Αποτροπή επιθέσεων DNS: Το περιστατικό της Frax Finance και άλλα

2023-11-21

Κύρια σημεία αναφοράς

  • Την Τετάρτη 1 Νοεμβρίου, οι τομείς της Frax Finance υποκλάπηκαν κατά τη διάρκεια μιας επίθεσης DNS. Ευτυχώς, δεν αναφέρθηκε απώλεια κεφαλαίων των χρηστών.

  • Οι επιθέσεις στο σύστημα ονομάτων τομέα (DNS) πραγματοποιούνται όταν κακόβουλοι παράγοντες προσπαθούν να αποκτήσουν τον έλεγχο των τομέων και να ανακατευθύνουν τους χρήστες από νόμιμους ιστότοπους σε κακόβουλους ιστότοπους υπό τον έλεγχό τους.

  • Οι επιθέσεις DNS αυξάνονται ολοένα και περισσότερο στον χώρο των κρυπτονομισμάτων, με περιστατικά όπως αυτό να σημειώνονται όλο και συχνότερα τον τελευταίο χρόνο.

Νωρίτερα μέσα στην εβδομάδα, την 1η Νοεμβρίου, οι τομείς της πλατφόρμας δανεισμού κρυπτονομισμάτων Frax Finance υποκλάπηκαν, με τους επιτιθέμενους να προσπαθούν να αποκτήσουν τον έλεγχο και να ανακατευθύνουν την επισκεψιμότητα σε κακόβουλους τομείς. Ευτυχώς, η ομάδα έργου μπόρεσε να ανακτήσει αμέσως τον έλεγχο αυτών των τομέων και δεν αναφέρθηκαν περιστατικά υποκλοπής κεφαλαίων των χρηστών.

Αν προχωρήσουμε πέρα από αυτό το περιστατικό, επιθέσεις όπως αυτές – γνωστές ως "επιθέσεις DNS" – αυξάνονται ολοένα και περισσότερο στον κόσμο των κρυπτονομισμάτων. Λόγω της ψηφιακής φύσης του κλάδου και της ροής κεφαλαίων, οι χάκερ έχουν μεγάλο όφελος από την εκμετάλλευση των τρωτών σημείων ασφαλείας. Για να διασφαλιστεί η ασφάλεια των κεφαλαίων, είναι απαραίτητο να ενημερώνονται οι χρήστες και οι υπεύθυνοι ανάπτυξης έργων σχετικά με τις πιο πρόσφατες τεχνικές απάτης και τα μέτρα ελέγχου των κινδύνων.

Σε αυτό το άρθρο, παρουσιάζουμε μια γενική εικόνα της πρόσφατης επίθεσης κατά της Frax Finance και τι μπορούμε να μάθουμε από αυτό το περιστατικό, αναλύοντας περισσότερο το ιστορικό των επιθέσεων DNS και τον τρόπο πρόληψής τους.

Τι είναι ένας διακομιστής DNS;

Πρώτον, ας δούμε πώς λειτουργεί ένας διακομιστής συστήματος ονομάτων τομέα (DNS). Οι διακομιστές DNS είναι ένα από τα βασικά εργαλεία που επιτρέπουν στους χρήστες να περιηγούνται στο διαδίκτυο με ευκολία. Οι διακομιστές DNS μεταφράζουν τα ονόματα τομέων σε αριθμητικές διευθύνσεις πρωτοκόλλου Internet (IP) που αντιπροσωπεύουν τη θέση τους στο διαδίκτυο.

Κάθε φορά που κάποιος πληκτρολογεί έναν τομέα στο πρόγραμμα περιήγησής του, όπως "www.binance.com", η συσκευή του στέλνει ένα ερώτημα σε έναν διακομιστή DNS που ζητάει τη διεύθυνση IP. Κατά κανόνα, αυτό το ερώτημα θα περάσει από πολλούς διακομιστές DNS μέχρι να βρει την αντίστοιχη διεύθυνση.

Μπορείτε να φανταστείτε το διαδίκτυο ως ένα τεράστιο, περίπλοκο οδικό δίκτυο, με κάθε δρόμο να οδηγεί σε διαφορετικό ιστότοπο. Σε αυτούς τους δρόμους, οι διακομιστές DNS λειτουργούν ως τροχονόμοι, καθοδηγώντας τα αυτοκίνητα προς τη σωστή κατεύθυνση. Η πλοήγηση στο διαδίκτυο χωρίς διακομιστές DNS θα ήταν σαν να οδηγείτε σε μια ξένη χώρα χωρίς χάρτες, GPS ή πινακίδες — όλοι θα έφταναν σε λάθος προορισμό.

Επιθέσεις DNS

Οι διακομιστές DNS βασίζονται στην εμπιστοσύνη. Εμπιστευόμαστε ότι το σύστημα θα μας οδηγήσει στον σωστό ιστότοπο. Επομένως, καταχωρούμε ευαίσθητο υλικό σε αυτούς τους ιστότοπους, όπως διαπιστευτήρια σύνδεσης, προσωπικά στοιχεία ή ακόμη και στοιχεία τραπεζικού λογαριασμού. Τώρα, τι θα συμβεί αν ένας επιτιθέμενος παραβιάσει αυτούς τους διακομιστές για κακόβουλους σκοπούς;

Μια επίθεση DNS πραγματοποιείται όταν ένας κακόβουλος παράγοντας προσπαθεί να σας ανακατευθύνει από έναν νόμιμο ιστότοπο που θέλετε να επισκεφθείτε σε έναν ψεύτικο ιστότοπο που ελέγχει αυτός. Όπως και με την παραπάνω μεταφορά του οδικού δικτύου, είναι σαν κάποιος να άλλαξε τις πινακίδες και αντί να σας οδηγήσει στο σπίτι σας, σας οδήγησε στο σπίτι ενός ληστή.

Οι επιθέσεις DNS μπορούν να πραγματοποιηθούν με διάφορους τρόπους, χρησιμοποιώντας διαφορετικές μεθόδους και τεχνικές, συνήθως για να διακόψουν τις υπηρεσίες ή να υποκλέψουν ευαίσθητες πληροφορίες. Δύο από τις πιο συνηθισμένες τεχνικές στις επιθέσεις DNS περιλαμβάνουν τη "δηλητηρίαση" της κρυφής μνήμης (cache poisoning) και την υποκλοπή τομέα (domain hijacking). Στην πρώτη περίπτωση, οι επιτιθέμενοι παρέχουν ψευδείς πληροφορίες σε έναν διακομιστή DNS για να ανακατευθύνουν την επισκεψιμότητα από έναν νόμιμο ιστότοπο σε έναν κακόβουλο ιστότοπο που ελέγχουν οι ίδιοι. Στη δεύτερη περίπτωση, οι επιτιθέμενοι αποκτούν τον έλεγχο τού ίδιου του τομέα χωρίς την άδεια του νόμιμου ιδιοκτήτη.

Το περιστατικό της Frax Finance

Στην πρόσφατη περίπτωση της επίθεσης κατά της Frax Finance, οι χάκερ προσπάθησαν να αποκτήσουν τον έλεγχο των τομέων "frax.com" και “frax.finance”. Μόλις εντοπίστηκε η επίθεση, η ομάδα έργου αντέδρασε γρήγορα και ενημέρωσε την κοινότητά της στο X (πρώην Twitter), συμβουλεύοντας τους χρήστες να μην αλληλεπιδρούν με τους παραβιασμένους τομείς. 

Επιπλέον, μπόρεσαν να επικοινωνήσουν με τον πάροχο DNS τους (Name.com), ο οποίος ανέκτησε αμέσως τον έλεγχο των τομέων και τους δρομολόγησε ξανά στους σωστούς διακομιστές ονομάτων και στις σωστές παραμέτρους τους. Παρόλο που η ουσιαστική αιτία του περιστατικού βρίσκεται ακόμη υπό διερεύνηση, δεν αναφέρθηκε απώλεια κεφαλαίων των χρηστών.

Αναντιστοιχία πιστοποιητικού SSL

Το πιστοποιητικό επιπέδου ασφαλών υποδοχών (Secure Sockets Layer ή SSL) είναι κάτι σαν ψηφιακό διαβατήριο για τους ιστότοπους και είναι απαραίτητο για την ασφάλεια στον κυβερνοχώρο. Ακριβώς όπως ένα διαβατήριο επιβεβαιώνει την ταυτότητά σας όταν ταξιδεύετε, ένα πιστοποιητικό SSL επιβεβαιώνει την ταυτότητα ενός ιστότοπου στον υπολογιστή σας. Τα πιστοποιητικά SSL εγγυώνται επίσης ότι οι πληροφορίες που αποστέλλονται μεταξύ ενός υπολογιστή και ενός ιστότοπου κρυπτογραφούνται, έτσι ώστε να μην μπορεί να τις διαβάσει κανείς άλλος. Αυτό είναι εξαιρετικά σημαντικό όταν πρόκειται για ευαίσθητες πληροφορίες όπως τα διαπιστευτήρια σύνδεσης.

Όταν παραβιάζεται ένας διακομιστής DNS, θα προσπαθήσει να ανακατευθύνει τους χρήστες σε έναν διαφορετικό ιστότοπο. Στην περίπτωση αυτή, θα προκύψει αναντιστοιχία πιστοποιητικού SSL, προειδοποιώντας ουσιαστικά τον χρήστη ότι υπάρχει κάποιο πρόβλημα. Ας το εξηγήσουμε αυτό με ένα παράδειγμα.

Σχετικό παράδειγμα

Ας υποθέσουμε ότι υπάρχει ένας αρχικός τομέας με το όνομα "binancedefiapp.com" που φιλοξενείται σε έναν διακομιστή με διεύθυνση IP 192.168.0.1. Ας υποθέσουμε ότι παραβιάστηκε ο διακομιστής DNS. Ένας κακόβουλος παράγοντας αλλάζει τις καταχωρήσεις DNS έτσι ώστε η "binancedefiapp.com" να φιλοξενείται πλέον στη διεύθυνση IP 192.168.2.2, όπου ο επιτιθέμενος έχει δημιουργήσει τη δική του κακόβουλη έκδοση του ιστότοπου. Ωστόσο, εξακολουθεί να απαιτείται ένα πιστοποιητικό SSL για να φαίνεται ασφαλής ο ιστότοπός του. 

Το βασικό προειδοποιητικό σημάδι θα πρέπει να ενεργοποιηθεί αν η σύνδεση δεν είναι ασφαλής και επιστρέφει μια απλή διεύθυνση πρωτοκόλλου μεταφοράς υπερκειμένου (HTTP) αντί για κρυπτογραφημένη κίνηση πρωτοκόλλου ασφαλούς μεταφοράς υπερκειμένου (HTTPS), η οποία συνήθως εμφανίζεται με μια πράσινη κλειδαριά στη γραμμή διευθύνσεων της διεπαφής του προγράμματος περιήγησης (ή ένα παρόμοιο εικονίδιο). 

Ο επιτιθέμενος δεν μπορεί ακόμα να ορίσει το πιστοποιητικό SSL για τη διεύθυνση "binancedefiapp.com", καθώς έχει παραβιαστεί μόνο ένας διακομιστής DNS. Για να δημιουργήσει ένα έγκυρο πιστοποιητικό για έναν συγκεκριμένο τομέα, θα πρέπει να αποδείξει ότι είναι κάτοχος του συγκεκριμένου τομέα σε έναν τρίτο εκδότη, κάτι που δεν θα είναι εφικτό, καθώς ο επιτιθέμενος κατέχει μόνο έναν διακομιστή DNS. Σε αυτή την περίπτωση, ακόμη και αν υπάρχει πιστοποιητικό, δεν θα αντιστοιχεί με το όνομα κεντρικού υπολογιστή, καθώς ο επιτιθέμενος θα πρέπει να συνεχίσει με ένα πιστοποιητικό που έχει εκδοθεί για έναν άλλο τομέα. Όταν επισκέπτεται έναν τέτοιο ιστότοπο, το πρόγραμμα περιήγησης του χρήστη αναγνωρίζει αν το πιστοποιητικό έχει εκδοθεί για τον τομέα που επισκέπτεται ή όχι. Σε περίπτωση αναντιστοιχίας, εμφανίζεται το ακόλουθο μήνυμα σφάλματος:

Αν εμφανιστεί κάτι τέτοιο, οι χρήστες δεν θα πρέπει να μεταβούν σε αυτόν τον ιστότοπο.

Εσωτερικοί και εξωτερικοί διακομιστές DNS

Υπάρχουν πολλοί διακομιστές DNS στο διαδίκτυο, οπότε δεν γίνεται να "δηλητηριαστούν" όλοι. Για παράδειγμα, οι εσωτερικοί διακομιστές DNS, οι οποίοι βρίσκονται σε ένα περιορισμένο εσωτερικό περιβάλλον (το εταιρικό δίκτυο μιας εταιρείας ή έναν προσαρμοσμένο διακομιστή DNS), μπορεί να στοχοποιηθούν ευκολότερα από τους δημόσιους διακομιστές DNS, όπως τα αντίστοιχα προγράμματα επίλυσης Google.

Ενώ θα μπορούσε να υπάρχει κάποια πιθανότητα δηλητηρίασης των διακομιστών DNS της Google, η πιθανότητα να συμβεί κάτι τέτοιο είναι γενικά αρκετά μικρή. Ακόμα και αν συμβεί, είναι πιο πιθανό να προκύψει άμεση αντίδραση και προειδοποίηση. Συγκρίνετε αυτό με αυτόνομους ή προσαρμοσμένους διακομιστές DNS, οι οποίοι συνήθως παρακολουθούνται λιγότερο και είναι λιγότερο ασφαλείς. Γενικά, προτείνεται να γίνεται επίλυση των IP χρησιμοποιώντας τα δημόσια προγράμματα επίλυσης DNS της Google ή άλλους αξιόπιστους, δημόσια διαθέσιμους παρόχους.

Πώς να προστατευτείτε από τις επιθέσεις DNS

Γενικά, υπάρχουν δύο βασικοί τύποι κινδύνων ασφαλείας που σχετίζονται με το DNS: συσκευές τελικού χρήστη και διακομιστές DNS που παραβιάζονται από χάκερ. Οι συμβουλές πρόληψης για κάθε τύπο διαφέρουν.

Παραβίαση συσκευής τελικού χρήστη

Αυτός ο κίνδυνος ασφάλειας προκύπτει όταν οι συσκευές τελικών χρηστών ελέγχονται ή μολύνονται, με αποτέλεσμα να "δηλητηριάζεται" η κρυφή μνήμη DNS ή να γίνεται υποκλοπή τομέων. Τα προληπτικά μέτρα για τους τελικούς χρήστες περιλαμβάνουν τα εξής:

  • Να αποφεύγετε τα κλικ σε ύποπτους συνδέσμους και την εγκατάσταση λογισμικού ή πρόσθετων προγραμμάτων περιήγησης από μη αναγνωρισμένες πηγές.

  • Να αποφεύγετε τη χρήση δημόσιων δικτύων WiFi με επισφαλή διαπιστευτήρια ασφαλείας.

  • Να διαγράφετε τακτικά την κρυφή μνήμη DNS

  • Να πραγματοποιείτε τακτικές σαρώσεις για κακόβουλο λογισμικό στις συσκευές σας.

Δυστυχώς, τα περισσότερα περιστατικά προκύπτουν στην πλευρά του πελάτη ή του τελικού χρήστη και ουσιαστικά δεν υπάρχουν καθοριστικά μέσα αντιμετώπισής τους για τους προγραμματιστές έργων. Οι υπεύθυνοι του έργου συνήθως δεν γνωρίζουν καθόλου αν το DNS του πελάτη τους έχει μολυνθεί. Εκτός από τη δημιουργία επακόλουθων καναλιών παραπόνων πελατών, οι υπεύθυνοι του έργου μπορούν να εκπαιδεύουν προληπτικά τους πελάτες σχετικά με τέτοιου είδους απειλές. 

Παραβίαση του διακομιστή DNS

Σε αυτή την περίπτωση, οι χάκερ εκμεταλλεύονται τρωτά σημεία ασφαλείας ή χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να αποκτήσουν τον έλεγχο των διακομιστών DNS, με αποτέλεσμα συχνά να τροποποιούν τα αρχεία τομέων. Τα προληπτικά μέτρα για τους τελικούς χρήστες περιλαμβάνουν τα εξής:

  • Κατά την πρόσβαση σε ιστότοπους, βεβαιωθείτε ότι το όνομα τομέα είναι σωστό. 

  • Βεβαιωθείτε ότι ο ιστότοπος χρησιμοποιεί το πρωτόκολλο HTTPS χωρίς προειδοποιήσεις ασφαλείας του προγράμματος περιήγησης.

  • Πριν προβείτε σε ευαίσθητες λειτουργίες (π.χ. εισαγωγή κωδικών πρόσβασης ή μνημονικών φράσεων), επιβεβαιώστε ξανά την εγκυρότητα του πιστοποιητικού του ιστότοπου.  

  • Χρησιμοποιήστε επεκτάσεις ασφαλείας του προγράμματος περιήγησης, οι οποίες προσφέρονται από αξιόπιστες εταιρείες ασφαλείας. Αυτές οι επεκτάσεις εντοπίζουν διαταραχές στον ιστότοπο και προειδοποιούν όταν οι χρήστες προβαίνουν σε απεριόριστες εγκρίσεις ή μεταφορές σε πορτοφόλια υψηλού κινδύνου.

Τα μέτρα που αφορούν τον προγραμματιστή του έργου περιλαμβάνουν τα εξής:

  • Επιλέξτε αξιόπιστους παρόχους τομέων με καλή φήμη και προσλάβετε εξειδικευμένο προσωπικό για να παρακολουθεί και να αντιμετωπίζει άμεσα τις ειδοποιήσεις διαταραχών τομέων.

  • Χρησιμοποιήστε αυτοματοποιημένα συστήματα παρακολούθησης για να εντοπίζετε γρήγορα παρατυπίες ή κακόβουλες δέσμες ενεργειών και στοιχείων σε σελίδες στα αποτελέσματα επίλυσης DNS του τομέα.

Είναι απαραίτητο να κατανοήσετε και να καλύψετε τα πιθανά τρωτά σημεία διαχείρισης DNS. Λαμβάνοντας τα προτεινόμενα μέτρα, τόσο οι χρήστες όσο και οι ομάδες έργου μπορούν να ενισχύσουν την άμυνά τους έναντι των προκλήσεων ασφαλείας που σχετίζονται με το DNS.

Προστατέψτε τους διακομιστές σας

Οι επιθέσεις DNS είναι μια σκληρή πραγματικότητα σε έναν αναδυόμενο κλάδο όπως τα κρυπτονομίσματα και αποτελούν έναν έντονο προβληματισμό στον χώρο των κρυπτονομισμάτων τον τελευταίο καιρό. Η ζημία που μπορούν να προκαλέσουν ίσως είναι καταστροφική, με αποτέλεσμα τα κεφάλαια των χρηστών να είναι ευάλωτα. 

Πέρυσι, η Curve Finance υπέστη επίθεση DNS, με αποτέλεσμα να κλαπούν πάνω από 570 χιλιάδες δολάρια σε ETH από τα πορτοφόλια των χρηστών, παρόλο που η ομάδα ερευνών της Binance μπόρεσε να βοηθήσει στην ανάκτηση του μεγαλύτερου μέρους των κλεμμένων κεφαλαίων. Τελευταία, παρατηρήσαμε σημαντικές επιθέσεις DNS στα πρωτόκολλα Balancer και Galxe, οι οποίες πραγματοποιήθηκαν τον Σεπτέμβριο και τον Οκτώβριο, αντίστοιχα.

Για να μπορέσει να αναπτυχθεί βιώσιμα ο κλάδος των κρυπτονομισμάτων, πρέπει να δώσουμε προτεραιότητα στην οικοδόμηση ενός ασφαλούς οικοσυστήματος. Ελπίζουμε ότι τόσο οι προγραμματιστές έργων όσο και οι χρήστες μπορούν να μάθουν από αυτό το άρθρο και να κατανοήσουν πόσο σημαντική είναι η προστασία από επιθέσεις DNS. Μαζί μπορούμε να οικοδομήσουμε ένα ασφαλέστερο οικοσύστημα για το μέλλον των κρυπτονομισμάτων.

Για περαιτέρω ανάγνωση