มีการดักทราฟฟิกที่เข้ารหัสซึ่งมุ่งเป้าไปยังบริการ Jabber บน Hetzner และ Linode

 (notes.valdikss.org.ru)
1 คะแนน โดย GN⁺ 2023-10-21 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บทความเกี่ยวกับการแทรกแซงทราฟฟิกที่เข้ารหัสซึ่งมุ่งเป้าไปยังบริการส่งข้อความ XMPP (Jabber) รายใหญ่ที่สุดของรัสเซียบน Hetzner และ Linode
  • การแทรกแซงนี้ถูกค้นพบจากการที่ใบรับรอง MiTM ใบหนึ่งหมดอายุ
  • มีการตั้งค่าเปลี่ยนเส้นทางทราฟฟิกไว้ในเครือข่ายของผู้ให้บริการโฮสติ้ง โดยไม่พบสัญญาณของการเจาะเซิร์ฟเวอร์หรือการโจมตีแบบสวมรอย
  • การดักฟังอาจดำเนินต่อเนื่องนานสูงสุด 6 เดือน และยืนยันได้แล้วอย่างน้อย 90 วัน
  • คาดว่าเป็นการโจมตีที่เกิดจากการแทรกแซงโดยชอบด้วยกฎหมายซึ่ง Hetzner และ Linode ต้องเป็นผู้ตั้งค่า
  • ผู้ดูแลระบบ UNIX ที่มีประสบการณ์พบการแทรกแซงนี้หลังเห็นข้อความว่า "ใบรับรองหมดอายุแล้ว"
  • ยืนยันว่าเป็นการโจมตีแบบคนกลาง (MiTM) ที่ดักการสื่อสารแบบเข้ารหัส
  • ผู้โจมตีออกใบรับรอง SSL/TLS หลายใบผ่าน Let’s Encrypt สำหรับโดเมน jabber.ru และ xmpp.ru หลังวันที่ 18 เมษายน 2023
  • เริ่มการสอบสวนเมื่อวันที่ 18 ตุลาคม 2023 และการโจมตีแบบ MiTM ก็หยุดลงทันทีหลังจากมีการทดสอบเครือข่าย
  • ต้องถือว่าการสื่อสารทั้งหมดของ jabber.ru และ xmpp.ru ในช่วงเวลาดังกล่าวถูกเจาะทั้งหมด
  • มีการขอให้ผู้ใช้ตรวจสอบว่ามีกุญแจ OMEMO และ PGP ใหม่ที่ไม่ได้รับอนุญาตอยู่ในที่เก็บ PEP หรือไม่ และให้เปลี่ยนรหัสผ่าน
  • บทความเสนอหลายวิธีเพื่อป้องกันหรือติดตามการโจมตีประเภทนี้ เช่น การตั้งค่าการติดตามความโปร่งใสของใบรับรอง, การจำกัดวิธีการตรวจสอบ, การติดตามการเปลี่ยนแปลงใบรับรอง SSL/TLS ในทุกบริการ, และการติดตามการเปลี่ยนแปลง MAC address ของ default gateway

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-21
ความคิดเห็นจาก Hacker News
  • บทความเกี่ยวกับการดักจับทราฟฟิกที่เข้ารหัสซึ่งมุ่งเป้าไปที่บริการ Jabber บน Hetzner และ Linode
  • ความคิดเห็นบางส่วนระบุว่าการใช้ mTLS (หรือ zero-trust) สามารถป้องกันการโจมตีแบบ MITM (Man-in-the-Middle) ประเภทนี้ได้
  • ข้อเสนอแนะสำหรับเป้าหมายที่มีความเสี่ยงสูงให้ใช้กลไกการยืนยันตัวตนเพิ่มเติมที่ไม่ต้องพึ่งพา CA ที่เชื่อถือได้ เช่น Tor onion services, SSH และ Wireguard
  • เน้นย้ำความสำคัญของการเฝ้าติดตามการเปลี่ยนแปลงใบรับรอง SSL/TLS ในทุกบริการโดยใช้บริการภายนอก
  • ความคิดเห็นบางส่วนระบุว่าการโจมตีอาจเกี่ยวข้องกับการสืบสวนอาชญากรรมไซเบอร์ของรัสเซีย
  • มีการพูดถึงการใช้การสื่อสารแบบเข้ารหัสจากต้นทางถึงปลายทาง เช่น OMEMO, OTR หรือ PGP ว่าเป็นวิธีป้องกันการดักจับ
  • มีการคาดเดาถึงความเป็นไปได้ของการโจมตีแบบ blue-pill โดยช่องโหว่ของเซิร์ฟเวอร์ xmpp ถูกใช้เพื่อฉีดรูทคิต
  • ความคิดเห็นบางส่วนระบุว่า Jabber ตกเป็นเป้าหมายเพราะถูกใช้ในตลาดมืดเพื่อกิจกรรมผิดกฎหมาย
  • เน้นย้ำถึงความจำเป็นในการใช้ PGP กับข้อความ แทนที่จะเชื่อถือเพียงแค่การเข้ารหัส
  • มีการตั้งคำถามถึงความเป็นไปได้ที่ PGP อาจถูกคอมพิวเตอร์ควอนตัมเจาะได้ในอนาคต