Attacco di avvelenamento ARP: come avviene e come prevenirlo

Di recente, il numero di attacchi ARP sulle catene BSC ed ETH ha superato rispettivamente 290.000 e 40.000. Oltre 186.000 indirizzi indipendenti hanno perso più di 1,64 milioni di dollari a causa degli aggressori ARP. In questa breve lettura, vorremmo presentare un'analisi completa della scena degli attacchi di avvelenamento ARP e informazioni dettagliate su come prevenire e gestire questi attacchi se e quando si verificano.
Gli utenti di criptovalute perdono enormi fondi a causa degli aggressori ARP
Sin dalla loro invenzione, gli account e le transazioni crittografiche sono stati vulnerabili agli attacchi. In particolare quest'anno, abbiamo assistito a un numero crescente di diversi tipi e forme di attacchi. Questo elevato tasso di attacchi è stato motivo di preoccupazione per le comunità crittografiche e blockchain in generale. Il principale tra questi è l'attacco di avvelenamento degli indirizzi, chiamato anche attacco di avvelenamento ARP.
In modo inquietante, negli ultimi tempi si è verificato un aumento degli attacchi ARP. Per quanto riguarda le tendenze, la catena BSC è in esplosione dal 22 novembre, mentre la catena ETH è in esplosione da novembre. La catena ETH è in esplosione dal 27 novembre, con l'intensificazione della portata degli attacchi su entrambe le catene. Inoltre, il numero di indirizzi indipendenti interessati dagli attacchi ha superato rispettivamente 150.000 e 36.000. Ad oggi, sono stati avvelenati più di 340.000 indirizzi sulla catena, per un totale di 99 indirizzi vittima, e sono stati rubati più di 1,64 milioni di USD.
Spiegazione dell'attacco di avvelenamento ARP
L'Address Resolution Protocol (ARP) supporta l'approccio a strati utilizzato fin dai primi giorni delle reti informatiche. L'ARP Poisoning è un tipo di attacco informatico che sfrutta le debolezze dell'Address Resolution Protocol (ARP) ampiamente utilizzato per interrompere, reindirizzare o spiare il traffico di rete.
Poiché la sicurezza non era una preoccupazione fondamentale quando ARP fu introdotto nel 1982, i progettisti del protocollo non hanno mai incluso meccanismi di autenticazione per convalidare i messaggi ARP. Qualsiasi dispositivo sulla rete può rispondere a una richiesta ARP, indipendentemente dal fatto che il messaggio originale fosse destinato a lui o meno. Ad esempio, se il Computer A "chiede" l'indirizzo MAC del Computer B, un aggressore del Computer C può rispondere e il Computer A accetterebbe questa risposta come autentica. Questa svista ha reso possibili una serie di attacchi. Sfruttando strumenti prontamente disponibili, un attore della minaccia può "avvelenare" la cache ARP di altri host su una rete locale, riempiendo la cache ARP con voci non accurate.
Come funziona
L'avvelenamento dell'Address Resolution Protocol (ARP) si verifica quando un aggressore invia messaggi ARP falsificati su una rete locale (LAN) per collegare l'indirizzo MAC di un aggressore con l'indirizzo IP di un computer o server legittimo sulla rete. Una volta che l'indirizzo MAC dell'aggressore è collegato a un indirizzo IP autentico, l'aggressore può ricevere qualsiasi messaggio diretto all'indirizzo MAC legittimo. Di conseguenza, l'aggressore può intercettare, modificare o bloccare la comunicazione con l'indirizzo MAC legittimo.
Un recente sondaggio BSC condotto da X-explore ha rivelato che gli hacker influenzano l'attacco ARP avviando più trasferimenti di 0 USD. Dopo che la VITTIMA A invia una transazione tipica di 452 BSC-USD all'UTENTE B, l'UTENTE B riceverà immediatamente 0 BSC-USD dall'ATTACCANTE C. Allo stesso tempo, all'interno dello stesso hash della transazione, l'UTENTE A stesso trasferirà in modo incontrollato 0 BSC-USD all'ATTACCANTE C (realizzando un'operazione di trasferimento "avanti e indietro" di 0 BSC-USD).
Perché dovresti preoccuparti
Come utente blockchain, l'attacco di avvelenamento ARP può essere fatale per il tuo account. L'impatto più diretto di un attacco di avvelenamento ARP è che il traffico destinato a uno o più host sulla rete locale verrà invece indirizzato verso una destinazione scelta dall'aggressore. L'effetto esatto che ciò avrà dipende dalle specifiche dell'attacco. Il traffico potrebbe essere inviato alla macchina dell'aggressore o inoltrato a una posizione inesistente. Nel primo caso, potrebbe non esserci alcun effetto osservabile, mentre nel secondo caso potrebbe inibire l'accesso alla rete.
A partire da venerdì, sono stati truffati 94 indirizzi univoci, con gli aggressori che hanno portato via un totale cumulativo di 1.640.000 USD. Purtroppo, con l'aumento degli obiettivi degli aggressori, si prevede che un gran numero di utenti continuerà a essere truffato a breve.
Tipi di transazioni di avvelenamento ARP
Ci sono generalmente due modi in cui può verificarsi un attacco di avvelenamento ARP. Questi includono:
Attacco Man-in-the-Middle (MiTM)
Gli attacchi MiTM sono i più comuni e anche i più pericolosi. Con MiTM, l'attaccante invia risposte ARP falsificate per un dato indirizzo IP, in genere il gateway predefinito per una particolare subnet. Ciò fa sì che le macchine vittime popolino la loro cache ARP con l'indirizzo MAC della macchina dell'attaccante invece che con l'indirizzo MAC del router locale. Le macchine vittime inoltreranno quindi in modo errato il traffico di rete all'attaccante.
Attacco Denial of Service (DoS)
Un attacco DoS nega a una o più vittime l'accesso alle risorse di rete. Nel caso di ARP, un aggressore potrebbe inviare messaggi di risposta ARP che mappano falsamente centinaia o addirittura migliaia di indirizzi IP a un singolo indirizzo MAC, potenzialmente sopraffacendo la macchina di destinazione. Questo attacco può anche prendere di mira gli switch, potenzialmente influenzando le prestazioni dell'intera rete.
Dirottamento di sessione
Gli attacchi di Session Hijacking sono simili a quelli di Man-in-the-Middle, tranne per il fatto che l'attaccante non inoltrerà direttamente il traffico dalla macchina della vittima alla destinazione prevista. Invece, l'attaccante catturerà un numero di sequenza TCP autentico o un cookie web dalla vittima e lo utilizzerà per assumere l'identità della vittima.
Prevenire gli attacchi ARP
Esistono diversi modi per proteggere il tuo indirizzo dagli attacchi di avvelenamento ARP. Alcuni di questi includono:
Tabelle ARP statiche
È possibile prevenire gli attacchi ARP mappando staticamente tutti gli indirizzi MAC in una rete ai loro legittimi indirizzi IP. Sebbene questo sia altamente efficace, aggiunge un enorme onere amministrativo.
Cambia sicurezza
La maggior parte degli switch Ethernet gestiti ha funzionalità progettate per mitigare gli attacchi ARP Poisoning. Generalmente note come Dynamic ARP Inspection (DAI), queste funzionalità valutano la validità di ogni messaggio ARP e scartano i pacchetti che sembrano sospetti o dannosi.
Sicurezza fisica
Inoltre, controllare correttamente l'accesso fisico al tuo spazio di lavoro può aiutare a mitigare gli attacchi ARP Poisoning. I messaggi ARP non vengono instradati oltre i confini della rete locale, quindi i potenziali aggressori devono trovarsi in prossimità fisica della rete della vittima o avere già il controllo di una macchina sulla rete.
Isolamento della rete
Anche concentrare risorse importanti in un segmento di rete dedicato in cui è presente una maggiore sicurezza può ridurre notevolmente il potenziale impatto di un attacco di ARP Poisoning.
Crittografia
Sebbene la crittografia non impedisca effettivamente il verificarsi di un attacco ARP, può mitigare il potenziale danno.
Conclusione
L'avvelenamento ARP rimane una minaccia per gli utenti di criptovalute e, in quanto tale, deve essere affrontato immediatamente. Come tutte le minacce informatiche, è meglio affrontarlo tramite un programma completo di sicurezza informatica.
Il primo passo per combattere la minaccia dell'avvelenamento ARP è creare consapevolezza. Da qui la necessità per le app wallet di intensificare gli avvisi di rischio in modo che gli utenti comuni possano essere consapevoli di tali attacchi quando trasferiscono token.