portate le richieste DNS di MyEtherWallet?

Per circa due ore tutte le richieste DNS verso MyEtherWallet sono state portate quindi verso il datacenter Equinix IBX, che traduceva l’indirizzo myetherwallet.com verso un sito falso hostato in Russia.

Certificati TLS, come funzionano?

Ora che abbiamo capito la tecnica utilizzata in questo genere di attacchi andiamo a parlare di un altro importante componente del modello ISO/OSI: TLS.

Quando parliamo di TLS (Transport Layer Security Protocol) parliamo di crittografia e certificati. Crittografia per offuscare i dati da occhi indiscreti che vengono scambiati tra il client e il server, certificati per verificare l’autenticità del server da cui riceviamo  i dati.

myetherwallet sicurezza
Crittografia Asimmetrica, utilizzata per i certificati TLS

In parole più semplici? Ci permette di scoprire eventuali tentativi di furti d’identità di un servizio Web o una azienda. Chi verifica l’autenticità di un server? Enti centralizzati, enti certificatori che manualmente verificano la proprietà del server del richiedente.

bitcoin sicurezza crittovalute
DigiCert è l’azienda che certifica il Server di MyEtherWallet.com

Nel caso di MyEtherWallet, durante le ore di BGP hijacking, compariva un erroe di certificato SSL: perchè?

Quando richiediamo una pagina Web ad un server questo ci risponderà con un certificato, un documento che oltre a comunicare l’algoritmo crittografico usato per crittografare le comunicazioni ci fornirà la certezza dell’identità del Server.

Esistono due tipi di certificato:

  • trusted: un ente certificatore verifica manualmente la proprietà del server.
  • self-signed: nessun ente certificatore. L’utente accetterà il certificato manualmente, potete trovarne un esempio qui.

Quando gli utenti di MyEtherWallet venivano portati sul sito fake si trovavano una schermata per nulla positiva, che chiedeva proprio di certificare il certificato self-signed.

sicurezza crittovalute
Certificato SSL/TLS, come funzionano?

Conclusioni

L’analisi dell’attacco a MyEtherDelta è terminato. La tecnica utilizzata dagli hacker è davvero complessa, in quanto richiede una conoscenza approfondita dei protocolli e infrastrutture su cui Internet vive.

Il furto che ha subito questa volta MyEtherWallet è stato di “soli” 150.000$, tuttavia in futuro si verificheranno sicuramente altri casi di BGP Hijacking, come quello di Trezor pochi giorni fa.

Se questo articolo ti è piaciuto non dimenticare di entrare nel nostro gruppo Telegram, ci trovi anche su Facebook!

Autore

Sono uno studente Web&Cloud. Amo programmare, negli anni ho sviluppato competenze full-stack, in particolare nel mondo Javascript. Linux e la crittografia mi hanno sempre appassionato, fino a portarmi nel mondo delle cryptovalute.

Scrivi un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.