LINUX.ORG.RU

MITM-атака на JABBER.RU и XMPP.RU

 , ,

MITM-атака на JABBER.RU и XMPP.RU

4

8

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.

Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.

Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от cumvillain

А ты не знаешь, против кого это было направлено в этот раз. Может, по ту сторону границы на зонен топтирен уехали какие-нибудь экспаты.

Smacker ★★★★★
()
Ответ на: комментарий от Smacker

А ты не знаешь, против кого это было направлено в этот раз. Может, по ту сторону границы на зонен топтирен уехали какие-нибудь экспаты.

А может Гитлер на тиранозавре прилетел. Факты, о которых нам известно, говорят о MITM атаке, не более того.

cumvillain
()
Ответ на: комментарий от cumvillain

Ну у тебя человек поехал на нарах чалиться тоже виртуально, но для тебя же это был весомый аргумент.

Smacker ★★★★★
()
Ответ на: комментарий от Aceler

Уровень проверки обычного ssl сертификата не сильно отличается от letsencrypt. Если есть доступ к трафику подделать сертификат проблем не составит, разница только в 100 баксах.

А вобще все же знают, что жаббер - это инструмент наркоторговцев и всяких бандитов - лет 10 назад ещё писали :)

sergej ★★★★★
()
Ответ на: комментарий от Smacker

Ну у тебя человек поехал на нарах чалиться тоже виртуально, но для тебя же это был весомый аргумент.

У нас есть обширная статистика, говорящая о том, что если тобой заинтересовалась полиция до уровня прослушки, то всем участникам процесса уже гораздо выгоднее чтобы ты получил как минимум условный срок.

cumvillain
()
Ответ на: комментарий от cumvillain

… если уж выбирать между строчкой в логах и бутылкой шампанского

Был бы человек, а статья найдется (c)

Переписка через этот ваш jabber.ru и прочие gosuslugi – это пренебрежимая мелочь с точки зрения уважаемых людей, да.

x22 ★☆
()
Ответ на: комментарий от sergej

Чота они там упоролись. У меня вон ростер вымер уже давно. Какой там расцвет джаббера, сервера наоборот позакрывались все, а когда-то у того же яндекса даже был.

Smacker ★★★★★
()
Ответ на: комментарий от Smacker

Чота они там упоролись. У меня вон ростер вымер уже давно. Какой там расцвет джаббера, сервера наоборот позакрывались все, а когда-то у того же яндекса даже был.

Тем речь про сервер «для своих». Поднял сервер, все подключились, порешали вопросики, сервер снесли. Все.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

encrypted chat

Бвахахаха.

Так там omemo всякие, у меня даже работает. В conversations по умолчанию чаты шифруются, с сервера историю не скачаешь.

sergej ★★★★★
()
Ответ на: комментарий от sergej

Так там omemo всякие, у меня даже работает. В conversations по умолчанию чаты шифруются, с сервера историю не скачаешь.

Да, но оно все настолько кривое и коряво тестированное, что мне было бы откровенно страшно там писать какие-то подсудные телеги.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

Хз, для меня жаббер пока ещё жив, хоть там почти никого и нет. Даже вроде чето развивается. Conversations отличный. Клиенты для десктопа не очень.

Ну а для бандитов и параноиков там есть pgp.

sergej ★★★★★
()
Ответ на: комментарий от sergej

Ну а для бандитов и параноиков там есть pgp.

Да, но pgp это UX-кошмар, это даже его авторы признали. Ключи, подключи, что-то из них может устареть, но при этом его можно продлить, куча pgp серверов куда можно сунуть чо хочешь и никто не узнает. Такое себе.

cumvillain
()
Ответ на: комментарий от Shushundr

Я думал, что смысл XMPP в том, чтобы у каждого был свой собственный сервер…

Ну вот их собственный сервер и поимели :D

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

Сегодня читал, ни слова о бутылках. И месяц назад тоже. И неделю назад ничего.

Поэтому и спрашиваю о твоём окружении.

grem ★★★★★
()
Ответ на: комментарий от cumvillain

О тебе в новостях искать?

grem ★★★★★
()
Ответ на: комментарий от grem

Сегодня читал, ни слова о бутылках. И месяц назад тоже. И неделю назад ничего.

Нас снесут за танцпол. В любом случае, держи клоуна за попытку.

cumvillain
()
Ответ на: комментарий от cumvillain

О тебе тоже не нашёл. Странно.

grem ★★★★★
()

Вопрос в другом: а почему, собственно, не матрица? Нормальное built-in шифрование, активное комьюнити, живость на мобилках. Гораздо лучше XMPP. И нет, дело не в технических деталях, дело в рекламе, у матрицы банально получилось лучше преподнести платформу.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от cumvillain

Какие эталонно-шаблонные ответы, прям из палаты мер и весов…

Dimez ★★★★★
()
Ответ на: комментарий от cumvillain

Вопрос в другом: а почему, собственно, не матрица?

Наверное, потому что это jabber.ru, а не matrix.ru

Dimez ★★★★★
()
Ответ на: комментарий от cumvillain

Бандиты и параноики потерпят, остальным скрывать нечего)

сунуть чо хочешь и никто не узнает

Так в этом и смысл pgp, надо сначала по другому надежному каналу обменяться хотя бы фингерпринтами ключей, чтоб доверять.

А вобще thunderbird умеет web key directory уже, качает ключи сам.

sergej ★★★★★
()

Транспортное шифрование нужно, чтобы провайдер клиента в траффик не смотрел. Если этого недостаточно - нужно E2E и никак иначе. Благо джаббер это позволяет, насколько мне память не изменяет.

vbr ★★★★
()
Ответ на: комментарий от Aceler

Ну как раз насчет Минцифры, думается, правы обе стороны – национальный CA для Сбербанка и Госуслуг нужен, но дело реально идет к глобальной прослушке и цензуре. Картину целиком мы увидим, может, к 2030 году.

Наверно было бы неплохо, если бы CA могли френдить другие CA, т.е. независимо хранить у себя список адресов, для которых визави имеют право выпускать сертификаты. Во всяком случае это не так стремно, как полный промискуитет или схема с «CA над всеми CA».

Zeta_Gundam
()

Сами себя взломали, чтобы обвинить честный хостинг.

Exmor_RS ★★★
()

Все, кто использует jabber.ru об этом и так знают. А всем остальным это знать нет смысла.

zx_gamer ★★★
()

Хорошо, что e2e шифрование не позволит ничего прочитать в ЛС.

zx_gamer ★★★
()
Ответ на: комментарий от Aceler

сбылось что? вы о подробностях атаки в курсе? что именно произошло?

nempyxa ★★
()

Облако это не ваша машина, собственно и всё

ac130kz ★★
()
Ответ на: комментарий от cumvillain

А загадочное самоубийство ты в каком случае совершишь?

Aceler ★★★★★
()
Ответ на: комментарий от Zeta_Gundam

Наверно было бы неплохо, если бы CA могли френдить другие CA

Это называется Certificate transparency, но проблема в том, что чтобы это всё работало автоматически, список доменов должен быть удостоверен другим УЦ. Причём такие УЦ, которые уже есть в браузере.

В текущих реалиях таких УЦ, как ты понимаешь, нет, поэтому реализация CT у минцифры сделана вручную — списочком.

Aceler ★★★★★
()

А ведь Столлман предупреждал, что ВАШ сайт должен работать на ВАШЕМ сервере и никак иначе. Но нет, облака, облака, белокрылые лошадки, дядя добрый - он тебе свои мощности дает. Вопрос: зачем?

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Там ломали не сервер, а увели канал связи до него.

maxcom ★★★★★
()
Ответ на: комментарий от Stalin

Откуда бы не было, но эта атака, с одной стороны, была успешной, раз несколько месяцев работал mitm, а с другой довольно топорная по исполнению, почему и вскрылось.

Помимо протухания вовремя не обновленного сертификата, они еще и прокси не смогли сделать целиком прозрачным, в результате source port при посылке данных на 5222 порт (и только на него) оказывался не совпадающим с реальным.

О чем есть тема на реддит https://www.reddit.com/r/hetzner/comments/17ankoh/does_hetzner_run_a_proxy_in...

у jabber.ru протух SSL-сертификат Let's Encrypt (комментарий)

И вот что-то вся эта возня как-то не ощущается действиями действительно крутых западных служб на своей территории, можно предположить, что они бы скорее всего, прямо из VPS получали бы все им интересное.

Так что похоже или это местные полицейские или криминал или вообще кто-то левый по отношению к Германии и хетцнеру с линодом.

praseodim ★★★★★
()
Ответ на: комментарий от sergej

Так в этом и смысл pgp, надо сначала по другому надежному каналу обменяться хотя бы фингерпринтами ключей, чтоб доверять.

И уже проще age.

cumvillain
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.