Amazon DNS saldırısı, kripto paraların çalınmış olmasına neden olmuş olabilir!

0

Kripto para camiasının en çok kullanılan soğuk cüzdanlarından biri olan MyEtherWallet, GBP yöntemiyle kullanıcılarının kripto paraları çalındığı ifade ediliyor!

Kripto piyasaların yapısı gereği ciddi tehlikelerin varlığı nedeniyle yatırımcılar güvenilir yollarla kripto paralarını saklamayı ister. Bu bağlamda gayet kullanışlı ve ücretsiz hizmet sunmasıyle birlikte en güvenli cüzdanlardan biri olarak ifade edilen MEW an itibariyle bir saldırı haberiyle yatırımcıları şok etti! Saldırının yapılış şekli itibariyle her ne kadar miktar bilinmese de yüksek meblağlarda kripto paranın çalınmış olabileceği düşünülüyor!

MEW saldırısı BGP yöntemi ile yapıldı!

Son birkaç saattir uluslararası sosyal medya platformlarında MEW ilişkili haberlerde ciddi artış yaşandığı fark edildi. İlişkili haberler incelendiğinde bir hack saldırısına işaret edildiği fark ediliyor. İlgili verileri incelediğimizde vardığımız sonuç ise iddia edilen hack olayının başarılı olmuş ve kripto paraların çalınmış olabileceğinin daha olası olduğunu düşünüyoruz. Peki ama bu kadar güvenilir bir platform nasıl bu şekilde alt edilebiliyor?

Bu noktada işin teknik kısmı devreye giriyor. Saldırının yöntemi itibariyle şu ana dek yaşanan diğer saldırılardan bir miktar ayrıştığı anlaşılmaktadır. Bu saldırı için tercih edilen yöntemin “BGP sızıntısı” olduğu ilk göze çarpan detay olarak karşımıza çıkmaktadır.

BGP nedir?

İnternet’i düşündüğümüzde çeşitli yönlendiricilerin varlığı ilk akla gelen detaydır. Bu haliyle ne dediğimizi anlamayan takipçilerimize daha sade bir dille ifade edecek olursak; daha önce hükümetin uyguladığı website erişim yasaklarında değiştirdiğiniz ve 1.1.1.1 yaptığınız rakam serisini ifade ediyorum. DNS çözücüsü olarak 1.1.1.1 tercih ettiğinizde 1.1.1.0 ile 1.1.1.255 aralığındaki herhangi bir PoP tarafından okunmasını mümkün kılar.

Bir de şöyle düşünün; bazı firmaların farklı erişim değerleriyle çeviricilerine ulaşmak mümkün. Eğer, ulaşmak istediğiniz platform çeviricisi sizin kullandığınız değerlerin dışındaysa; dolaylı olarak çeviriye ulaşabiliyorsunuz. En basit haliyle internetin işleyiş mantığı bu şekilde olmaktadır.

Peki ama BGP sızıntısı ne demektir?

İşi üst düzey teknik terimlerle anlatmak yerine sade bir dille anlatmayı tercih ederim. Ana ağ üzerinden yetkisi olmayan birinin araya girmesi ile verilere erişmesi şeklinde basitçe ifade edebilirim. Mesela bir servis sunucusu internet dünyasına kendi çözücü adresini (1.1.1.0/22 olsun) duyurduğu zaman tüm internete bunun kendisi tarafından yapıldığını ilan etmiş olur. Anlık olarak da 500,000’den fazla benzer duyurunun yapıldığını göz önünde tuttuğumuzda spesifik olarak teyit etmenin ne denli zor olabileceği anlaşılmaktadır. Yine aynı şekilde interneti var eden yönlendiricilerin de büyük çoğunlukla yerel bir yapıda çalışmaktadır. Böylelikle olası riskler en aza indirilmeye çalışılır. Kendini ana ağa da kabul ettirebilmek için 2 yol var;
1) Daha küçük bir ön eke sahip olmalı(10.0.0.1/32 = 1 IP vs 10.0.0.0/24 = 256 IPs )
2) Kısa yola sahip olmalı.

Genellikle vuku bulan BGP sızıntıları teknik kurulum esnasında yapılan hata kaynaklı olmaktadır. Yanlış olan öğrenilmiş bir daha küçük ön eke sahip yönlendirici sisteme dahil ediliyor. Fakat bazen de dışsal nedenlerle yani hack girişimleri sonucu yapısında değişiklikler yapılarak içeri sızılmaya çalışılır.

BGP sızıntısı ile kripto para ilişkisi nedir?

Günün en önemli konusu tam olarak da budur. Bugün uluslararası 11:05:00 ile 12:55:00 saat aralığına göre; aşağıdaki açıklama yapıldı.

BGP4MP|04/24/18 11:05:42|A|205.251.199.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.197.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.195.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.193.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.192.0/24|10297
...
BGP4MP|04/24/18 11:05:54|A|205.251.197.0/24|4826,6939,10297

Daha da özel olarak;

  • 205.251.192.0/23
  • 205.251.194.0/23
  • 205.251.196.0/23
  • 205.251.198.0/23

Bu aralıklar da kontrol edildiğinde karşımıza dünya e-ticaret devi Amazon şirketi çıkmaktadır. Yani esasında Route53Amazon DNS Services olduğu anlaşılmaktadır (kontrol: https://ip-ranges.amazonaws.com/ip-ranges.json). Fakat her ne hikmetse 2 saat boyunca ilgili ip değerlerinden sadece MyEtherWallet (MEW) tarafından gelen trafik alındığı fark edildi. Yine aynı şekilde herhangi bir DNS çözücüsünün ilgili yönlendiriciye ulaşma çabası da kontrolün başka kişilerde olduğunu gösteriyor. Bu durum daha başka çeşitli büyük teknoloji firmalarını da etkiliyor.

Mesela normal şartlarda aşağıdaki değerlerin sizi Amazon IP’leri ile buluşturması gerekiyor.

$ dig +short myetherwallet.com @205.251.195.239
54.192.146.xx

Fakat 2 saatlik hack süresince Rus sunucularına yönlendirme yapıyor.

Biraz evvel MyEtherWallet Twitter üzerinden ilgili saldırıdan etkilenmediklerini ifade eden paylaşımı yaptılar. Tarafsızlık ilkelerimiz gereği paylaşıyoruz.

MEW

Fakat bu kadar tartışmanın döndüğü ve tüm okların olası bir sızıntıyı işaret ettiği bir noktada MEW doğru mu söylüyor yoksa yalan mı emin olamadık. Bu doğrultuda kararı size bırakıyor ve olumsuz bir durum varsa ilerleyen saatlerde ortaya çıkacaktır diyoruz! Güvenlik gerekçesiyle cüzdan erişimine bir müddet ara vermenizi öneririz.

Kaynak: Cloudflare, Amazon, MyEtherWallet

Leave a Reply