Хакеры несколько месяцев прослушивали зашифрованный трафик в сети Jabber

[Lammer]

20 октября 2023 года администратор jabber.ru (xmpp.ru) обнаружил атаку на протокол обмена мгновенными сообщениями XMPP (Jabber) с зашифрованным прослушиванием TLS-соединений (атака «Человек посередине») серверов службы jabber.ru (также известной как xmpp.ru) у хостинг-провайдеров Hetzner и Linode в Германии, где размещены сервер проекта и вспомогательные VPS-окружения. Атакующие перенаправляли трафик на транзитный узел, который подменял TLS-сертификат для XMPP-соединений, используя расширение STARTTLS.

Неизвестные участники атаки создали отдельный SSL сертификат и проксировали соединения к TCP:5222. Атака была выявлена благодаря ошибке атакующих, которые не продлили TLS-сертификат. Администратор jabber.ru при попытке подключения к сервису столкнулся с ошибкой, связанной с истекшим сроком действия сертификата.

Поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt. Атакующие, имея возможность перехватить трафик к сайтам jabber.ru и xmpp.ru. Первоначально существовали опасения о компрометации сервера проекта, однако аудит не выявил следов взлома.

Также было обнаружено, что подмена производилась не только в сети провайдера Hetzner, но и в сети провайдера Linode. Трафик на 5222 сетевой порт в сетях обоих провайдеров перенаправлялся через дополнительный хост. Это дало основание полагать, что атака могла быть организована лицом, имеющим доступ к инфраструктуре провайдеров.

Подмена сертификата прекратилась после начала разбирательства и обращения к службам поддержки провайдеров. Команда проекта предполагает, что атака могла быть совершена с ведома провайдеров под контролем немецкой полиции или спецслужб.

Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP на предмет возможной подмены.

Все коммуникации между затронутыми датами следует считать скомпрометированными. Нападающий мог получить доступ к спискам контактов, нешифрованным историям сообщений на сервере и даже изменять сообщения в реальном времени. Зашифрованные коммуникации, такие как OMEMO, OTR или PGP, безопасны только в том случае, если обе стороны проверили ключи шифрования.

 

[laptop]

Если это не фейк, то защищенность жабы с PGP теперь под большим вопросом.
Тем более в жабе остались люди в большинстве своем непростые, даже не уровня нашего форума.

 

[Maxmxam]

Если это не фейк, то защищенность жабы с PGP теперь под большим вопросом.
Тем более в жабе остались люди в большинстве своем непростые, даже не уровня нашего форума.

А ты проводил соцопрос, кто из форума до сих пор пользуется джаббером? У меня, например, есть там несколько контактов, которых больше нигде нет. Юзаю его не часто, но отказаться полностью не могу. При чем тут уровень или не уровень вообще.

 

[secretnoname]

Опять Hetzner замешан в каком-то мутняке. Это уже не на совпадение, а на закономерность похоже.

 

[Fernand]

Именно по этому я стараюсь не пользоваться немецкими сервисами, той же tutanota. Они с одной стороны за анонимность топят, а с другой втихую службам своим инфо сливают уже не первый раз.
Пиндосы в этом плане на порядок порядочнее относятся к конфиденциальности данных.

 

[Drayk]

Смотрю MITM - атаки стали очень популярными в наше время.
Очень коварная штука и выявить её не просто. Если бы не забыли продлить сертификат, хз сколько это бы продлилось.

 

[painX]

Опять Hetzner замешан в каком-то мутняке. Это уже не на совпадение, а на закономерность похоже.

Тут более интересная история вырисовывается.
Последние недели две в РФ активно тестируют блокировки к XMPP / Jabber, это не секретная инфа. И при этотм конкретно jabber.ru всегда оставался доступным, хотя находится от на Хетцнере. Я ничего не утверждаю, но наводит на нехорошие мысли.

 

[WhiteHorse]

Слабо верится, что один из крупнейших дата-центов подмахивает нашим спецслужбам в такое время-то.
Думаю есть логичное объяснение этому всему.

 

[painX]

Ну так объясни, с радостью почитаю. Я давно не верю в такие совпадения.
То, что джаббер.ру висит на Hetzner можно легко проверить.
Почему тогда он был все время доступен во время блокировок? И тут новости про поддельный сертификат.

 

[localbtc]

блоки WG и забугорных джаббер-сервисов были только по билайну, поэтому рановато говорить о теориях заговора, быть может что угодно вплоть до банального.
сам тоже не сильно верю, что Hetzner у них находится в white-листе.

 

[Drayk]

При чем блокировки были и по шнурку и по мобильному. Мой сервак на ru vps был доступен.

 

[painX]

При чем блокировки были и по шнурку и по мобильному. Мой сервак на ru vps был доступен.

Вот и я о чем говорю - все буржуйские серваки были заблочены, местные работали и каким-то образом jabber.ru, который ни разу не местный, а тут еще такие новости. Кто аргументированно объяснит почему - с меня плюс в репу.

 

[WhiteHorse]

Все равно не верю, что хетцнер сотрудничает. Они потеряют сильно репутационно, если это окажется правдой.
А это как-никак один из крупнейших дата-центров.

 

[Mars]

Все равно не верю, что хетцнер сотрудничает. Они потеряют сильно репутационно, если это окажется правдой.
А это как-никак один из крупнейших дата-центров.

Не обязательно сотрудничать, простая халатность работников не исключена.
Hetzner уж точно не люксовый провайдер, пользовался им долгое время, знаю о чем говорю.

 

[painX]

Ну да, не исключено, что в датаче свои или завербованные люди это провернули без ведома самого прова, когда все вскрылось - вернули все, как было. Это даже не противоречит новости.
Пофиксили ведь, когда заметили подмену сертификата практически сразу.
Короче хрен его знает, но по жабе лишнего не трындим, а ведь некоторые его, как панацею воспринимали.

 

[jmot77]

Трындеть лишнего и так поменьше надо везде. Но такие атаки не на рядовых кардеров / обнальщиков рассчитаны.

 

[crazy8]

даже не слышал про такой месенджер. стоит ставить себе или нет?
есть преимущество перед сигнал ?

 

[Mars]

даже не слышал про такой месенджер. стоит ставить себе или нет?
есть преимущество перед сигнал ?

Если не слышал, значит нафиг оно тебе не надо. С кем ты там общаться будешь, сам с собой? ))
Он крут своей реальной анонимностью в отличии от обычных мессенджеров.... или был крут.... время покажет.

 

[donverty]

Жаба по-тихоньку отмирает. Раньше любой порядочный селлер в дарке имел его как вариант связи, сейчас смотрю все уже поубирали.

 

[(kent)]

Жаба по-тихоньку отмирает. Раньше любой порядочный селлер в дарке имел его как вариант связи, сейчас смотрю все уже поубирали.

Между собой общаются - знаю точно. А вот клиента с жабой сегодня попробуй найди