[Блог Правда]
Величайшие преступления совершаются из-за стремления к избытку, а не к предметам первой необходимости, - Аристотель.

MITM атака против Jabber/XMPP сервера.
Пятница, 20-Октябрь-2023. Курск.

Некто организовал продолжительную атаку "человек посередине" против известного Jabber/XMPP сервера. В результате этого подвергался компрометации на протяжении от 3 месяцев до 6 шифрованный обмен данными пользователей с сервером. Сообщения, отправленные с использованием сквозного шифрования (OMEMO, OTR или PGP), можно считать не скомпрометированными, если ключи шифрования подтверждены пользователями на обеих сторонах соединения.

Напомню, что отпечатки моих PGP и OTR ключей объявлены для сверки на странице обратной связи, которая, в свою очередь, подписана мной с применением известного PGP ключа.

Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.

Атака была замечена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены. 16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат отличается от сертификата, отправляемого сервером. Первый поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let′s Encrypt, в котором атакующий, имея возможность перехватить трафик, смог подтвердить доступ к сайтам jabber.ru и xmpp.ru.

Вначале возникло предположение о компрометации сервера проекта и выполнении подмены на его стороне. Но проведённый аудит не выявил никаких следов взлома. При этом в логе на сервере было замечено кратковременное выключение и включение сетевого интерфейса (NIC Link is Down/NIC Link is Up), которое было произведено 18 июля в 12:58 и могло свидетельствовать о манипуляциях с подключением сервера к коммутатору. Примечательно, что два поддельных TLS-сертификата были сгенерированы за несколько минут до этого - 18 июля в 12:49 и 12:38.

Кроме того, подмена производилась не только в сети провайдера Hetzner, в котором размещён основной сервер, но и в сети провайдера Linode, в котором размещались VPS-окружения со вспомогательными прокси, перенаправляющими трафик с других адресов. Косвенным путём было выяснено, что трафик на 5222 сетевой порт (XMPP STARTTLS) в сетях обоих провайдеров перенаправляется через дополнительный хост, что дало основание полагать, что атака произведена лицом, имеющим доступ к инфраструктуре провайдеров.

Теоретически подмена могла производиться с 18 апреля (дата создания первого поддельного сертификата для jabber.ru), но подтверждённые случаи подмены сертификата зафиксированы только с 21 июля по 19 октября, всё это время шифрованный обмен данными с jabber.ru и xmpp.ru можно считать скомпрометированным. Подмена прекратилась после начала разбирательства, проведения тестов и направления 18 октября запроса в службу поддержки провайдеров Hetzner и Linode. При этом дополнительный переход при маршрутизации пакетов, отправляемых на 5222 порт одного из серверов в Linode, наблюдается и ныне, но сертификат теперь не подменяется.

Предполагается, что атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов, в результате взлома инфраструктур обоих провайдеров или сотрудником, имевшим доступ к обоим провайдерам. Имея возможность перехвата и модификации XMPP-трафика, атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями, а также мог отправлять сообщения от чужого имени и вносить изменения в чужие сообщения. Сообщения, отправленные с использованием сквозного шифрования (OMEMO, OTR или PGP), можно считать не скомпрометированными, если ключи шифрования подтверждены пользователями на обеих сторонах соединения. Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP в своих PEP-хранилищах на предмет возможной подмены.

opennet.ru.

Публикация. Подпись. Ключ.

#2023, #россия, #германия, #конфиденциальность

[Оставить комментарий] [Инструкция] ID=3bc8f24d96e58f9a56c6b280d499e050d4d4d5

Всего комментариев 0.

#2014, #2015, #2016, #2017, #2018, #2019, #2020, #2021, #2022, #2023, #2024, #covid-19, #cypherpunk, #албания, #александровка, #банк, #беженец, #бездействие, #безопасность, #блог, #цифровизация, #цинизм, #деградация, #декларация, #дискриминация, #донецк, #достоинство, #дума, #енакиево, #ер, #еспч, #европа, #франция, #геноцид, #германия, #горловка, #губернатор, #ирвино, #испания, #капитализм, #кировск, #кировское, #коминтерново, #кондрашовка, #конфиденциальность, #конфликт, #конституция, #конвенция, #коррупция, #краматорск, #красноармейск, #красногоровка, #курск, #лдпр, #луганск, #макеевка, #мальта, #мариуполь, #министерство, #министр, #нарушение, #недоверие, #обсе, #оон, #пенсия, #первомайск, #почта, #председатель, #преступление, #президент, #прихоти, #произвол, #прокурор, #протест, #япония, #ясиноватая, #ясногорка, #референдум, #реклама, #ркн, #россия, #саудовскаяаравия, #сеть, #северодонецк, #славянск, #словакия, #снежное, #ссср, #стаханов, #суд, #суходольск, #сша, #тельманово, #украина, #уполномоченный, #жалоба, #важно, #великобритания, #воз, #заявление, #здравозахоронение, #зугрэс, #швейцария, #эквадор

При перепечатке - ссылка на [Блог Правда] обязательна. Безусловно запрещено использование контента настоящего сетевого ресурса: государственным организациям и аффилированным лицам; коммерческим организациям и аффилированным лицам; лицам и организациям, которые заняты разработкой/эксплуатацией искусственного интеллекта или содействуют такой разработке/эксплуатации; в коммерческих или маркетинговых целях; для извлечения материальной или любой иной выгоды. Объявленная воля автора не может быть умалена и/или отменена никем и ничем, ни под каким предлогом.