Hetzner ve Linode'da şifreli trafiğin Jabber hizmetlerini hedef alacak şekilde ele geçirilmesi

 (notes.valdikss.org.ru)
1 puan yazan GN⁺ 2023-10-21 | 1 yorum | WhatsApp'ta paylaş
  • Hetzner ve Linode'da, en büyük Rus XMPP (Jabber) mesajlaşma hizmetini hedef alan şifreli trafik müdahalesine dair bir yazı
  • Müdahale, ortadaki adam (MiTM) sertifikalarından birinin süresinin dolması nedeniyle fark edildi
  • Sunucu ihlali veya spoofing saldırısı belirtisi olmadan, trafik yönlendirmesinin barındırma sağlayıcısı ağında yapılandırıldığı görüldü
  • Dinleme en fazla 6 ay sürmüş olabilir; 90 gün ise doğrulandı
  • Saldırının, Hetzner ve Linode'un kurmak zorunda kalmış olabileceği yasal bir müdahale olduğu tahmin ediliyor
  • Müdahaleyi, "Sertifikanın süresi doldu" mesajını gören deneyimli bir UNIX yöneticisi fark etti
  • Saldırı, şifreli iletişimi ele geçiren bir ortadaki adam saldırısı olarak doğrulandı
  • Saldırganlar, 18 Nisan 2023'ten sonra jabber.ru ve xmpp.ru alan adları için Let’s Encrypt üzerinden birden fazla SSL/TLS sertifikası düzenledi
  • Soruşturma 18 Ekim 2023'te başladı ve ağ testleri yapıldıktan hemen sonra MiTM saldırısı durdu
  • Bu dönem boyunca yapılan tüm jabber.ru ve xmpp.ru iletişimlerinin tehlikeye girdiği varsayılmalı
  • Kullanıcılardan, PEP deposunda yeni yetkisiz OMEMO ve PGP anahtarları olup olmadığını kontrol etmeleri ve parolalarını değiştirmeleri istendi
  • Yazı, sertifika şeffaflığı izleme yapılandırması, doğrulama yöntemlerinin sınırlandırılması, tüm hizmetlerde SSL/TLS sertifika değişikliklerinin izlenmesi ve varsayılan ağ geçidinin MAC adresindeki değişikliklerin izlenmesi gibi bu tür saldırıları önlemek veya izlemek için çeşitli yöntemler öneriyor

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-21
Hacker News görüşü
  • Hetzner ve Linode'da Jabber hizmetlerini hedef alan şifreli trafiğin ele geçirilmesine dair bir makale
  • Bazı yorumlar, mTLS (diğer adıyla zero-trust) kullanımının bu tür MITM (Man-in-the-Middle) saldırılarını önleyebileceğini belirtiyor
  • Tor onion services, SSH ve Wireguard gibi güvenilir bir CA'ya bağlı olmayan ek kimlik doğrulama mekanizmalarının yüksek riskli hedeflere uygulanmasına yönelik öneriler
  • Tüm hizmetlerde SSL/TLS sertifika değişikliklerinin harici bir hizmet kullanılarak izlenmesinin önemine vurgu
  • Bazı yorumlar, saldırının Rus siber suç soruşturmalarıyla bağlantılı olabileceğini öne sürüyor
  • OMEMO, OTR veya PGP gibi uçtan uca şifreli iletişimin kullanımının ele geçirmeye karşı bir koruma yöntemi olarak tartışılması
  • Bluepill saldırısı olasılığına dair spekülasyonlar; xmpp sunucusundaki bir açığın rootkit enjekte etmek için kullanılması
  • Bazı yorumlar, Jabber'ın karaborsada yasa dışı faaliyetler için kullanıldığı için hedef alındığını söylüyor
  • Şifrelemeye sadece güvenmek yerine mesajlarda PGP kullanma gerekliliğine vurgu
  • Gelecekte kuantum bilgisayarların PGP'yi kırma ihtimaline dair sorular