LINUX.ORG.RU

MITM-атака на JABBER.RU и XMPP.RU

 , ,

MITM-атака на JABBER.RU и XMPP.RU

4

8

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.

Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.

Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от praseodim

как-то не ощущается действиями действительно крутых западных служб

Лучшая_разведка_в_мире.джпг

alex1101
()
Ответ на: комментарий от Aceler

В интересном мире ты живёшь.

Ты так старательно отрицаешь реальность на публику или ради собственного успокоения?

cumvillain
()
Ответ на: комментарий от alex1101

Это медиа-трясуноиды. Живут в виртуальном мирке, ограниченном определённой повесточкой.

Ты решил не принимать копиум дозированно, а сразу прыгнуть в чан?

cumvillain
()
Ответ на: комментарий от cumvillain

Изволь выражаться по-русски, а то непонятно.

alex1101
()
Ответ на: комментарий от cumvillain

А, поеял. Ты решил показать, что живёшь не в виртуальном мирке, путём использования виртуального новояза. Ну что ж, очень убедительно 😄

alex1101
()
Ответ на: комментарий от cumvillain

Правильно, не раскачивайте лодку!

Aceler ★★★★★
()
Ответ на: комментарий от gns

елси я правильно понимаю, про какие статьи речь, то не обстебали, а совершенно правильно покритиковали. а стёб, глум, ад и изгаиль были уж в комментах. впрочем, как обычно там.

mumpster ★★★★★
()
Ответ на: комментарий от alex1101

нет. просто в каждой шутке есть доля шутки.;-)

mumpster ★★★★★
()
Ответ на: комментарий от cumvillain

Да мне то пофиг в целом, сейчас ну увидели они мой «привет» в lua чат с 1 человеком оффлайн :( и всё, но это пока, а вдруг я по душам с кем разговорюсь, а это уже личное, это уже нене конечно такое бывает раз в 10 лет, но всё же это уже личное это мой маленький мирок и пущать я в него кого попало нихочу! Воть! Ну и ладно почти не общаюсь с человеками, а тут ваще затворником стану, а это они винаваты!

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от LINUX-ORG-RU

А сейчас то чего? Они типа даже ничего делать не будут? Отлегло само и всё? :D

Отлегло ли? LOL Или просто беспалевный вариант нашли.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Кто-то, не имеющий возможности надавить на хетцнер, заставил последнего перенаправлять трафик на машинку внутри хетцнера? Ну. Такое. Я погрешу против истины, если скажу, что такое невозможно, но всё-таки тут надо иметь в виду бритву Оккама, согласно которой всё это сделал хетцнер. Сам он виноват или на него надавили - вопрос второй.

Впрочем, у нас всегда есть возможность оценивать последствия. Если атаку осуществлял кто-то посторонний, то должны быть заявления и от хетцнера, и от Letsencrypt. Что это не мы и не наше. Letsentcrypt должна будет изменить процедуру выдачи сертификатов, усложнив подобные атаки, а мозилла должна будет временно исключить LE из списка доверенных, пока ситуация не будет разрешена. Постороннее вмешательство в инфраструктуру доверия сертификатом просто так не должно проходить, так ведь?

Если же ничего не будет сделано, значит, эти левые сертификаты кого надо сертификаты.

Aceler ★★★★★
()
Ответ на: комментарий от praseodim

Или это. Ну да и пофиг, единственный чатег где я был тоже теперь apt purge pidgin наверное, всё равно я за последний год переписывался только с жбертом и то почти случайно скорее для теста тандрбёрта (когда им пользовался до редизайна и лютых его тормозов) теперь только ЛОРчик и иногда вкшка для родных, жаль что они не линуксоиды, а то бы ваще удобно было всё чё надо тутава :D

А ваще жалко, я не столько трясусь по шифрованию, всё же жаббер тоже для публичных болтаток в конференциях нужен и там пофиг на всякие шифровния, а личная переписка это редкость, просто раз могут трафик расшифровывать значит могут мне писать от других лиц и всё такое, вводить меня в заблуждение и прочие приколы, такого нихоца вот совсем.

Печалит ещё что владельцы жаббер.ру вообще молчком, или я не знаю где смотреть, ну написали бы они сами мол так то вот так то, у нас непонятная хня вот наши рекомендации други и подруги пока у нас всё работает, но попутно тех проблемы на живую решаем, пожалуйста ради вашей безопасности не обменивайтесь там адресами своими, телефончиками и не ведите рабочую переписку включающую айпишнеги и пароли к ссх к рабочим тачкам и всё такое, так ведь нету ничего. Нас ломанули, прикол лол, всё намана пишите исчё!

Яж простой пользователь, рукожоп, хомячёк, меня надо беречь и предупреждать, яж во всём этом не разбираюсь!

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от Aceler

Потому что все mitm по сертификату минцыфры это не атаки а государственная политика! Не помню, её всё ещё аконно критиковать, или уже нет?

kirill_rrr ★★★★★
()
Ответ на: комментарий от zx_gamer

Тут показательна ситуация и повод задуматься и остальным.

YAR ★★★★★
()
Ответ на: комментарий от Aceler

Разве не гугл первый вкладывался в letsencrypt? Без LE так бы и сидели до сих пор в лаптях по http, нужен новый механизм сертификации, на основе децентрализованного блокчейна

autonomous ★★★★★
()
Ответ на: комментарий от pr849

Переписываться через точка-точка и ни в коем случае не передавать финансовую авторизацию через https, особенно на смртфонах.

kirill_rrr ★★★★★
()
Ответ на: комментарий от praseodim

Не в коня корм. Все кто хотел приватных надёжных коммуникаций через джаббер - уже подключили. Или не подключили, у меня как то было что jabber.ru блочил шифрованный трафик.

kirill_rrr ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Печалит ещё что владельцы жаббер.ру вообще молчком

Как минимум - можно было зайти в конференцию саппорта, что я и сделал после треда в talks тут - у jabber.ru протух SSL-сертификат Let's Encrypt

Попутно выяснили, что тред на reddit'е, где было хоть немного подробностей, втихую скрывался от всех, кроме автора.

YAR ★★★★★
()
Ответ на: комментарий от Aceler

Впрочем, у нас всегда есть возможность оценивать последствия. Если атаку осуществлял кто-то посторонний, то должны быть заявления и от хетцнера, и от Letsencrypt. Что это не мы и не наше. Letsentcrypt должна будет изменить процедуру выдачи сертификатов, усложнив подобные атаки, а мозилла должна будет временно исключить LE из списка доверенных, пока ситуация не будет разрешена. Постороннее вмешательство в инфраструктуру доверия сертификатом просто так не должно проходить, так ведь?

Ну во-первых, вообще пока мало времени прошло. На реддите владельцы сервака что-то говорили насчет заявления в полицию (немецкую). И кстати подломали не только на хетцнере, но и на линоде. Просто на хетцнере спалились и после этого проверили уже и линод.

Во вторых, разные уровни есть. Одно дело - АНБ, ЦРУ и всякие там БНД и Ведомства по охране конституции. Мне кажется, что для этих «майоров» это топорная работа. А вот обычная немецкая полиция вряд ли их возможностями обладает и можно представить, что действовала как раз описанным образом. Но нельзя исключать и что кто-то вообще другой через подкупленных сотрудников двух хостеров что-то мутил. Не факт, что об этом расскажут. Может быть много причин не выносить сор из избы.

praseodim ★★★★★
()
Ответ на: комментарий от Aceler

Никто ничего не должен отзывать у Lets Encrypt, потому что использован штатный механизм. Это уже вне их зоны ответственности.

maxcom ★★★★★
()
Ответ на: комментарий от Aceler

Let's Encrypt никак не может проверить, оперирует сервером его владелец или же хостер перехватил управление.

Точно так же, например, если твой компьютер украли, зашли в систему, открыли браузер, где ты залогинен (или в браузере сохранён пароль) на ЛОРе и написали от твоего имени коммент, это не задача ЛОРа при отправке каждого коммента выяснять, действительно ли ты это или нет. Движок проверяет, что браузер пользователя прислал корректную куку или пароль, на этом его полномочия всё.

В случае с LE в /etc/letsencrypt хранятся секретные данные. К ним есть доступ как у владельца сервера, так и у хостера. Единственная защита тут - как-то шифровать оперативку и накопители.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 5)
Ответ на: комментарий от LINUX-ORG-RU

Печалит ещё что владельцы жаббер.ру вообще молчком, или я не знаю где смотреть, ну написали бы они сами мол так то вот так то, у нас непонятная хня вот наши рекомендации други и подруги пока у нас всё работает

Так они же написали в ростер.

Dimez ★★★★★
()
Ответ на: комментарий от YAR

Попутно выяснили, что тред на reddit’е, где было хоть немного подробностей, втихую скрывался от всех, кроме автора.

Великолепно…

Dimez ★★★★★
()
Ответ на: комментарий от Dimez

ростер

Что это такое? В чате support никаких закреплённых тем, ссылок или подобного, только флуд рандомов по уровню информативности даже ниже чем на лоре. ЯР сказал что на реддите был тема, ну здрасти есть сайт, можно на главной было написать, откуда я знаю что нужно идти искать и проверять их твиттер, фейспук, реддит, инстаграмм или ещё хуже может телеграмм ой фсё. Я как простой пользователь возмущаюсь! И топаю ножкой!

Как мне кажется они тупо решили это всё замять и умолчать. Типа прокатит. И где то там какой то там админ, на хрен пойми каком то там ресурсе отписался что заметил какое то там подключение к их серверу и типа кажется может быть вроде сем сервер не взломан, ну типа так кажется, по крайней мере они этого не заметили учитывая что физического доступа к серваку у них нету, а судя по их словам там физически к стойке у них подключались. Ой фсё2!

И всё это я как пользователь должен выяснять по форумам и чатам где уровень пруффности аля «я прочёл вон там», «а я читал вот тут». Ухъъ. Топ топ топ, аж пяточку больно ножкой по полу стукать.

Написали бы на главной просто «Ой у нас бида вот ссылка на подробности» и всё и вопросов вообще нет и быть не могло. Но нет, мутки какие то мутные и непонятки непонятные.

Ууууууууутьють

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 2)
Ответ на: комментарий от Aceler

Я так понимаю, Mozilla/Google теперь должны перестать здороваться доверять сертификатам, выданным через Letsencrypt.

Нет, не должны. Тут нет свидетельств того, что LE как-то несанкционированно выпустил сертификат. Наилучшее объяснение на текущий момент - подделка DNS.

ivlad ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

ростер

Что это такое?

А ты настоящий пользователь джаббера? :) Это список контактов, мне там вчера пришло всё.

Dimez ★★★★★
()
Ответ на: комментарий от cumvillain

почему, собственно, не матрица?

Самый очевидный ответ уже дали выше - потому что JABBER.ru :D

А в целом,

дело в рекламе, у матрицы банально получилось лучше преподнести платформу

jabber «рекламируется» уже на протяжении пары десятков лет. Это сеть с историей; с кучей разнообразного софта - развивающегося или уже заброшенного; с тысячами серверов, работающими в сети, которыми пользуются реальные люди. То, чем должна быть нормальная федеративная IM-сеть. Да, активность в чем-то снизилась - крупные компании перестали (открыто) использовать XMPP и держат пользователей в изолированных «загончиках» своих протоколов.

Но Matrix в этом плане вообще в зачаточном состоянии.

По технической части - пример хотя бы тут. Помнится, попадалось еще в сети сообщение про некую конференцию разработчиков, где в итоге для ее проведения оказалось проще по-быстрому поднять jabber-сервер, ибо тот не выжирает столько ресурсов. Спасибо, но нет.

А звонки, мобилки, комьюнити, шифрование - это все и в jabber'e есть. Как минимум - сейчас.

Так что Matrix - пусть, конечно, будет - альтернатива и все такое. Тем более, сейчас возможно взаимодействие XMPP и Matrix. Просто постоянно не покидает ощущение, что вместо того, чтобы в нужное время влиться в доработку XMPP, эта альтернатива строилась по принципу «покажем, что мы не такие как все» и «мы свой, мы новый мир построим». Черт, даже вот эти идентификаторы - @bla:bla.bla - это вообще зачем? Чем не устраивал существующий много десятков лет и используемый повсеместно user@host?

YAR ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

В чате support никаких закреплённых тем, ссылок или подобного

Вчера широковещательное сообщение приходило со стороны сервера. Т.е., его мог прочитать любой пользователь сервера. Фактически, это уже было после того, как проблема «решилась», да. До того - наблюдал все в realtime в support@.

Ну и в целом - на сейчас это уже во всех новостях. На тот момент все было на уровне «происходит какая-то хрень, пытаемся разобраться».

YAR ★★★★★
()
Последнее исправление: YAR (всего исправлений: 1)

Вот так вот. А потом мне мои друзья говорят что я параноик, потому что не доверяю Let’s Encrypt и использую самоподписной ЦС на токене, который храню около как в воровском кармане.

О чём говорить, если центры сертификации контролируют корпорации, которые подвластны государству? А всё доверие к сертам основывается на обещаниях этих корпораций быть честными.

Pierre_Dolle
()
Ответ на: комментарий от seiken

Внезапно, альтернатив-то особо и нет. Ejabberd самый вменяемый серв, если ты хочешь просто собрать пати и закрытенько общаться. Матрикс можно не вспоминать, держу ноду, головняк с ней конечно ещё тот.

Pierre_Dolle
()

Подождите, а разбирательство будет? Суды?

serg002 ★★★
()
Ответ на: комментарий от Dimez

А ты настоящий пользователь джаббера? :)

Просто пользуюсь и всё =)

Это список контактов, мне там вчера пришло всё.

А у меня контактов то и нет, конференции и разовые частные общения, никто со мной периодически и не общается да и не переодически тоже (или наоборот гы) поэтому мне ни от кого ничего не приходило, только пидгин жалвался что сертификат мол прими слышь, а я такой, а вот не приму слышь, подумал что просто сломали сервак и закрыл пидгин, и только на лоре увидел тему (не эту) мол что просрочен серт, ну подумал сломалось автообновление летсэнкрипт же автоматом все обновляют, ну сломалось и сломалось подумал, а оно вон чего. Не тусовался бы я хомячок с вами айтишниками, яб даже ничего не узнал, воть такие вот делишки :3

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от maxcom

Не должен, хорошо. Но нам теперь что, продолжать доверять системе, у которой штатный механизм такой вот плохой?

Aceler ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Сервера jabber.ru и xmpp.ru подверглись MitM атаке со стороны хостинга.
Мы рекомендуем сменить пароль и считать все сообщения за последние полгода скомпрометированными.
Подробности атаки по ссылке: http://notes.valdikss.org.ru/jabber.ru-mitm/

Вопросы можно задать в support@conference.jabber.ru

YAR ★★★★★
()
Ответ на: комментарий от Aceler

Мощный анализ, по уровню технической грамотности вполне соответствует знаменитому wayland кейлоггеру. А ну подать сюда Тяпкина-Ляпкина, пусть ответит за всё.

Вы клованы, из кожи лезете, в попытке пропихнуть идею «безопасности нет, поэтому давайте просто отдадим все ключи товарищу майору, потому что у них там негров линчуют».

Вот только в реальности нет никакой «русофобии» и «двойных стандартов». Есть условно, «Мавроди», отмотавший срок за мошенничество, который переехал в Нигерию, набрал штат местных специалистов по написанию писем о наследстве, и теперь вот требует от специализирующихся сайтов включить его новое агентство по финансовым консультациям в список рекомендуемых или доказательно объяснить причину невключения. Ну и клованы типа тебя, твердящие о презумпции невиновности и о том, что пусть сначала докажут что это очередной мошенничестский схематоз.

Что до текущей ситуации, ну предположим реально немецкий полицай заставил хостера помочь с генерацией левого сертификата (а не, например, российские спецслужбы подкупили админа из jabber.ru), ну, значит не стоит хоститься в Германии. Как из этого следует необходимость отдать ключи от всех дверей минцифре?

khrundel ★★★★
()
Ответ на: комментарий от Aceler

дове́рие cредний род - уверенность в чьей-н. добросовестности, искренности, в правильности чего-н. и основанное на этом отношении к кому-н.

Если про LE, то есть сомнения в их доборосовестности?

vvn_black ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.