Abfangen von verschlüsseltem Datenverkehr für Jabber-Dienste bei Hetzner und Linode

 (notes.valdikss.org.ru)
1 Punkte von GN⁺ 2023-10-21 | 1 Kommentare | Auf WhatsApp teilen
  • Artikel über Eingriffe in verschlüsselten Datenverkehr gegen den größten russischen XMPP-(Jabber)-Messaging-Dienst bei Hetzner und Linode
  • Der Eingriff wurde entdeckt, weil eines der Man-in-the-Middle-(MiTM)-Zertifikate abgelaufen war
  • Im Netzwerk des Hosting-Anbieters wurde eine Umleitung des Datenverkehrs eingerichtet, ohne Anzeichen für eine Server-Kompromittierung oder Spoofing-Angriffe
  • Das Abhören könnte bis zu 6 Monate angedauert haben; 90 Tage sind bestätigt
  • Es wird vermutet, dass es sich um einen Angriff handelte, der nur durch eine rechtmäßige Einflussnahme zustande kommen konnte, die Hetzner und Linode hätten einrichten müssen
  • Ein erfahrener UNIX-Administrator entdeckte den Eingriff, nachdem er die Meldung „Das Zertifikat ist abgelaufen“ gesehen hatte
  • Der Angriff wurde als Man-in-the-Middle-Angriff bestätigt, bei dem verschlüsselte Kommunikation abgefangen wurde
  • Die Angreifer stellten seit dem 18. April 2023 über Let’s Encrypt mehrere SSL/TLS-Zertifikate für die Domains jabber.ru und xmpp.ru aus
  • Die Untersuchung begann am 18. Oktober 2023, und kurz nach den Netzwerktests wurde der MiTM-Angriff eingestellt
  • Es muss davon ausgegangen werden, dass die gesamte Kommunikation über jabber.ru und xmpp.ru in diesem Zeitraum kompromittiert wurde
  • Nutzer werden aufgefordert zu prüfen, ob sich neue unautorisierte OMEMO- und PGP-Schlüssel im PEP-Speicher befinden, und ihre Passwörter zu ändern
  • Der Artikel schlägt mehrere Methoden vor, um Angriffe dieser Art zu verhindern oder zu überwachen, darunter die Einrichtung eines Certificate-Transparency-Monitorings, die Einschränkung von Validierungsmethoden, die Überwachung von SSL/TLS-Zertifikatsänderungen bei allen Diensten sowie die Überwachung von Änderungen der MAC-Adresse des Standard-Gateways

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-21
Hacker-News-Kommentare
  • Artikel über das Abfangen von verschlüsseltem Traffic gegen Jabber-Dienste bei Hetzner und Linode
  • Einige Kommentare weisen darauf hin, dass der Einsatz von mTLS (auch bekannt als Zero Trust) diese Art von MITM- (Man-in-the-Middle-) Angriffen verhindern könnte
  • Vorschläge für Hochrisikoziele, zusätzliche Authentifizierungsmechanismen einzusetzen, die nicht auf vertrauenswürdigen CAs beruhen, wie Tor-Onion-Services, SSH und WireGuard
  • Hervorgehoben wird, wie wichtig es ist, Zertifikatsänderungen bei SSL/TLS für alle Dienste mithilfe externer Services zu überwachen
  • Einige Kommentare vermuten, dass der Angriff mit Ermittlungen gegen russische Cyberkriminalität zusammenhängen könnte
  • Die Nutzung Ende-zu-Ende-verschlüsselter Kommunikation wie OMEMO, OTR oder PGP wird als Schutz vor dem Abfangen diskutiert
  • Spekulationen über die Möglichkeit eines Blue-Pill-Angriffs; Schwachstellen in XMPP-Servern könnten zur Injektion von Rootkits ausgenutzt worden sein
  • Einige Kommentare meinen, dass Jabber ins Visier geraten sei, weil es im Darknet für illegale Aktivitäten genutzt werde
  • Es wird betont, dass man Verschlüsselung nicht einfach nur vertrauen, sondern PGP für Nachrichten verwenden sollte
  • Es wird die Frage aufgeworfen, ob PGP in Zukunft durch Quantencomputer gebrochen werden könnte