Di recente, il numero di attacchi ARP alle catene BSC ed ETH ha superato rispettivamente 290,000 e 40,000. Oltre 186,000 indirizzi indipendenti hanno perso più di 1.64 milioni di dollari a causa di attacchi ARP. In questa breve lettura, vorremmo presentare un'analisi completa della scena dell'attacco di avvelenamento ARP e informazioni dettagliate su come prevenire e gestire questi attacchi se e quando si verificano.
Gli utenti crittografici perdono enormi fondi a causa degli aggressori ARP
Sin dalla sua invenzione, gli account e le transazioni crittografiche sono stati vulnerabili agli attacchi. In particolare quest'anno, abbiamo assistito a numeri crescenti di diversi tipi e forme di attacco. Questo alto tasso di attacco è stato una preoccupazione per le comunità crittografiche e blockchain in generale. Il principale tra questi è l'attacco di avvelenamento dell'indirizzo, chiamato anche attacco di avvelenamento ARP.
Inquietante, negli ultimi tempi c'è stato un aumento degli attacchi ARP. Per quanto riguarda le tendenze, la catena BSC è esplosa dal 22 novembre, mentre la catena ETH è esplosa da novembre catena ETH è esploso dal 27 novembre, con l'intensificarsi della portata degli attacchi su entrambe le catene. Inoltre, il numero di indirizzi indipendenti interessati dagli attacchi ha superato rispettivamente 150,000 e 36,000. Ad oggi, più di 340 indirizzi sono stati avvelenati sulla catena, per un totale di 99 indirizzi delle vittime, e sono stati rubati più di 1.64 milioni di dollari.
Spiegazione dell'attacco di avvelenamento da ARP
L'Address Resolution Protocol (ARP) supporta l'approccio a più livelli utilizzato fin dai primi giorni di networking dei computer. L'ARP Poisoning è un tipo di attacco informatico che sfrutta i punti deboli del diffuso Address Resolution Protocol (ARP) per interrompere, reindirizzare o spiare il traffico di rete.
Poiché la sicurezza non era una preoccupazione fondamentale quando ARP è stato introdotto nel 1982, i progettisti del protocollo non hanno mai incluso meccanismi di autenticazione per convalidare i messaggi ARP. Qualsiasi dispositivo sulla rete può rispondere a una richiesta ARP, indipendentemente dal fatto che il messaggio originale fosse destinato o meno. Ad esempio, se il computer A "chiede" l'indirizzo MAC del computer B, un utente malintenzionato al computer C può rispondere e il computer A accetterebbe questa risposta come autentica. Questa svista ha reso possibile una varietà di attacchi. Sfruttando strumenti prontamente disponibili, un attore di minacce può "avvelenare" la cache ARP di altri host su una rete locale, riempiendo la cache ARP con voci imprecise.
Come funziona
L'avvelenamento da protocollo ARP (Address Resolution Protocol) si verifica quando un utente malintenzionato invia messaggi ARP falsificati su una rete locale (LAN) per collegare l'indirizzo MAC di un utente malintenzionato con l'indirizzo IP di un computer o server legittimo sulla rete. Una volta che l'indirizzo MAC dell'attaccante è collegato a un indirizzo IP autentico, l'aggressore può ricevere qualsiasi messaggio diretto all'indirizzo MAC legittimo. Di conseguenza, l'attaccante può intercettare, modificare o bloccare la comunicazione con l'indirizzo MAC legittimo.
Un recente sondaggio BSC di X-esplora ha rivelato che gli hacker influenzano l'attacco ARP avviando più trasferimenti di USD 0. Dopo che la VITTIMA A ha inviato una transazione tipica di 452 BSC-USD all'UTENTE B, l'UTENTE B riceverà immediatamente 0 BSC-USD dall'ATTACCO C. Allo stesso tempo, all'interno dello stesso hash della transazione, l'UTENTE A stesso trasferirà in modo incontrollabile 0 BSC-USD all'attaccante C (realizzando un'operazione di trasferimento "avanti e indietro" 0 BSC-USD).
Perché dovresti preoccuparti
Come utente blockchain, l'attacco di avvelenamento ARP può essere fatale per il tuo account. L'impatto più diretto di un attacco ARP Poisoning è che il traffico destinato a uno o più host sulla rete locale verrà invece indirizzato verso una destinazione scelta dall'aggressore. L'esatto effetto che questo avrà dipende dalle specifiche dell'attacco. Il traffico potrebbe essere inviato alla macchina dell'aggressore o inoltrato a una posizione inesistente. Nel primo caso, potrebbe non esserci alcun effetto osservabile, mentre il secondo potrebbe inibire l'accesso alla rete.
A partire da venerdì, 94 indirizzi univoci sono stati truffati, con attaccanti portando via un totale cumulativo di 1,640,000 USD. Purtroppo, con l'aumento degli obiettivi degli aggressori, si prevede che un gran numero di utenti continuerà a essere truffato a breve.
Tipi di transazioni di avvelenamento ARP
Esistono generalmente due modi in cui può verificarsi un attacco di avvelenamento ARP. Questi includono:
Attacco Man-in-the-Middle (MiTM).
Gli attacchi MiTM sono i più comuni e anche i più pericolosi. Con il MiTM, l'attaccante invia risposte ARP falsificate per un dato indirizzo IP, in genere il gateway predefinito per una particolare sottorete. Ciò fa sì che le macchine delle vittime popolino la loro cache ARP con l'indirizzo MAC della macchina dell'attaccante invece dell'indirizzo MAC del router locale. Le macchine vittime inoltreranno erroneamente il traffico di rete all'aggressore.
Attacco Denial of Service (DoS).
Un attacco DoS nega a una o più vittime l'accesso alle risorse di rete. Nel caso di ARP, un utente malintenzionato potrebbe inviare messaggi di risposta ARP che associano erroneamente centinaia o addirittura migliaia di indirizzi IP a un singolo indirizzo MAC, sovraccaricando potenzialmente la macchina di destinazione. Questo attacco può colpire anche gli switch, con un potenziale impatto sulle prestazioni dell'intera rete.
Dirottamento di sessione
Gli attacchi di Session Hijacking sono simili agli attacchi Man-in-the-Middle, tranne per il fatto che l'aggressore non inoltrerà direttamente il traffico dalla macchina vittima alla destinazione prevista. Invece, l'attaccante catturerà un vero numero di sequenza TCP o cookie web dalla vittima e lo utilizzerà per assumere l'identità della vittima.
Prevenzione degli attacchi ARP
Esistono diversi modi per proteggere il tuo indirizzo dagli attacchi di avvelenamento ARP. Alcuni di questi includono:
Tabelle ARP statiche
È possibile prevenire gli attacchi ARP mappando staticamente tutti gli indirizzi MAC in una rete ai rispettivi indirizzi IP legittimi. Anche se questo è molto efficace, aggiunge un enorme onere amministrativo.
Cambia sicurezza
La maggior parte degli switch Ethernet gestiti dispone di funzionalità progettate per mitigare gli attacchi ARP Poisoning. Tipicamente note come Dynamic ARP Inspection (DAI), queste funzionalità valutano la validità di ciascun messaggio ARP e scartano i pacchetti che sembrano sospetti o dannosi.
Sicurezza fisica
Inoltre, controllare correttamente l'accesso fisico al tuo spazio di lavoro può aiutare a mitigare gli attacchi di avvelenamento ARP. I messaggi ARP non vengono instradati oltre i confini della rete locale, quindi gli aspiranti aggressori devono trovarsi fisicamente in prossimità della rete della vittima o avere già il controllo di una macchina sulla rete.
Isolamento della rete
Concentrare risorse importanti in un segmento di rete dedicato in cui è presente una maggiore sicurezza può anche ridurre notevolmente il potenziale impatto di un attacco ARP Poisoning.
crittografia
Sebbene la crittografia non impedirà effettivamente il verificarsi di un attacco ARP, può mitigare il potenziale danno.
Conclusione
L'avvelenamento da ARP rimane una minaccia per gli utenti di crittografia e, come tale, deve essere affrontato immediatamente. Come tutte le minacce informatiche, viene affrontata al meglio attraverso un programma completo di sicurezza delle informazioni.
Il primo passo per combattere la minaccia dell'avvelenamento da ARP è creare consapevolezza. Da qui la necessità che le app wallet aumentino gli avvisi di rischio in modo che gli utenti ordinari possano essere a conoscenza di tali attacchi durante il trasferimento dei token.
Fonte: https://crypto.news/arp-poisoning-attack-how-does-it-happen-and-how-to-prevent-it/