Хакеры несколько месяцев прослушивали зашифрованный трафик в сети Jabber
22.10.2023 17:31
20 октября 2023 года администратор jabber.ru (xmpp.ru) обнаружил атаку на протокол обмена мгновенными сообщениями XMPP (Jabber) с зашифрованным прослушиванием TLS-соединений (атака «Человек посередине») серверов службы jabber.ru (также известной как xmpp.ru) у хостинг-провайдеров Hetzner и Linode в Германии, где размещены сервер проекта и вспомогательные VPS-окружения. Атакующие перенаправляли трафик на транзитный узел, который подменял TLS-сертификат для XMPP-соединений, используя расширение STARTTLS.
Неизвестные участники атаки создали отдельный SSL сертификат и проксировали соединения к TCP:5222. Атака была выявлена благодаря ошибке атакующих, которые не продлили TLS-сертификат. Администратор jabber.ru при попытке подключения к сервису столкнулся с ошибкой, связанной с истекшим сроком действия сертификата.
Поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt. Атакующие, имея возможность перехватить трафик к сайтам jabber.ru и xmpp.ru. Первоначально существовали опасения о компрометации сервера проекта, однако аудит не выявил следов взлома.
Также было обнаружено, что подмена производилась не только в сети провайдера Hetzner, но и в сети провайдера Linode. Трафик на 5222 сетевой порт в сетях обоих провайдеров перенаправлялся через дополнительный хост. Это дало основание полагать, что атака могла быть организована лицом, имеющим доступ к инфраструктуре провайдеров.
Подмена сертификата прекратилась после начала разбирательства и обращения к службам поддержки провайдеров. Команда проекта предполагает, что атака могла быть совершена с ведома провайдеров под контролем немецкой полиции или спецслужб.
Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP на предмет возможной подмены.
Все коммуникации между затронутыми датами следует считать скомпрометированными. Нападающий мог получить доступ к спискам контактов, нешифрованным историям сообщений на сервере и даже изменять сообщения в реальном времени. Зашифрованные коммуникации, такие как OMEMO, OTR или PGP, безопасны только в том случае, если обе стороны проверили ключи шифрования.
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы:
13 818
Сообщения:
80 710
Пользователи:
10 505
Комментарий от laptop
Тем более в жабе остались люди в большинстве своем непростые, даже не уровня нашего форума.
Комментарий от Maxmxam
Комментарий от secretnoname
Комментарий от Fernand
Пиндосы в этом плане на порядок порядочнее относятся к конфиденциальности данных.
Комментарий от Drayk
Очень коварная штука и выявить её не просто. Если бы не забыли продлить сертификат, хз сколько это бы продлилось.
Комментарий от painX
Последние недели две в РФ активно тестируют блокировки к XMPP / Jabber, это не секретная инфа. И при этотм конкретно jabber.ru всегда оставался доступным, хотя находится от на Хетцнере. Я ничего не утверждаю, но наводит на нехорошие мысли.
Комментарий от WhiteHorse
Думаю есть логичное объяснение этому всему.
Комментарий от painX
То, что джаббер.ру висит на Hetzner можно легко проверить.
Почему тогда он был все время доступен во время блокировок? И тут новости про поддельный сертификат.
Комментарий от localbtc
сам тоже не сильно верю, что Hetzner у них находится в white-листе.
Комментарий от Drayk