LINUX.ORG.RU

MITM-атака на JABBER.RU и XMPP.RU

 , ,

MITM-атака на JABBER.RU и XMPP.RU

4

8

Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.

Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.

Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от Smacker

:) ну вот есть яндекс браузер, они могут ca минцифры всунуть и будет вам отечественный ca в отдельно взятом манямирке. а хром и фф пошлют вас с отечеством куда подальше по вышеуказанным причинам.

mrdeath ★★★★★
()
Ответ на: комментарий от gns

https://habr.com/ru/articles/765334/

Ой, какая мякотка. Там ещё в комментариях @Shpankov плановую экономику нахваливает, клеймит хрущёвский ревизионизм и оплакивает предательство социализма. Я-то думал, что маоизм тихо скончался, а он живее всех живых.

ivanov17
()
Ответ на: комментарий от Zeta_Gundam

национальный CA для Сбербанка и Госуслуг нужен

У тайваньского минцифры, например, есть свой CA и никто почему-то не переживает https://grca.nat.gov.tw/GRCAeng/index.html. В целом с точки зрения безопасности государства иметь национальный СА разумно. Чтобы гос. сервисы не оказались в зависимости от коммерческих структур, а тем более коммерческих структур работающих в другой юрисдикции. Точно так же крупные компании создают СА для внутренней ИТ инфры

cobold ★★★★★
()
Ответ на: комментарий от ivanov17

Леваки и коммунисты неистребимы как плесень. Идея-то хорошая, но до тех пор, пока не возникает вопрос «а за чей счет банкет» :)

gns ★★★★★
()
Ответ на: комментарий от seiken

Если до сих пор развивают и продают, получается кому-нибудь да и нужно.

Pierre_Dolle
()
Ответ на: комментарий от ivanov17

Не очень понял, чем автор статьи недоволен. Предлагает местным интернет-ресурсам, которым отказали продлевать сертификаты, вообще без сертификатов сидеть?

grem ★★★★★
()
Ответ на: комментарий от gns

не вижу там никакого глума, максимум ирония с сарказмом.

тем более, что по делу

ну а так Исаков всегда был ехиден.))))

вот в комментах там да, как обычно, ад и изгаиль

mumpster ★★★★★
()
Ответ на: комментарий от grem

нет, на самом деле не так.

он критикует очевидные ляпы и очковтирательство.

ведь там т.н. «импортозамещение» наполовину в стиле «наклеим Маяк на шильдики СуньХуня». т.е. даже до уровня миландровской микросхемы в мониторе ещё не доросли.

плюс прямые и серьёзные юридические ляпы в виде отсутствия законных полномочий на такие действия. вообще-то по законодательству РФ это как минимум на самоуправство.

mumpster ★★★★★
()
Ответ на: комментарий от Zeta_Gundam

полный промискуитет или схема с «CA над всеми CA».

но между прочим - именно так это и задумано и работает глобально - под эгидой МинТорга США и соответствующих добрых и правильных майоров из «5 Глаз»

mumpster ★★★★★
()
Ответ на: комментарий от praseodim

Так сор уже вынесли из избы когда опубликовали факт вовлечения провайдеров. Теперь провайдерам или нужно сказать что они ведут внутреннее расследование или молчать, т.к. местный закон запрещает им разглашать факт обращения правоохранительных органов

cobold ★★★★★
()
Ответ на: комментарий от cobold

местный закон запрещает им разглашать факт обращения правоохранительных органов

Цитадель_свободы.джпг

alex1101
()

Неможетбыть, вывсёврети, вынепонимаете, этодругое, это правильный демократический MitM, он полезен и безопасен!

no-dashi-v2 ★★★
()

Не очень понятно с чего все решили, что это какая-то немецкая спецслужба, а не тот же самый кейджиби, агентов которого по всей Европе хоть попой кушай.

Ещё какая-то «штази» откуда-то всплыла, которая закончилась вместе с дрезденской карьерой нынешнего президента РФ.

ivanov17
()

Что могли бы сделать уже сейчас - ограничить, каким сайтам подходит корневой сертификат. Чтобы можно было, к примеру, установить корневой сертификат, скажем, от яндекса и сказать что он подходит только для сайтов яндекса, но никак не для гугл.ком и наоборот.

Тогда установка корневых сертификатов не была бы проблемой. Если я ставлю корневой сертификат для джаббер.ру и прописываю что он только для джаббер.ру и все остальные сертификаты - негодные.

sena ★★
()
Последнее исправление: sena (всего исправлений: 2)
Ответ на: комментарий от thesis

Предложение, от которого нельзя отказаться, можно сделать и работнику саппорта, для этого не обязательно быть членом правления Hetzner. Ничего особенно сложного для профессионалов.

Фантазировать можно примерно что угодно. Чем моя фантазия про кейджиби принципиально хуже других в этом треде?

ivanov17
()
Ответ на: комментарий от sena

Что могли бы сделать уже сейчас - ограничить, каким сайтам подходит корневой сертификат.

Это не помогло бы, потому что у них тот же самый LE :)))

cumvillain
()
Ответ на: комментарий от cumvillain

Тогда LE для работы уже не нужен. Джаббер выдавал бы пользователям свой корневой сертификат. Но он подходил бы только к его сайтам.

Короче говоря, нужна более широкая и удобная поддержка самоподписанных сертификатов в браузерах и приложениях.

Плюс расширенная система доверенных цепочек…

sena ★★
()
Ответ на: комментарий от cumvillain

А зачем сайту про котиков с возможностью донатов через патреон заниматься всей это ерундой с https, скажи пожалуйста? 80% сайтов с https не имеют необходимости защищаться от чего бы то ни было.

Но гугл неумолим, и впендюрил всем https. Мог бы быть также неумолим и в отношении ещё одной строчки в DNS. Подозреваю, что рано или поздно они сделают это обязательным, просто пока рано, поддержка полей CAA появилась ещё не везде.

Aceler ★★★★★
()
Ответ на: комментарий от ivanov17

Отсутствием реакции со стороны провайдеров

cobold ★★★★★
()
Ответ на: комментарий от sena

Короче говоря, нужна более широкая и удобная поддержка самоподписанных сертификатов в браузерах и приложениях.

Так она есть, для тех кто понимает что делает.

cumvillain
()
Ответ на: комментарий от Aceler

А зачем сайту про котиков с возможностью донатов через патреон заниматься всей это ерундой с https, скажи пожалуйста? 80% сайтов с https не имеют необходимости защищаться от чего бы то ни было.

Чтобы твой провайдер рекламу в канал не сунул. И чтобы твой браузер не орал ААААА ЭТОТ САЙТ НЕЗАЩИЩЕННЫЙ. И чтобы кулхацкеры в кафе не слили твою переписку.

Но гугл неумолим, и впендюрил всем https.

Потому что защита канала от перехвата это хорошо.

cumvillain
()
Ответ на: комментарий от sena

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

Это не имеет смысла без DoT/DoH, где ты внезапно нарываешься на проблему курицы и яйца.

cumvillain
()
Ответ на: комментарий от cumvillain

Поставлять ключи неймсерверов вместо trusted root ca в осях и браузерах, раз уж зло неизбежно. А не сертификаты кучи каких-то васянов, которые воздух продают.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Поставлять ключи неймсерверов вместо trusted root ca в осях и браузерах, раз уж зло неизбежно.

Их слишком много.

А не сертификаты кучи каких-то васянов, которые воздух продают.

LE бесплатный.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

И чтобы твой браузер не орал ААААА ЭТОТ САЙТ НЕЗАЩИЩЕННЫЙ.

О чём и речь. Вот пусть и орёт, если сертификат недостаточно качественный.

Потому что защита канала от перехвата это хорошо.

Защита сайта от хостера это тоже хорошо. Так что вся надежда на гугл.

Aceler ★★★★★
()
Ответ на: комментарий от mumpster

А что, у зарубежных центров были юридические полномочия выдавать сертификаты в зоне ru?

Возможно, что они нужны, но автор не приводит на основании какого закона требуется разрешение выдавать сертификаты.

grem ★★★★★
()
Ответ на: комментарий от cumvillain

Их слишком много.

Фсмыслий? Я всего лишь предлагаю растянуть свтлые идеи DNSSEC и на HTTPS тоже.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

Я говорю о том, что можно сделать уже сейчас, просто немного модифицировав клиентскую часть.

А так да, «у вас тут всю систему менять надо» :)

ЗЫ Публичные ключи надо как-то безопасно распространять и ещё и отзывать. Просто разместить их в ДНС недостаточно. Да и саму ДНС надо тоже полностью переделывать.

sena ★★
()
Последнее исправление: sena (всего исправлений: 4)
Ответ на: комментарий от cumvillain

На десктопе корневой сертификат будет использоваться для всех, а не для выбранных сайтов. А в Андроиде вообще всё плохо - корневые сертификаты вообще куда-то запрятали…

sena ★★
()
Последнее исправление: sena (всего исправлений: 1)
Ответ на: комментарий от mumpster

Допустим. Автор статьи приводит ссылки на законодательство? Ресурсы, использующие его, недобровольно их применяют?

Он предлагает альтернативное решение или просто решил поворчать? Ему не разрешают создать свой центр сертификации?

Я не понимаю, в чём проблема то?

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 3)
Ответ на: комментарий от thesis

отрицает более простое объяснение

Ну, то есть, то, что немцам захотелось почитать русскоязычных чатиков и они устроили цирк с конями, это более простое объяснение, окей.

А для кейджиби это очень сложно, там заграница, а у них лапки и майору Петрову визу не дали. И вообще им такое не интересно.

Как потравить десяток человек в немецкой гостинице, так пожалуйста, а тут сложности.

Пока про эту историю известно только то, что был факт MITM-атаки. Дальше все могут фантазировать что угодно.

ivanov17
()
Ответ на: комментарий от ivanov17

Да, можно фантазировать что угодно, но логичнее предполагать, что за событиями в Германии стоят немцы, в США - американцы, на Земле - земляне и так далее. Иначе ты внезапно обнаруживаешь себя в шапочке из фольги отбивающимся от наседающих рептилоидов томиком Климова.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Мы можем только предполагать заинтересованную сторону.

Но вот отсутствие интереса у русских спецслужб к наиболее крупному русскоязычному джабберу я бы не стал отрицать. Тем более, что владельцы ресурса, как я понимаю, не в России, просто так на беседу не вызовешь.

А считать, что границы как-то останавливают те или иные спецслужбы от ведения необходимой деятельности, выглядит как-то наивно.

ivanov17
()
Ответ на: комментарий от ivanov17

Но вот отсутствие интереса у русских спецслужб к наиболее крупному русскоязычному джабберу я бы не стал отрицать.

Палок ради им хватает вк, пользователи которого никак не научатся.

cumvillain
()
Ответ на: комментарий от ivanov17

Я не отрицаю ничего, лишь делюсь своими соображениями по поводу приоретизации, эммм, фантазий.

thesis ★★★★★
()
Ответ на: комментарий от cumvillain

Ментам-то понятное дело, что ни на что не сдался. А для гебья это вполне в зоне интересов, но вне возможности прямого контроля.

Обычный человек во вконтактике сидит, там же и с иностранными шпионами из райотдела ведёт переписку. А в этом случае люди особенные, явно что-то злоумышляют. Тем более что сбежали.

ivanov17
()
Последнее исправление: ivanov17 (всего исправлений: 1)
Ответ на: комментарий от ivanov17

Ну, то есть, то, что немцам захотелось почитать русскоязычных чатиков и они устроили цирк с конями, это более простое объяснение, окей.

А для кейджиби это очень сложно, там заграница, а у них лапки и майору Петрову визу не дали. И вообще им такое не интересно.

В тексте новости есть неточность или не очень стилистически правильное выражение. Провайдер Linode - американский. И вот это существенно все меняет.

Лапки не лапки, но кто вероятнее всего может это сделать?

praseodim ★★★★★
()
Ответ на: комментарий от maxcom

Судя по описанию, доступному по вышеприведённой ссылке, это просто один из факторов, добавляющий свои «5 копеек» в итоговую надёжность.

Странно, что в CAA или другими способами нельзя ограничить стратегию валидации через DNS (во всяком у Let’s encrypt про это не написано). Понятно, что DNS-01 чуть надёжнее чем HTTP-01, за счёт того, что доступ к зоне может быть выдан людям, отличным от тех, кто имеет «каждодневный» доступ к конфигурации web-серверов (и вообще, зоны можно потенциально размещать на более надёжной и доверенной, хотя и дорогой инфраструктуре, в отличие от хостов, генерирующих трафик).

allter149
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.