Tráfego criptografado interceptado para serviços Jabber na Hetzner e na Linode

 (notes.valdikss.org.ru)
1 pontos por GN⁺ 2023-10-21 | 1 comentários | Compartilhar no WhatsApp
  • Artigo sobre a interferência em tráfego criptografado direcionado ao maior serviço russo de mensagens XMPP (Jabber) na Hetzner e na Linode
  • A interferência foi descoberta devido ao vencimento de um dos certificados de homem-no-meio (MiTM)
  • O redirecionamento de tráfego foi configurado na rede dos provedores de hospedagem, sem indícios de comprometimento do servidor ou ataque de spoofing
  • A espionagem pode ter durado até 6 meses, com 90 dias confirmados
  • Suspeita-se de um ataque que teria sido uma interferência legítima configurada pela Hetzner e pela Linode
  • Um administrador UNIX experiente descobriu a interferência ao ver a mensagem "o certificado expirou"
  • O ataque foi confirmado como um ataque de homem-no-meio que interceptava comunicações criptografadas
  • Os atacantes emitiram vários certificados SSL/TLS via Let’s Encrypt para os domínios jabber.ru e xmpp.ru desde 18 de abril de 2023
  • Em 18 de outubro de 2023, logo após o início da investigação e a realização de testes de rede, o ataque MiTM foi interrompido
  • Deve-se assumir que todas as comunicações de jabber.ru e xmpp.ru durante esse período foram comprometidas
  • Os usuários foram orientados a verificar se há novas chaves OMEMO e PGP não autorizadas no repositório PEP e a trocar suas senhas
  • O artigo sugere vários métodos para prevenir ou monitorar esse tipo de ataque, como configurar monitoramento de transparência de certificados, limitar métodos de validação, monitorar alterações de certificados SSL/TLS em todos os serviços e monitorar mudanças no endereço MAC do gateway padrão

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-21
Opiniões do Hacker News
  • Artigo sobre interceptação de tráfego criptografado visando o serviço Jabber na Hetzner e na Linode
  • Alguns comentários dizem que o uso de mTLS (também conhecido como zero-trust) pode prevenir esse tipo de ataque MITM (Man-in-the-Middle)
  • Sugestão para alvos de alto risco adotarem mecanismos adicionais de autenticação que não dependam de uma CA confiável, como serviços onion do Tor, SSH e WireGuard
  • Destaque para a importância de monitorar mudanças de certificados SSL/TLS em todos os serviços usando serviços externos
  • Alguns comentários sugerem que o ataque pode estar relacionado a investigações sobre cibercrime russo
  • Foi discutido o uso de comunicações com criptografia de ponta a ponta, como OMEMO, OTR ou PGP, como forma de proteção contra interceptação
  • Especulações sobre a possibilidade de um ataque Blue Pill, com vulnerabilidades no servidor xmpp sendo exploradas para injetar um rootkit
  • Alguns comentários dizem que o Jabber está sendo visado por ser usado em atividades ilegais na darknet
  • Destaque para a necessidade de usar PGP nas mensagens, em vez de simplesmente confiar na criptografia
  • Levantada a questão sobre a possibilidade de o PGP ser quebrado por computadores quânticos no futuro