Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ktoś podsłuchiwał największy rosyjski serwer Jabbera/XMPP. Atakujący wpadli bo… wygasł im podstawiony certyfikat TLS

23 października 2023, 22:23 | W biegu | komentarzy 8

Tutaj kilka słów o tym, czym jest Jabber / XMPP (w skrócie: komunikator).

Szczegóły incydentu dostępne są w tym opisie. W skrócie:

  1. Ktoś wygenerował certyfikaty TLS dla domen jabber.ru oraz xmpp.ru. W tym celu użyto znanego letsencrypt, jednak nie jest do końca jasne w jaki sposób się to udało (aby wygenerować certyfikat należy w odpowiedni sposób potwierdzić, iż jest się właścicielem domen)
  2. Ktoś wykonał atak podsłuchu (MiTM) pomiędzy serwerami a klientami. Najpewniej wydarzyło się to na poziomie operatorów sieci (Linode / Hetzner)
  3. Mając powyższe dwa punkty, atakujący podstawiał swój certyfikat TLS (ze swoim kluczem prywatnym) – był więc w stanie deszyfrować komunikację, w taki sposób żeby klienci nie połapali się w podstępie.

Wg doniesień atakujący wykonywał operację w kwietniu 2023 roku, a został wykryty przypadkiem, bo wygasł mu certyfikat (z punktu 1 powyżej) – co poskutkowało błędem po stronie klientów.

Na koniec – opis sugeruje, że operację wykonały odpowiednie, niemieckie służby – w porozumieniu z firmami Linode / Hetzner („We believe this is lawful interception Hetzner and Linode were forced to setup.”).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. odpowiedz

    „The affected machines are dedicated server on Hetzner and two virtual servers on Linode, all hosted in Germany.” – Rosjanie hostowali się w Niemczech, okey

    Odpowiedz
  2. seem

    Niekoniecznie trzeba coś potwierdzać. Można po prostu pozyskać plik z kluczem prywatnym.
    Dlatego certyfikaty LE są ważne tylko 3 miesiące. Dodatkowo ludzie mogą „zapominać” wycofać certyfikat po sprzedaży domeny. To bardzo skraca okno czasowe ataku.

    Odpowiedz
  3. Kdk

    Robię się coraz starszy, tak jak zawsze byłem człowiekiem dla którego prywatność jest jednym z najważniejszych praw, tak w kontekście agresji Rosji na Ukrainę jakoś nie czuję specjalnego oburzenia podsłuchiwaniem akurat rosyjskich serwerów. Obdarowując to zdanie zastrzeżeniem, że zdanie jest prawdziwe jeśli to byli hakerzy po naszej stronie Buga.

    Pozdrawiam

    Odpowiedz
  4. Toon

    To był Adam

    Odpowiedz
  5. Zisx

    Ale numer…

    Odpowiedz
  6. Tadeusz

    Dzień dobry, w jaki sposób można zakupić książkę SEKURAKA?
    Pozdrawiam,
    Tadeusz Topka

    Odpowiedz
  7. szabergoj

    W czasach gdzie lojalki mają dostawcy internetu, to nie można się dziwić że ma i letsencrypt czy inni. Chciałbym, żeby INTRANET powrócił… Z dorobkiem wiedzy i dzisiejszego softu to potężna siła na wypadek godziny W. W pełni szyfrowana i od nikogo niezależna infrastruktura. Zakłócenia można wykryć przy odrobinie wiedzy. Nie jest to nielegalne i można jakiegoś Smitha wyłowić z zakłucaczem.
    Słuszna idea tak jak prawo do posiadania broni długiej dla niekaranego właściciela nieruchomości na terenie tejże nieruchomości do obrony jw. Całkowicie niezależne Pany Szlachta :) To jest mental, a nie brak czy posiadanie pieniędzy, czy wpływów. Póki co jakaś inicjatywa, nie bardzo. Wszyscy zdani na kontolowane podmioty wujka gugla i innych. My ci damy „za darmo”, ale jak trza będzie to ci zabierzemy, a na pewno będziemy kontrolować. Pan Alfa i rola becieka. Pan władca i … ? Do wolności trzeba dorosnąć. Nie wiem czy ludzie widzą IIIWŚ ale tam nas pchają. A z mentalem niewolnika zostało tylko czekać co Pan zadecyduje z nami zrobić. Teraz po prostu jaśniej widać pewne rzeczy. Kto sobie nie zdawał sprawy, może teraz zobaczy.

    Odpowiedz

Odpowiedz