Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов.
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!
Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.
Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.
Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.
А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.
Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!