D'aithin riarthóir an fhreastalaí Jabber jabber.ru (xmpp.ru) ionsaí chun trácht úsáideora (MITM) a dhíchriptiú, a rinneadh thar thréimhse 90 lá go 6 mhí i líonraí na soláthraithe óstála Gearmánacha Hetzner agus Linode, a dhéanann óstáil ar an freastalaí tionscadail agus VPS cúnta timpeallacht. Eagraítear an t-ionsaí trí thrácht a atreorú chuig nód idirthurais a thagann in ionad an deimhnithe TLS do naisc XMPP atá criptithe ag baint úsáide as an síneadh STARTTLS.
Tugadh an t-ionsaí faoi deara mar gheall ar earráid a rinne a lucht eagraithe, nach raibh am acu an teastas TLS a úsáideadh don spoofing a athnuachan. Ar 16 Deireadh Fómhair, fuair riarthóir jabber.ru, nuair a bhí sé ag iarraidh ceangal leis an tseirbhís, teachtaireacht earráide mar gheall ar dhul in éag an deimhnithe, ach níor chuaigh an deimhniú atá suite ar an bhfreastalaí in éag. Mar thoradh air sin, tharla sé go raibh an teastas a fuair an cliant difriúil ón teastas a sheol an freastalaí. Fuarthas an chéad deimhniú TLS falsa ar 18 Aibreán, 2023 tríd an tseirbhís Let's Encrypt, ina raibh an t-ionsaitheoir in ann trácht a idircheapadh, in ann rochtain ar na suíomhanna jabber.ru agus xmpp.ru a dhearbhú.
Ar dtús, bhí toimhde ann go raibh an freastalaí tionscadail i gcontúirt agus go raibh ionadú á dhéanamh ar a thaobh. Ach níor nocht an t-iniúchadh aon rian de hacking. Ag an am céanna, sa logáil isteach ar an bhfreastalaí, tugadh faoi deara go bhfuil an comhéadan líonra á mhúchadh agus á chur ar siúl go gearrthéarmach (NIC Link is Down/NIC Link is Up), a rinneadh an 18 Iúil ag 12:58 agus a d'fhéadfaí cuir in iúl ionramhálacha le ceangal an fhreastalaí leis an lasc. Is fiú a thabhairt faoi deara gur gineadh dhá dheimhniú TLS falsa cúpla nóiméad roimhe sin - an 18 Iúil ag 12:49 agus 12:38.
Ina theannta sin, rinneadh an t-ionadú, ní hamháin i líonra an tsoláthraí Hetzner, a dhéanann óstáil ar an bpríomhfhreastalaí, ach freisin i líonra an tsoláthraí Linode, a d'óstáil timpeallachtaí VPS le seachvótálaithe cúnta a atreoraíonn trácht ó sheoltaí eile. Go hindíreach, fuarthas amach go ndearnadh trácht chuig calafort líonra 5222 (XMPP STARTTLS) i líonraí an dá sholáthraí a atreorú trí óstach breise, rud a thug cúis le creidiúint gur duine a raibh rochtain aige ar bhonneagar na soláthraithe a rinne an t-ionsaí.
Go teoiriciúil, d'fhéadfadh an t-ionadú a bheith déanta ó 18 Aibreán (dáta cruthú an chéad deimhniú bréige le haghaidh jabber.ru), ach níor taifeadadh cásanna deimhnithe ionadú deimhnithe ach ó 21 Iúil go 19 Deireadh Fómhair, an uair seo ar fad malartú sonraí criptithe. le jabber.ru agus xmpp.ru is féidir a mheas i gcontúirt . Stopadh an t-ionadú tar éis don imscrúdú tosú, rinneadh tástálacha agus cuireadh iarratas chuig seirbhís tacaíochta na soláthraithe Hetzner agus Linode an 18 Deireadh Fómhair. Ag an am céanna, breathnaítear fós inniu ar aistriú breise nuair a bhíonn paicéid a seoladh chuig calafort 5222 de cheann de na freastalaithe i Linode á ródú, ach ní dhéantar athsholáthar ar an deimhniú a thuilleadh.
Glactar leis go bhféadfadh an t-ionsaí a bheith curtha i gcrích le heolas na soláthraithe ar iarratas ó ghníomhaireachtaí um fhorghníomhú an dlí, mar thoradh ar bhonneagar an dá sholáthraí a hackáil, nó ag fostaí a raibh rochtain aige ar an dá sholáthraí. Trí bheith in ann trácht XMPP a thascradh agus a mhodhnú, d'fhéadfadh an t-ionsaitheoir rochtain a fháil ar na sonraí go léir a bhaineann le cuntais, mar shampla stair teachtaireachtaí atá stóráilte ar an bhfreastalaí, agus d'fhéadfadh sé teachtaireachtaí a sheoladh thar ceann daoine eile agus athruithe a dhéanamh ar theachtaireachtaí daoine eile. Is féidir a mheas nach bhfuil teachtaireachtaí a sheoltar ag baint úsáide as criptiú ceann go ceann (OMEMO, OTR nó PGP) i mbaol má fhíoraíonn úsáideoirí ar an dá thaobh den nasc na heochracha criptithe. Moltar d'úsáideoirí Jabber.ru a bpasfhocail rochtana a athrú agus na heochracha OMEMO agus PGP a sheiceáil ina stórais PEP le haghaidh ionadú féideartha.
Foinse: oscailtenet.ru