LINUXTALKS.CO

Админ jabber.ru выявил MITM-атаку, проводимую на сервис в сетях немецких хостинг-провайдеров Hetzner и Linode

 ,

L


0

1

20 октября 2023 года администратор jabber.ru (xmpp.ru) сообщил о выявлении атаки по расшифровке трафика пользователей (MITM), проводимой в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. На этих IT-ресурсах размещён сервер проекта и вспомогательные VPS-окружения. Атака была организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использованием расширения STARTTLS.

Неизвестные участники этой атаки выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222.

Согласно данным OpenNET, атака была обнаружена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены.

16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат отличается от сертификата, отправляемого сервером.

Первый поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt, в котором атакующий, имея возможность перехватить трафик, смог подтвердить доступ к сайтам jabber.ru и xmpp.ru.

Вначале у администрации jabber.ru возникло предположение о компрометации сервера проекта и выполнении подмены на его стороне. Но проведённый аудит не выявил никаких следов взлома. При этом в логе на сервере было замечено кратковременное выключение и включение сетевого интерфейса (NIC Link is Down/NIC Link is Up), которое было произведено 18 июля в 12:58 и могло свидетельствовать о манипуляциях с подключением сервера к коммутатору. Примечательно, что два поддельных TLS-сертификата были сгенерированы за несколько минут до этого - 18 июля в 12:49 и 12:38.

Кроме того, подмена производилась не только в сети провайдера Hetzner, в котором размещён основной сервер, но и в сети провайдера Linode, в котором размещались VPS-окружения со вспомогательными прокси, перенаправляющими трафик с других адресов. Косвенным путём было выяснено, что трафик на 5222 сетевой порт (XMPP STARTTLS) в сетях обоих провайдеров перенаправляется через дополнительный хост, что дало основание полагать, что атака произведена лицом, имеющим доступ к инфраструктуре провайдеров.

Теоретически подмена могла производиться с 18 апреля (дата создания первого поддельного сертификата для jabber.ru), но подтверждённые случаи подмены сертификата зафиксированы только с 21 июля по 19 октября, всё это время шифрованный обмен данными с jabber.ru и xmpp.ru можно считать скомпрометированным.

Подмена сертификата прекратилась после начала разбирательства, проведения тестов и направления 18 октября запроса в службу поддержки провайдеров Hetzner и Linode. При этом дополнительный переход при маршрутизации пакетов, отправляемых на 5222 порт одного из серверов в Linode, наблюдается и ныне, но сертификат теперь не подменяется.

Командой проекта предполагается, что атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов, в результате взлома инфраструктур обоих провайдеров или сотрудником, имевшим доступ к обоим провайдерам. Имея возможность перехвата и модификации XMPP-трафика, атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями, а также мог отправлять сообщения от чужого имени и вносить изменения в чужие сообщения. Сообщения, отправленные с использованием сквозного шифрования (OMEMO, OTR или PGP), можно считать не скомпрометированными, если ключи шифрования подтверждены пользователями на обеих сторонах соединения.

Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP в своих PEP-хранилищах на предмет возможной подмены.

>>> Подробности

★★★★★★★★★★★

Вот и держи серваки теперь у дешёвых хостеров. Совсем охренели.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

Нахер этот хецнер, перенесу лучше свой матрикс на AWS.

Еще совсем недавно крипт кричал на весь форум, что у меня бэкдор, а вышло то вон оно как.

Aleksandra    
★★★★★
Linux / Firefox
Ответ на: комментарий от Kaschenko

Ну да, что могло пойти не так

Да все.

Aleksandra    
★★★★★
Linux / Firefox
Ответ на: комментарий от Aleksandra

Ну хецнер один из самых бюджетных хостинг сервисов, дешевле только аруба насколько я знаю.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от Aleksandra

Есть мнение, что жаббер.ру сломали неспроста.

Билайн Москва (проводной и мобильный).
Со вчерашнего вечера опять начались блокировки VPN (OpenVPN, Wireguard).
А теперь - внимание, новинка!
Помимо протоколов VPN, заблокировали также протокол… Jabber.
Да, я им пользуюсь в 2023 году для личной переписки, и у меня есть свой личный сервер. Эдакий семейный мессенджер у меня.
Методика блокировки очевидно такая же - через DPI по сигнатурам.
Если используется STARTTLS, то после отправки клиентом пакета об установке шифрованного соединения, ответный пакет сервера блокируется, а клиенту вместо него прилетает RST пакет.
Если же STARTTLS отключен и используется нешифрованное соединение, то после отправки клиентом пакета response с данными для аутентификации, блокируется ответный пакет сервера, сообщающий о результате аутентификации, а клиенту так же вместо него прилетает RST пакет.
Блокировка (VPN и Jabber’а) наблюдается только на Билайне (провод и моб).
МТС (моб), Мегафон (моб), Йота (моб), Ростелеком (провод) - блокировки нет.
Интересно, что блокируется доступ к моему личному jabber-серверу, расположенному на VPS в OVH. При этом доступ, например, к jabber.ru 10 (находящемуся в Хетцнере) - работает нормально.

обсуждение

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

В РФ стали блокировать XMPP для всех, кроме жаббер.ру. Совпадение?

Пока все мои коллеги по работе находящиеся в России на связи, у многих из них не jabber.ru.

Aleksandra    
★★★★★
Linux / Firefox
Ответ на: комментарий от Aleksandra

Еще совсем недавно крипт кричал на весь форум, что у меня бэкдор, а вышло то вон оно как.

ну да, немцам че-то мутить приходится, MITM, сертификаты… а у вас это просто штатная неотключаемая хрень с интеграцией в биллинг. даже без прикрытия. и дикие обидки после того, как вещи назвали своими именами. действительно. что не так-то.

Пока все мои коллеги по работе находящиеся в России на связи, у многих из них не jabber.ru.

«да кому вы нужны!» (твои слова)

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 3)

FreeBSD / Chrome
Ответ на: комментарий от cocucka

Нахер этот хецнер, перенесу лучше свой матрикс на AWS.

подожи, но ты же на днях писал про клуб «че такого, если кто пишет в инет, то пусть будет готов к утечеке». а тут сразу переносить, все дела.

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от crypt

Я про публичный интернет говорил с недоверенными пользователями, а не про личный сервер для общения с людьми, которых я знаю лично.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

дада, понял уже. свои личные данные – это важно, а в клуб всякое г*вно стекается, можно не париться. с таким подходом, конечно, к александре надо было ставить.

а помнишь форумчане перед этим треды про приватность создавали? мы бы им сразу и написали так… «никакой приватности, скрыто для видимости».

недоверенными

поэтому я и проверял вручную.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 2)

FreeBSD / Chrome
Ответ на: комментарий от crypt

поэтому я и проверял вручную.

Что ты там проверял, лол. Паспорт, прописку, состоит ли в органах?

а помнишь форумчане перед этим треды про приватность создавали? мы бы им сразу и написали так… «никакой приватности, скрыто для видимости».

Какая нах приватность, если вся переписка нешифрованая на серваке лежит? Ты совсем упоролся?

Мы никуда не выкладываем переписки из Клуба, доступ снаружи ограничен, вот и вся приватность.

свои личные данные – это важно,

Да, важно. У меня специально поднят личный сервак с E2E шифрованием.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

я понимаю, что ты совершенно далек от темы (я не буду писать «лол»), поэтому объясню азы. в случае с безопасностью не существует абсолютной безопасности. это всегда адекватный уровень применительно к ситуации: у нас типа политический форум. поэтому мы а) разместили форум не в россии и уже для порядка на самом форуме б) я проверяю, что юзер с репутацией, использует проверенную учетку. кащенко вон половину лично знает.

я поднял свой движок вообще зачем? почему мы не запустили тг канал? потому что форум? нет, твой технический форум нахрен никому не нужен. (я говорил @maxcom, что половина лора - это токсы, ну а здесь это вообще смешно слышать) люди используют движок как чат. и нет, не потому что на форуме чатиться оперативнее. я запустил свой клуб именно, чтобы данные лежали у меня.

Мы никуда не выкладываем переписки из Клуба, доступ снаружи ограничен, вот и вся приватность.

я бы тебе еще про один инцидент напомнил… где он не был так ограничен…. но не буду.

Да, важно.

а вот мне было важно и как клуб организован. а у тебя тяп-ляп какой-то получается. слеплю технический форум, но не буду им заниматься. слеплю политический - но приватность не сильно волнует. и т.д. зато ой-ой-ой вдруг мой Матрикс разведка прослушает, перенесу! неадекватное маленько отношение к тому, что делаешь, имхо.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 8)

FreeBSD / Chrome
Ответ на: комментарий от shikata_ga_nai

лишь бы приватные чаты в телеге не использовать

А они приватные?

Aleksandra    
★★★★★
Linux / Firefox
Ответ на: комментарий от crypt

Ты опять уехал в какую-то свою степь?

ЛТ, как и любой другой публичный сервис, не может быть доверенным априори. Если ты не заметил, я сюда свои персональные данные не выкладываю, даже несмотря на то, что я админю этот сервак. Где гарантия, что условный Кащенко завтра не выложит всю переписку из Клуба в паблик, наделав скриншотов?

Мой личный, приватный мессенджер это другое дело. Я принимаю меры для снижения возможной поверхности атаки. Я там переписываюсь с людьми, которым доверяю (никому на ЛТ, кстати, я не доверяю). Мне важно чтобы та инфа, которая пересылается через тот канал, была защищена достаточно надёжно. Я не хочу чтобы мои сообщения индексировал фейсбук и показывал мне рекламу или чтобы их читал ещё и тов.майор в телеге. Заметь, я несчитаю свои данные в полной безопасности и там, просто за счёт принятых мною мер, вероятность утечки мала.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

а ведь он задал совершенно резонный вопрос.

ЛТ, как и любой другой публичный сервис, не может быть доверенным априори.

ну если не играть в игру с огораживанием, как я, то и нафига свой сайт-то вообще держать. он прав, есть куча app as a service.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 1)

FreeBSD / Chrome
Ответ на: комментарий от cocucka

[ после 4х часов сна? ну как умею… ]

вопрос этот задавали уже: если тебе неважно, у кого данные, почему не использовать приватные чаты в телеге или любой другой готовый сервис SAAS?

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 1)

FreeBSD / Chrome
Ответ на: комментарий от crypt

Конкретно этот вопрос, в контексте диалога, про целесообразность поднятия личного сервера для переписок vs приватные чаты в телеге. @shikata_ga_nai считает, что это нах не нужно. Ему из Молдовы виднее.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

я думаю, ты его не понял. он отвечал на

сосиска > Я про публичный интернет говорил с недоверенными пользователями…

вот на первую часть он тебе и ответил. вместо вот этого он тебе и предложил тг.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 1)

FreeBSD / Chrome
Ответ на: комментарий от crypt

Нет, в телеге нет групповых чатов с шифрованием. Он именно про персональные мессенджеры.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от shikata_ga_nai

приватные чаты в телеге работают только тет-а-тет, и имеют другие ограничения

для разговора 3+ человек они не подходят

ThePlayerZero    
★★
Windows / Chrome
Ответ на: комментарий от cocucka

аа.. ну зато для лт не нужны групповые с шифрованием. ты же и так не можешь ничего гарантировать. вдруг завтра кащенко… так что вопрос, зачем при таком отношении подымать что-то свое для лт, все еще в силе.

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от tiinn

Совсем распоясались русские хакеры! :)

атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов

Нет, это немчюра балуется. Да и фиг знает, чем там занимались, в этом jabber.ru…..

odalist    
★★★★★★★
Последнее исправление: odalist (всего исправлений: 1)

Linux / Firefox
Ответ на: комментарий от odalist

да, цель странная. настоящие шифровальщики не будут использовать публичный сервер, а general population не будет использовать jabber.ru. кому он вообще нужен? паре гиков?

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от crypt

Всё, что я хотел сказать по этому вопросу – в манифесте. Повторяться я не собираюсь.

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

где твой манифест, напомни мне? схожу посмотрю, есть ли там хоть слово, почему нужно подымать свою площадку, а не использовать SAAS.

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от ThePlayerZero

Что-то вроде stack-overflow

а за 1,5 года можно было бы чему-то научиться:( мы даже первоначальные сосиски разделы типа Legal issues in IT все убрали, сколько он их насоздавал и они были пустыми… эти разделы без модератора-эксперта вроде Всеволода-линуксоида не могут даже функционировать. там один торн иначе будет.

crypt    
★★☆☆☆
Последнее исправление: crypt (всего исправлений: 3)

FreeBSD / Chrome
Ответ на: комментарий от cocucka

Всё, что я хотел сказать по этому вопросу – в манифесте. Повторяться я не собираюсь.

ты учиться, а не повторяться не собираешься..

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от Aleksandra

Пока все мои коллеги по работе находящиеся в России на связи, у многих из них не jabber.ru

агенты узбекской разведки? пользуются джаббером для связи с центром?

Harald    
★★★★★★
Linux / Firefox
Ответ на: комментарий от ThePlayerZero

А, тогда ладно, ну хоть диалоги шифруются.

shikata_ga_nai    
★★★★★
Android / Chrome
Ответ на: комментарий от Harald

агенты узбекской разведки? пользуются джаббером для связи с центром?

Те кто работают на нас.

Aleksandra    
★★★★★
Android / Chrome
Ответ на: комментарий от Kaschenko

Так это тот же ОП

cocucka    
★★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от Harald

нет ничего надёжнее подкроватного локалхоста

В связи с этим вопрос - а как получить домашний статический ip? Его у кого-нибудь дают?

У нас только ipv6, и то за деньги!

JamesHolden    
★★★★★★★
Linux / Chrome
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90