LINUX.ORG.RU

MITM-атака на JABBER.RU и XMPP.RU

 , ,

MITM-атака на JABBER.RU и XMPP.RU

4

8

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.

Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.

Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 1)

Как грубо, нет бы в железо бекдор встроили чтобы оперативку читать.

И я надеюсь все и так в курсе что DV-сертификаты (даже при их честной реализации, т.е. допустим мы поверим что CA никогда не выпустят явные фейки) защищают только от mitm на стороне клиента, но никак не аплинков сервера. То же самое мог бы провернуть аплинк хетзнера не имея доступа никуда кроме канала.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

перенаправление трафика было настроено в сети хостинг-провайдера

Ойляля, это что же получается 😁

alex1101
()

Всё, о чём так долго говорили большевики по поводу сертификата Минцифры, вдруг сбылось с сертификатом Letsencrypt.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Нет, это другое, см. мой коммент выше. Про наших подозревали что CA недобросовестный, а тут баянистый дефект в самой системе DV. Впрочем итог один: система публичных CA доверия не вызывает вне зависимости от деталей.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

Я так понимаю, Mozilla/Google теперь должны перестать здороваться доверять сертификатам, выданным через Letsencrypt.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Я в целом не особо понимал, почему из сотен центров авторизации доверять можно было решительно всем и безоговорочно, кроме почему-то минцифры в отдельности.

Smacker ★★★★★
()

Scheisse! Гестапо добралось до уютненького жаббер.сру быстрее кэйджиби.

x22 ★☆
()
Ответ на: комментарий от Smacker

почему из сотен центров авторизации доверять можно было решительно всем и безоговорочно

Потому что все эти центры расположены в мире, основанном на правилах, и с работающими институтами, очевидно же 😄

alex1101
()
Ответ на: комментарий от Aceler

Ну почему, если у них есть доступ к аплинку то и выпустить сертификат даже без воздействия на ишьюера не особая проблема.

Minoru ★★★
()
Ответ на: комментарий от Aceler

Я так понимаю, там просто перенаправили трафик. То есть технически LE неуиноватый рафик ни при чём, есть правильный response на challenge — есть серт.

А вот логи Certificate Transparency мониторить таки надо.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от firkax

Впрочем итог один: система публичных CA доверия не вызывает вне зависимости от деталей.

Дык а что теперь делать?

pr849
()
Ответ на: комментарий от Aceler

Товарищ майор не дремлет, получается.

Сомневаюсь, что это немецкий или американский майор. Как-то уж больно топорно с сертификатами. Более похоже на майора, но откуда-то из других мест, не имеющего их возможностей.

praseodim ★★★★★
()
Ответ на: комментарий от pr849

В целом забить. А если какие-то сайты тебе сверхважные (лор например и ещё какой-нить форум где ты дорожишь акком) - запинить их публичные ключи (надеясь что хотя бы сейчас они настоящие) чтоб CA не могли их подменить. Впрочем не стоит забывать, что вместо подмены сертификатов можно подменить железо на сервере у хостера и с этим ты ничего не поделаешь. А так, для большинства - знать, что на том конце неизвестно что, и даже если сертификат настоящий, то даже легитимные владельцы сайта (с которыми ты обычно даже не знаком) могут неожиданно решить устроить что-нить плохое.

firkax ★★★★★
()
Ответ на: комментарий от Aceler

Это демократический товарищ майор, он только о Благе беспокоится

Dark_SavanT ★★★★★
()
Ответ на: комментарий от praseodim

token_polyak На хабре есть комент под этой же новостью https://habr.com/ru/news/768914/#comment_26076486

Есть один интересный момент.

Последние несколько дней в РФ осуществляется очередной эксперимент по блокировке протоколов через DPI у разных провайдеров, и на этот раз блокируют как раз таки именно Jabber/XMPP.

Интересный момент заключается в том, что при блокировке находящихся за границей XMPP серверов, конкретно jabber.ru почему-то не блокировали, хотя он находится в Хетцнере.

Очень люборытное совпадение.

Обсуждение блокировок XMPP https://ntc.party/t/обсуждение-блокировка-jabberxmpp-в-россии/5984

Правда ValdikSS там ответил, что вроде вещи не связанные. Х.з.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 2)
Ответ на: комментарий от Smacker

потому что доверять можно партнерам на условиях контрактов. А контракт в стране без законов бесполезен. Потому же и визы везде нужно получать с таким прекрасным красивым паспортом.

mrdeath ★★★★★
()

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

Dimez ★★★★★
()
Ответ на: комментарий от firkax

знать, что на том конце неизвестно что

Или неизвестно кто. Например, кот.

alex1101
()

Кричали, что XMPP норм? Кричали. Кричали, что токс не нужен? Кричали.

Вот теперь жрите.

Skullnet ★★★★★
()
Ответ на: комментарий от praseodim

На хабре

В этой дурке для страдающих латыниной головного мозга ещё и не такие срывы покровов бывают.

alex1101
()
Ответ на: комментарий от Smacker

кроме почему-то минцифры в отдельности

Потому, что так посчитала местная наиболее упоротая публика.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от Skullnet

Токс просто дыряв.

Судя по всему, ничего секурнее шифрованной электронной почты через i2p сейчас попросту нет.

alex1101
()
Ответ на: комментарий от alex1101

Такое повышение мне пока не грозит.

grem ★★★★★
()
Ответ на: комментарий от alex1101

Судя по всему, ничего секурнее шифрованной электронной почты

Но чем это надежнее шифрованного жаббера? «Человек посередине» не смог бы ничего читать, если бы все данные были зашифрованы.

Daedalus
()
Ответ на: комментарий от Skullnet

Где портачили? В токсе MITM атаки невозможны.

Ути-пути какой наивный чукотский юноша! Как там дела с тем кривым недоDNS для Tox, который должен быть помочь мапить никнеймы на tox id?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от Dimez

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

Прямо в абвер. Кино и немцы, ja ja.

x22 ★☆
()

я вообще думал жабры уже давно всё

bernd ★★★★★
()
Ответ на: комментарий от alex1101

Токс просто дыряв.

Нагло врете и не стесняетесь.

Skullnet ★★★★★
()
Ответ на: комментарий от hateyoufeel

Как там дела с тем кривым недоDNS для Tox, который должен быть помочь мапить никнеймы на tox id?

Каким боком эти 3rd party решения относятся к токсу и к MITM?

Skullnet ★★★★★
()
Последнее исправление: Skullnet (всего исправлений: 1)
Ответ на: комментарий от Smacker

чтоб ты учился думать головой же. хинт: с кем нужно договариваться минцифры чтобы весь интернет доверял их сертификатам? со мной?

mrdeath ★★★★★
()
Ответ на: комментарий от Aceler

это не про LE, а про хостеров. прочитай статью, там все подробно разжевано.

ergo ★★★
()
Ответ на: комментарий от Dimez

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

Знаешь, если уж выбирать между строчкой в логах и бутылкой шампанского в заднице, то выбор очевиден.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от mrdeath

Так я не про весь интернет и говорил, ты сам-то голову напряги. Я про отечественную публику высказался — почему-де десяткам зарубежных центров доверять можно, а конкретно минцифре нет. Я вот оснований доверять какому-нибудь Chunghwa telecom не имею, а меж тем их сертификат у меня в ФФ имеется.

Smacker ★★★★★
()
Ответ на: комментарий от Smacker

почему-де десяткам зарубежных центров доверять можно, а конкретно минцифре нет

Вопрос исключительно в юрисдикции. Если ты хорошенько подумаешь, ты поймешь почему это важно.

cumvillain
()
Ответ на: комментарий от cumvillain

Как раз эта новость и показывает, что и юрисдикция ничего не решает, засада может быть со всех сторон.

Smacker ★★★★★
()
Ответ на: комментарий от Smacker

Как раз эта новость и показывает, что и юрисдикция ничего не решает, засада может быть со всех сторон.

Как раз эта новость и показыавет, что последствия для тебя будут сильно разные. В одном случае ты в логах запись найдешь, в другом ты уедешь пылесосить бескрайние поля Сибири, потому что у суда нет оснований не доверять показаниям сотрудника полиции.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.