Lưu lượng mã hóa trên Hetzner và Linode bị chặn để nhắm vào dịch vụ Jabber

 (notes.valdikss.org.ru)
1 điểm bởi GN⁺ 2023-10-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bài viết về việc can thiệp vào lưu lượng mã hóa nhắm vào dịch vụ nhắn tin XMPP (Jabber) lớn nhất của Nga trên Hetzner và Linode
  • Sự can thiệp được phát hiện do một trong các chứng chỉ MiTM hết hạn
  • Việc chuyển hướng lưu lượng đã được cấu hình trong mạng của nhà cung cấp hosting mà không có dấu hiệu máy chủ bị xâm phạm hoặc bị tấn công giả mạo
  • Việc nghe lén có thể đã kéo dài tới 6 tháng, trong đó đã xác nhận được 90 ngày
  • Vụ tấn công được cho là sự can thiệp hợp pháp mà Hetzner và Linode buộc phải thiết lập
  • Một quản trị viên UNIX giàu kinh nghiệm đã phát hiện sự can thiệp khi thấy thông báo "Chứng chỉ đã hết hạn"
  • Cuộc tấn công được xác nhận là một cuộc tấn công trung gian (MiTM) chặn các liên lạc được mã hóa
  • Kẻ tấn công đã phát hành nhiều chứng chỉ SSL/TLS cho các tên miền jabber.ru và xmpp.ru thông qua Let’s Encrypt sau ngày 18 tháng 4 năm 2023
  • Cuộc điều tra bắt đầu vào ngày 18 tháng 10 năm 2023 và cuộc tấn công MiTM đã dừng lại ngay sau khi các bài kiểm tra mạng được tiến hành
  • Cần giả định rằng mọi liên lạc với jabber.ru và xmpp.ru trong giai đoạn này đều đã bị xâm phạm
  • Người dùng được yêu cầu kiểm tra xem có khóa OMEMO và PGP trái phép mới nào trong kho PEP hay không và thay đổi mật khẩu
  • Bài viết cũng đề xuất nhiều cách để ngăn chặn hoặc giám sát kiểu tấn công này, như cấu hình theo dõi certificate transparency, giới hạn phương thức xác thực, giám sát thay đổi chứng chỉ SSL/TLS trên mọi dịch vụ và giám sát thay đổi địa chỉ MAC của gateway mặc định

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-21
Ý kiến trên Hacker News
  • Bài viết về việc chặn bắt lưu lượng đã mã hóa nhắm vào dịch vụ Jabber tại Hetzner và Linode
  • Một số bình luận cho rằng việc sử dụng mTLS (còn gọi là zero-trust) có thể ngăn chặn kiểu tấn công MITM (Man-in-the-Middle) này
  • Đề xuất áp dụng các cơ chế xác thực bổ sung không phụ thuộc vào CA đáng tin cậy, như dịch vụ onion của Tor, SSH và Wireguard, cho các mục tiêu có rủi ro cao
  • Nhấn mạnh tầm quan trọng của việc giám sát các thay đổi chứng chỉ SSL/TLS trên mọi dịch vụ bằng các dịch vụ bên ngoài
  • Một số bình luận cho rằng cuộc tấn công có thể liên quan đến cuộc điều tra tội phạm mạng tại Nga
  • Việc sử dụng liên lạc mã hóa đầu cuối như OMEMO, OTR hoặc PGP được bàn luận như một cách bảo vệ trước hành vi chặn bắt
  • Suy đoán về khả năng có tấn công blue-pill, trong đó lỗ hổng của máy chủ xmpp bị khai thác để cài rootkit
  • Một số bình luận cho rằng Jabber bị nhắm mục tiêu vì được dùng cho các hoạt động bất hợp pháp trên chợ đen
  • Nhấn mạnh sự cần thiết phải dùng PGP cho tin nhắn thay vì chỉ đơn thuần tin vào mã hóa
  • Đặt câu hỏi về khả năng PGP có thể bị máy tính lượng tử phá vỡ trong tương lai