Minulý rok jsme psali o DNS útoku na jednu z nejpopulárnějších kryptopeněženek na Ethereum. Řada uživatelů začala hlásit chybějící částky na jejich peněženkách. Dnes se podíváme na to, jak se takovým útokům bránit a v prvé řadě, o co se vlastně jedná.
DNS útoky jsou poměrně časté. V tom lepším případě je to pouhá nepříjemnost a většinou znamená, že servery dané platformy, která je pod útokem, budou nějakou dobu nedostupné. V tom horším případě se může jednat o poněkud drahou záležitost. Druhý případ postihl tento týden právě Myetherwallet (MEW), což je jedna z nejoblíbenějších peněženek pro uchování ETH. Během útoku zmizelo na 150,000 dolarů. Je však možné se proti takovýmto útokům bránit? A je to těžké ?
Mohlo by vás zajímat: Během Myetherwallet DNS hacku bylo zcizeno 25,000 ETH
Co je to DNS a jak probíhá DNS útok?
DNS je zkratkou pro Domain Name System a jedná se o systém doménových jmen, tedy jakýsi identifikátor počítače nebo sítě připojené do Internetu. Je realizován pomocí DNS serverů a tvoří jej vzájemné převody domén a IP adres uzlů sítě. Ačkoliv je jeho design odolný, jeho předností je spíš pragmatičnost, nikoliv zabezpečení. To má za následek, že je spolu s DDoS nejčastějším typem útoků.
Zabezpečení DNS je provedeno pomocí Border Gateway protokolu (BGP), který má na starosti směrování internetového provozu po sítích, kterých je více než 700 000. Komunikace mezi jednotlivými řetězci probíhá většinou bez problémů. Špatné přesměrování je většinou způsobeno chybným nastavením v konfiguraci. To je ten lepší případ. Jindy to však, bohužel, bývá něčí zlý záměr.
Strůjcům DNS útoku na MEW se podařilo vložit kousek svého kódu do serverů služby Amazon Route 53, což je jeden z největších internetových uzlů. To jim umožnilo přesměrovat provoz na jejich vlastní servery, namísto k Myetherwallet a uživatelé tak byli přepojeni na falešné servery v Rusku, využívající falešný bezpečnostní certifikát.
DNS útoky na kryptopeněženky nejsou bohužel vůbec ojedinělé. Například v prosinci došlo k napadení platformy Etherdelta, a to podobným způsobem jako tomu bylo u Myehterwallet. Dalším příkladem budiž burza Binance, která v den útoku na MEW upozornila na sociální síti Twitter, že někteří uživatelé mohou mít problém s přístupem na jejich stránku.
Some users may be experiencing issues loading the site. This is because Google DNS or Amazon Route 53 are currently down, Please switch to cloudflare DNS 1.1.1.1 or opendns 208.67.222.222 in the meantime
— Binance (@binance) April 24, 2018
DNS útoky však není až tak těžké rozpoznat. Uživatel si například může ověřit, že přistupuje na bezpečnou stránku tím, že se podívá do okénka URL adresy, vedle které by správně měl mít ikonku zobrazující zelený zámek s nápisem “Zabezpečeno”.
Jak DNS útok rozpoznat?
Budete-li přistupovat, ať už vědomě či nevědomě, na stránku s nedůvěryhodným bezpečnostním certifikátem, budete na to upozorněni varovnou zprávou a mimo jiné také červenou ikonkou vedle URL adresy. Budete-li na takovou stránku pokračovat, děláte tak na vlastní nebezpečí. Doporučujeme tedy, obzvláště v případě finančních služeb, ať už se jedná o krypto či běžné internetové bankovnictví, na takovéto stránky nevstupovat, jen proto, že URL adresa v okénku se zdá býti správná.
Někteří však i přes takovéto varování na stránku obsahující informace o jejich finančním stavu pokračují. Jak prohlásil jeden z obětí úterního útoku, ačkoliv věděl, že by se na Myetherwallet přihlašovat neměl, díky výše zmíněným indiciím, stejně tak učinil. A stejně tak to udělala i celá řada dalších, kteří byli postihnuti DNS útokem. Může to být také díky tomu, že jsme již příliš moc zvyklí nevěnovat pozornost hlášením a varovným zprávám, které na nás dnes vyskakují při každém druhém kliknutí.
Jak probíhá DNS útok si můžeme shrnout v jednoduchém obrázku.
- Klient vyšle dotaz na DNS server “Jaká je IP adresa webu kryptomagazin.cz?”
- DNS server tuto informaci nemá, obrátí se proto na druhý server, který je nadřazený a chová se jako síťový uzel. V tomto případě Amazon.
- Amazon předá DNS serveru informaci o IP adrese konečného webu a následně ji uchová v paměti pro příště. Řekněme tedy, že IP adresa webu bude 12.345.679.xx
- DNS server ji následně předá klientovi
- Uživatel se s pomocí svých přihlašovacích údajů přihlásí na IP adrese 12.345.679.xx, kterou mu poskytl Amazon přes DNS server
Jednoduché, že? Avšak v případě, že je v bodě dva do cesty “DNS server – Uzel (Amazon)” vložena falešná odpověď, tvářící se jako pravá, předá ji DNS server klientovi a ten poté na falešné adrese zadá své přihlašovací údaje, čímž dává strůjcům prostor pro jejich nekalé činnosti.
Obrana proti DNS útokům je jednoduchá. Stačí si dávat pozor.
V případě MEW útoku byla škoda zapříčiněna především nepozorností. Falešný bezpečnostní certifikát bylo třeba ručně takzvaně podepsat samotným uživatelem. To probíhá tím, že varovnou zprávu vesměs ignorujete a na stránku i přesto pokračujete. Tím přijímáte onen falešný bezpečnostní certifikát a otevíráte vrátka zlomyslným bytostem, které se chtějí přiživit na vašem bohatství.
Základním krokem, jak se bránit DNS útokům, je tedy v prvé řadě nechodit na pochybné stránky. Před kliknutím na odkaz je třeba zkontrolovat jeho adresu, zdali je správná a nezavede vás na místa, odkud je poté těžké utéci. Druhým bodem je tedy nezanedbávání pozornosti, pokud na vás vyskočí varovná zpráva o možných bezpečnostních rizicích, která vás na konci mohou čekat. K tomu patří i již zmíněná kontrola URL adresy a ikonky informující o zabezpečení dané stránky.
Závěr: Jak tedy mohu chránit svá kryptoaktiva?
V případě kryptoměn je nejbezpečnější cestou hardwarová peněženka (pozn. redakce: popř. paperwallet). Samozřejmě, abyste do ní měli co uložit, je třeba se nejprve ke kryptoměnám pomocí internetu dostat. Je ovšem daleko bezpečnější a pro vaši duši klidnější, můžete-li vaše kryptoměny z internetu co nejdříve stáhnout a uložit je na bezpečné místo. Nemusíte se pak obávat situace, že se jednoho hezkého rána vzbudíte a zjistíte, že namísto stovek, tisíců, či miliónů, máte na vaší kryptopeněžence nulu. V případě, že je pro vás hardwarová peněženka na obtíž, vám doporučujeme, abyste se během přístupu k vašim bankovním či krypto účtům drželi alespoň zmíněných základních pravidel. Je třeba však mít na paměti, že uložení kryptoměn na HW peněžence neznamená, že budou uloženy přímo na daném zařízení. Ty budou vždy zapsány v řetězcích blockchainu. Peněženka pouze představuje jakousi bránu do blockchainové sítě.
Proč se chránit pomocí VPN a co byste měli vědět?
[Bezpečnost] K čemu je VPN a proč začíná být její používání nutností
“Je ovšem daleko bezpečnější a pro vaši duši klidnější, můžete-li vaše kryptoměny z internetu co nejdříve stáhnout a uložit je na bezpečné místo.”
To jste se asi trochu upsal, pane autore.
Kryptoměnu nelze “stáhnout z internetu”, kryptoměny existují z principu pouze v blockchainu, který bez internetu neexistuje. Konec konců, v dalších větách v závěru článku to už píšete správně, takže věřím že je to jen přehlédnutí, ale zbytečně to mate lidi, namísto aby to vzdělávalo.
Abychom to uvedli na pravou míru: jedná se o klíče a o to, že klíče (nikoli samotnou kryptoměnu) byste neměli nechat povalovat někde na internetu, ale ani v počítači či v telefonu. Tam jsou totiž z principu v nebezpečí. Proto je bezpečné mít klíče buďto ve zmíněné “hardwarové peněžence”, nebo si dokonce vyrobit peněženku papírovou – tedy v obou případech mít klíče mimo počítač.