MITM-атака на JABBER.RU и XMPP.RU

А ты не знаешь, против кого это было направлено в этот раз. Может, по ту сторону границы на зонен топтирен уехали какие-нибудь экспаты.

А ты не знаешь, против кого это было направлено в этот раз. Может, по ту сторону границы на зонен топтирен уехали какие-нибудь экспаты.

А может Гитлер на тиранозавре прилетел. Факты, о которых нам известно, говорят о MITM атаке, не более того.

Ну у тебя человек поехал на нарах чалиться тоже виртуально, но для тебя же это был весомый аргумент.

Уровень проверки обычного ssl сертификата не сильно отличается от letsencrypt. Если есть доступ к трафику подделать сертификат проблем не составит, разница только в 100 баксах.

А вобще все же знают, что жаббер - это инструмент наркоторговцев и всяких бандитов - лет 10 назад ещё писали :)

Ну у тебя человек поехал на нарах чалиться тоже виртуально, но для тебя же это был весомый аргумент.

У нас есть обширная статистика, говорящая о том, что если тобой заинтересовалась полиция до уровня прослушки, то всем участникам процесса уже гораздо выгоднее чтобы ты получил как минимум условный срок.

если кто вдруг не знает

https://cyberscoop.com/jabber-xmpp-cybercrime-russia-encrypted-chat/

Much of the Russian cybercrime underworld is an enigma, but one technology serves as a crucial common link across all of it: Jabber.

… если уж выбирать между строчкой в логах и бутылкой шампанского

Был бы человек, а статья найдется (c)

Переписка через этот ваш jabber.ru и прочие gosuslugi – это пренебрежимая мелочь с точки зрения уважаемых людей, да.

encrypted chat

Бвахахаха.

Чота они там упоролись. У меня вон ростер вымер уже давно. Какой там расцвет джаббера, сервера наоборот позакрывались все, а когда-то у того же яндекса даже был.

Чота они там упоролись. У меня вон ростер вымер уже давно. Какой там расцвет джаббера, сервера наоборот позакрывались все, а когда-то у того же яндекса даже был.

Тем речь про сервер «для своих». Поднял сервер, все подключились, порешали вопросики, сервер снесли. Все.

encrypted chat

Бвахахаха.

Так там omemo всякие, у меня даже работает. В conversations по умолчанию чаты шифруются, с сервера историю не скачаешь.

Так там omemo всякие, у меня даже работает. В conversations по умолчанию чаты шифруются, с сервера историю не скачаешь.

Да, но оно все настолько кривое и коряво тестированное, что мне было бы откровенно страшно там писать какие-то подсудные телеги.

Хз, для меня жаббер пока ещё жив, хоть там почти никого и нет. Даже вроде чето развивается. Conversations отличный. Клиенты для десктопа не очень.

Ну а для бандитов и параноиков там есть pgp.

Я думал, что смысл XMPP в том, чтобы у каждого был свой собственный сервер…

Опять ты со своим «богатым внутренним миром»?

Ну а для бандитов и параноиков там есть pgp.

Да, но pgp это UX-кошмар, это даже его авторы признали. Ключи, подключи, что-то из них может устареть, но при этом его можно продлить, куча pgp серверов куда можно сунуть чо хочешь и никто не узнает. Такое себе.

Опять ты со своим «богатым внутренним миром»?

Просто констатирую действительность.

Я думал, что смысл XMPP в том, чтобы у каждого был свой собственный сервер…

Ну вот их собственный сервер и поимели :D

И много в твоём окружении людей с бутылкой в заднице?

И много в твоём окружении людей с бутылкой в заднице?

Открой новости, почитай.

Сегодня читал, ни слова о бутылках. И месяц назад тоже. И неделю назад ничего.

Поэтому и спрашиваю о твоём окружении.

О тебе в новостях искать?

Сегодня читал, ни слова о бутылках. И месяц назад тоже. И неделю назад ничего.

Нас снесут за танцпол. В любом случае, держи клоуна за попытку.

О тебе тоже не нашёл. Странно.

Вопрос в другом: а почему, собственно, не матрица? Нормальное built-in шифрование, активное комьюнити, живость на мобилках. Гораздо лучше XMPP. И нет, дело не в технических деталях, дело в рекламе, у матрицы банально получилось лучше преподнести платформу.

Какие эталонно-шаблонные ответы, прям из палаты мер и весов…

Вопрос в другом: а почему, собственно, не матрица?

Наверное, потому что это jabber.ru, а не matrix.ru

Бандиты и параноики потерпят, остальным скрывать нечего)

сунуть чо хочешь и никто не узнает

Так в этом и смысл pgp, надо сначала по другому надежному каналу обменяться хотя бы фингерпринтами ключей, чтоб доверять.

А вобще thunderbird умеет web key directory уже, качает ключи сам.

Транспортное шифрование нужно, чтобы провайдер клиента в траффик не смотрел. Если этого недостаточно - нужно E2E и никак иначе. Благо джаббер это позволяет, насколько мне память не изменяет.

Ну как раз насчет Минцифры, думается, правы обе стороны – национальный CA для Сбербанка и Госуслуг нужен, но дело реально идет к глобальной прослушке и цензуре. Картину целиком мы увидим, может, к 2030 году.

Наверно было бы неплохо, если бы CA могли френдить другие CA, т.е. независимо хранить у себя список адресов, для которых визави имеют право выпускать сертификаты. Во всяком случае это не так стремно, как полный промискуитет или схема с «CA над всеми CA».

Сами себя взломали, чтобы обвинить честный хостинг.

Подполковник из Дрездена?

Все, кто использует jabber.ru об этом и так знают. А всем остальным это знать нет смысла.

Хорошо, что e2e шифрование не позволит ничего прочитать в ЛС.

сбылось что? вы о подробностях атаки в курсе? что именно произошло?

Облако это не ваша машина, собственно и всё

А загадочное самоубийство ты в каком случае совершишь?

Наверно было бы неплохо, если бы CA могли френдить другие CA

Это называется Certificate transparency, но проблема в том, что чтобы это всё работало автоматически, список доменов должен быть удостоверен другим УЦ. Причём такие УЦ, которые уже есть в браузере.

В текущих реалиях таких УЦ, как ты понимаешь, нет, поэтому реализация CT у минцифры сделана вручную — списочком.

Там вроде OTR, почему PGP?

В интересном мире ты живёшь. Бутылки, чалки. Что-то ты нам недоговариваешь.

Эта нога - кого надо нога.

Почему я сразу подумал о Панине?

никогда такго не было и вот опять!

А ведь Столлман предупреждал, что ВАШ сайт должен работать на ВАШЕМ сервере и никак иначе. Но нет, облака, облака, белокрылые лошадки, дядя добрый - он тебе свои мощности дает. Вопрос: зачем?

это как бе одна контора.

никто не сомневается что ты о таком часто думаешь.

Там ломали не сервер, а увели канал связи до него.

никто

Зачем говоришь о себе в третьем лице

Откуда бы не было, но эта атака, с одной стороны, была успешной, раз несколько месяцев работал mitm, а с другой довольно топорная по исполнению, почему и вскрылось.

Помимо протухания вовремя не обновленного сертификата, они еще и прокси не смогли сделать целиком прозрачным, в результате source port при посылке данных на 5222 порт (и только на него) оказывался не совпадающим с реальным.

О чем есть тема на реддит https://www.reddit.com/r/hetzner/comments/17ankoh/does_hetzner_run_a_proxy_in...

у jabber.ru протух SSL-сертификат Let's Encrypt (комментарий)

И вот что-то вся эта возня как-то не ощущается действиями действительно крутых западных служб на своей территории, можно предположить, что они бы скорее всего, прямо из VPS получали бы все им интересное.

Так что похоже или это местные полицейские или криминал или вообще кто-то левый по отношению к Германии и хетцнеру с линодом.

Так в этом и смысл pgp, надо сначала по другому надежному каналу обменяться хотя бы фингерпринтами ключей, чтоб доверять.

И уже проще age.