MITM-атака на JABBER.RU и XMPP.RU

как-то не ощущается действиями действительно крутых западных служб

Лучшая_разведка_в_мире.джпг

В интересном мире ты живёшь.

Ты так старательно отрицаешь реальность на публику или ради собственного успокоения?

Это медиа-трясуноиды. Живут в виртуальном мирке, ограниченном определённой повесточкой.

Это медиа-трясуноиды. Живут в виртуальном мирке, ограниченном определённой повесточкой.

Ты решил не принимать копиум дозированно, а сразу прыгнуть в чан?

Изволь выражаться по-русски, а то непонятно.

смешно, дыа.

«Тут-то мне, Петька, масть и попёрла»

А сейчас то чего? Они типа даже ничего делать не будут? Отлегло само и всё? :D

А, поеял. Ты решил показать, что живёшь не в виртуальном мирке, путём использования виртуального новояза. Ну что ж, очень убедительно 😄

На самом деле, этот анекдот несколько наивный, потому что масть может переть только определённым людям)

А сейчас то чего? Они типа даже ничего делать не будут? Отлегло само и всё? :D

Ну слушали и слушали, чего бухтеть то.

Правильно, не раскачивайте лодку!

елси я правильно понимаю, про какие статьи речь, то не обстебали, а совершенно правильно покритиковали. а стёб, глум, ад и изгаиль были уж в комментах. впрочем, как обычно там.

нет. просто в каждой шутке есть доля шутки.;-)

Да мне то пофиг в целом, сейчас ну увидели они мой «привет» в lua чат с 1 человеком оффлайн :( и всё, но это пока, а вдруг я по душам с кем разговорюсь, а это уже личное, это уже нене конечно такое бывает раз в 10 лет, но всё же это уже личное это мой маленький мирок и пущать я в него кого попало нихочу! Воть! Ну и ладно почти не общаюсь с человеками, а тут ваще затворником стану, а это они винаваты!

А сейчас то чего? Они типа даже ничего делать не будут? Отлегло само и всё? :D

Отлегло ли? LOL Или просто беспалевный вариант нашли.

Кто-то, не имеющий возможности надавить на хетцнер, заставил последнего перенаправлять трафик на машинку внутри хетцнера? Ну. Такое. Я погрешу против истины, если скажу, что такое невозможно, но всё-таки тут надо иметь в виду бритву Оккама, согласно которой всё это сделал хетцнер. Сам он виноват или на него надавили - вопрос второй.

Впрочем, у нас всегда есть возможность оценивать последствия. Если атаку осуществлял кто-то посторонний, то должны быть заявления и от хетцнера, и от Letsencrypt. Что это не мы и не наше. Letsentcrypt должна будет изменить процедуру выдачи сертификатов, усложнив подобные атаки, а мозилла должна будет временно исключить LE из списка доверенных, пока ситуация не будет разрешена. Постороннее вмешательство в инфраструктуру доверия сертификатом просто так не должно проходить, так ведь?

Если же ничего не будет сделано, значит, эти левые сертификаты кого надо сертификаты.

Или это. Ну да и пофиг, единственный чатег где я был тоже теперь apt purge pidgin наверное, всё равно я за последний год переписывался только с жбертом и то почти случайно скорее для теста тандрбёрта (когда им пользовался до редизайна и лютых его тормозов) теперь только ЛОРчик и иногда вкшка для родных, жаль что они не линуксоиды, а то бы ваще удобно было всё чё надо тутава :D

А ваще жалко, я не столько трясусь по шифрованию, всё же жаббер тоже для публичных болтаток в конференциях нужен и там пофиг на всякие шифровния, а личная переписка это редкость, просто раз могут трафик расшифровывать значит могут мне писать от других лиц и всё такое, вводить меня в заблуждение и прочие приколы, такого нихоца вот совсем.

Печалит ещё что владельцы жаббер.ру вообще молчком, или я не знаю где смотреть, ну написали бы они сами мол так то вот так то, у нас непонятная хня вот наши рекомендации други и подруги пока у нас всё работает, но попутно тех проблемы на живую решаем, пожалуйста ради вашей безопасности не обменивайтесь там адресами своими, телефончиками и не ведите рабочую переписку включающую айпишнеги и пароли к ссх к рабочим тачкам и всё такое, так ведь нету ничего. Нас ломанули, прикол лол, всё намана пишите исчё!

Яж простой пользователь, рукожоп, хомячёк, меня надо беречь и предупреждать, яж во всём этом не разбираюсь!

«There is no cloud it’s just someone else’s computer.» ©®™

Статья 2017 года.

сервера наоборот позакрывались все

https://jabberworld.info/servers/ - мало?

Потому что все mitm по сертификату минцыфры это не атаки а государственная политика! Не помню, её всё ещё аконно критиковать, или уже нет?

Тут показательна ситуация и повод задуматься и остальным.

Поправка: Герр майор.

Разве не гугл первый вкладывался в letsencrypt? Без LE так бы и сидели до сих пор в лаптях по http, нужен новый механизм сертификации, на основе децентрализованного блокчейна

Переписываться через точка-точка и ни в коем случае не передавать финансовую авторизацию через https, особенно на смртфонах.

Не в коня корм. Все кто хотел приватных надёжных коммуникаций через джаббер - уже подключили. Или не подключили, у меня как то было что jabber.ru блочил шифрованный трафик.

Печалит ещё что владельцы жаббер.ру вообще молчком

Как минимум - можно было зайти в конференцию саппорта, что я и сделал после треда в talks тут - у jabber.ru протух SSL-сертификат Let's Encrypt

Попутно выяснили, что тред на reddit'е, где было хоть немного подробностей, втихую скрывался от всех, кроме автора.

Впрочем, у нас всегда есть возможность оценивать последствия. Если атаку осуществлял кто-то посторонний, то должны быть заявления и от хетцнера, и от Letsencrypt. Что это не мы и не наше. Letsentcrypt должна будет изменить процедуру выдачи сертификатов, усложнив подобные атаки, а мозилла должна будет временно исключить LE из списка доверенных, пока ситуация не будет разрешена. Постороннее вмешательство в инфраструктуру доверия сертификатом просто так не должно проходить, так ведь?

Ну во-первых, вообще пока мало времени прошло. На реддите владельцы сервака что-то говорили насчет заявления в полицию (немецкую). И кстати подломали не только на хетцнере, но и на линоде. Просто на хетцнере спалились и после этого проверили уже и линод.

Во вторых, разные уровни есть. Одно дело - АНБ, ЦРУ и всякие там БНД и Ведомства по охране конституции. Мне кажется, что для этих «майоров» это топорная работа. А вот обычная немецкая полиция вряд ли их возможностями обладает и можно представить, что действовала как раз описанным образом. Но нельзя исключать и что кто-то вообще другой через подкупленных сотрудников двух хостеров что-то мутил. Не факт, что об этом расскажут. Может быть много причин не выносить сор из избы.

Никто ничего не должен отзывать у Lets Encrypt, потому что использован штатный механизм. Это уже вне их зоны ответственности.

Let's Encrypt никак не может проверить, оперирует сервером его владелец или же хостер перехватил управление.

Точно так же, например, если твой компьютер украли, зашли в систему, открыли браузер, где ты залогинен (или в браузере сохранён пароль) на ЛОРе и написали от твоего имени коммент, это не задача ЛОРа при отправке каждого коммента выяснять, действительно ли ты это или нет. Движок проверяет, что браузер пользователя прислал корректную куку или пароль, на этом его полномочия всё.

В случае с LE в /etc/letsencrypt хранятся секретные данные. К ним есть доступ как у владельца сервера, так и у хостера. Единственная защита тут - как-то шифровать оперативку и накопители.

Печалит ещё что владельцы жаббер.ру вообще молчком, или я не знаю где смотреть, ну написали бы они сами мол так то вот так то, у нас непонятная хня вот наши рекомендации други и подруги пока у нас всё работает

Так они же написали в ростер.

Попутно выяснили, что тред на reddit’е, где было хоть немного подробностей, втихую скрывался от всех, кроме автора.

Великолепно…

ростер

Что это такое? В чате support никаких закреплённых тем, ссылок или подобного, только флуд рандомов по уровню информативности даже ниже чем на лоре. ЯР сказал что на реддите был тема, ну здрасти есть сайт, можно на главной было написать, откуда я знаю что нужно идти искать и проверять их твиттер, фейспук, реддит, инстаграмм или ещё хуже может телеграмм ой фсё. Я как простой пользователь возмущаюсь! И топаю ножкой!

Как мне кажется они тупо решили это всё замять и умолчать. Типа прокатит. И где то там какой то там админ, на хрен пойми каком то там ресурсе отписался что заметил какое то там подключение к их серверу и типа кажется может быть вроде сем сервер не взломан, ну типа так кажется, по крайней мере они этого не заметили учитывая что физического доступа к серваку у них нету, а судя по их словам там физически к стойке у них подключались. Ой фсё2!

И всё это я как пользователь должен выяснять по форумам и чатам где уровень пруффности аля «я прочёл вон там», «а я читал вот тут». Ухъъ. Топ топ топ, аж пяточку больно ножкой по полу стукать.

Написали бы на главной просто «Ой у нас бида вот ссылка на подробности» и всё и вопросов вообще нет и быть не могло. Но нет, мутки какие то мутные и непонятки непонятные.

Ууууууууутьють

Я так понимаю, Mozilla/Google теперь должны перестать здороваться доверять сертификатам, выданным через Letsencrypt.

Нет, не должны. Тут нет свидетельств того, что LE как-то несанкционированно выпустил сертификат. Наилучшее объяснение на текущий момент - подделка DNS.

ростер

Что это такое?

А ты настоящий пользователь джаббера? :) Это список контактов, мне там вчера пришло всё.

почему, собственно, не матрица?

Самый очевидный ответ уже дали выше - потому что JABBER.ru :D

А в целом,

дело в рекламе, у матрицы банально получилось лучше преподнести платформу

jabber «рекламируется» уже на протяжении пары десятков лет. Это сеть с историей; с кучей разнообразного софта - развивающегося или уже заброшенного; с тысячами серверов, работающими в сети, которыми пользуются реальные люди. То, чем должна быть нормальная федеративная IM-сеть. Да, активность в чем-то снизилась - крупные компании перестали (открыто) использовать XMPP и держат пользователей в изолированных «загончиках» своих протоколов.

Но Matrix в этом плане вообще в зачаточном состоянии.

По технической части - пример хотя бы тут. Помнится, попадалось еще в сети сообщение про некую конференцию разработчиков, где в итоге для ее проведения оказалось проще по-быстрому поднять jabber-сервер, ибо тот не выжирает столько ресурсов. Спасибо, но нет.

А звонки, мобилки, комьюнити, шифрование - это все и в jabber'e есть. Как минимум - сейчас.

Так что Matrix - пусть, конечно, будет - альтернатива и все такое. Тем более, сейчас возможно взаимодействие XMPP и Matrix. Просто постоянно не покидает ощущение, что вместо того, чтобы в нужное время влиться в доработку XMPP, эта альтернатива строилась по принципу «покажем, что мы не такие как все» и «мы свой, мы новый мир построим». Черт, даже вот эти идентификаторы - @bla:bla.bla - это вообще зачем? Чем не устраивал существующий много десятков лет и используемый повсеместно user@host?

В чате support никаких закреплённых тем, ссылок или подобного

Вчера широковещательное сообщение приходило со стороны сервера. Т.е., его мог прочитать любой пользователь сервера. Фактически, это уже было после того, как проблема «решилась», да. До того - наблюдал все в realtime в support@.

Ну и в целом - на сейчас это уже во всех новостях. На тот момент все было на уровне «происходит какая-то хрень, пытаемся разобраться».

Вот так вот. А потом мне мои друзья говорят что я параноик, потому что не доверяю Let’s Encrypt и использую самоподписной ЦС на токене, который храню около как в воровском кармане.

О чём говорить, если центры сертификации контролируют корпорации, которые подвластны государству? А всё доверие к сертам основывается на обещаниях этих корпораций быть честными.

Джаббер? Уже давно забыл это слово. Кому он нужен-то?

Внезапно, альтернатив-то особо и нет. Ejabberd самый вменяемый серв, если ты хочешь просто собрать пати и закрытенько общаться. Матрикс можно не вспоминать, держу ноду, головняк с ней конечно ещё тот.

Да кому кроме нердов это всё нужно, когда весь мир на Вотсапе сидит?

киньте на хабропомойку чсв-шникам пускай читают https://lobste.rs/s/txvugz/encrypted_traffic_interception_on

Подождите, а разбирательство будет? Суды?

А ты настоящий пользователь джаббера? :)

Просто пользуюсь и всё =)

Это список контактов, мне там вчера пришло всё.

А у меня контактов то и нет, конференции и разовые частные общения, никто со мной периодически и не общается да и не переодически тоже (или наоборот гы) поэтому мне ни от кого ничего не приходило, только пидгин жалвался что сертификат мол прими слышь, а я такой, а вот не приму слышь, подумал что просто сломали сервак и закрыл пидгин, и только на лоре увидел тему (не эту) мол что просрочен серт, ну подумал сломалось автообновление летсэнкрипт же автоматом все обновляют, ну сломалось и сломалось подумал, а оно вон чего. Не тусовался бы я хомячок с вами айтишниками, яб даже ничего не узнал, воть такие вот делишки :3

Мне ничего не приходило.

Не должен, хорошо. Но нам теперь что, продолжать доверять системе, у которой штатный механизм такой вот плохой?

Ну раз не может проверить, то почему весь мир должен доверять?

Сервера jabber.ru и xmpp.ru подверглись MitM атаке со стороны хостинга.
Мы рекомендуем сменить пароль и считать все сообщения за последние полгода скомпрометированными.
Подробности атаки по ссылке: http://notes.valdikss.org.ru/jabber.ru-mitm/

Вопросы можно задать в support@conference.jabber.ru

Мощный анализ, по уровню технической грамотности вполне соответствует знаменитому wayland кейлоггеру. А ну подать сюда Тяпкина-Ляпкина, пусть ответит за всё.

Вы клованы, из кожи лезете, в попытке пропихнуть идею «безопасности нет, поэтому давайте просто отдадим все ключи товарищу майору, потому что у них там негров линчуют».

Вот только в реальности нет никакой «русофобии» и «двойных стандартов». Есть условно, «Мавроди», отмотавший срок за мошенничество, который переехал в Нигерию, набрал штат местных специалистов по написанию писем о наследстве, и теперь вот требует от специализирующихся сайтов включить его новое агентство по финансовым консультациям в список рекомендуемых или доказательно объяснить причину невключения. Ну и клованы типа тебя, твердящие о презумпции невиновности и о том, что пусть сначала докажут что это очередной мошенничестский схематоз.

Что до текущей ситуации, ну предположим реально немецкий полицай заставил хостера помочь с генерацией левого сертификата (а не, например, российские спецслужбы подкупили админа из jabber.ru), ну, значит не стоит хоститься в Германии. Как из этого следует необходимость отдать ключи от всех дверей минцифре?

дове́рие cредний род - уверенность в чьей-н. добросовестности, искренности, в правильности чего-н. и основанное на этом отношении к кому-н.

Если про LE, то есть сомнения в их доборосовестности?

Потому что и то и другое не самое удачное легаси.