Jabber серверинин администратору jabber.ru (xmpp.ru) 90 күндөн 6 айга чейинки аралыкта Германиянын Hetzner жана Linode хостинг провайдерлеринин түйүндөрүндө жасалган колдонуучу трафигинин (MITM) шифрин чечүүгө чабуулду аныктады. долбоордун сервери жана көмөкчү VPS чөйрөсү. Чабуул трафикти STARTTLS кеңейтүүсү аркылуу шифрленген XMPP туташуулары үчүн TLS сертификатын алмаштырган транзиттик түйүнгө багыттоо аркылуу уюштурулган.
Чабуул анын уюштуруучуларынын катасынан улам байкалды, алар жасалмалоо үчүн колдонулган TLS сертификатын узартууга үлгүрбөй калышты. 16-октябрда jabber.ru сайтынын администратору сервиске кошулууга аракет кылып жатып, сертификаттын мөөнөтү бүткөндүгүнө байланыштуу ката кабарын алган, бирок серверде жайгашкан сертификаттын мөөнөтү бүтө элек. Жыйынтыгында кардардын алган сертификаты сервер жөнөткөн сертификаттан башка экени белгилүү болду. Биринчи жасалма TLS сертификаты 18-жылдын 2023-апрелинде Let's Encrypt кызматы аркылуу алынган, мында чабуулчу трафикти кармап калуу менен jabber.ru жана xmpp.ru сайттарына кирүү мүмкүнчүлүгүн ырастай алган.
Алгач долбоордун сервери бузулуп, анын тарабында алмаштыруу иштери жүрүп жатат деген божомолдор болгон. Бирок текшерүү эч кандай хакердик изи тапкан эмес. Ошол эле учурда сервердеги журналда 18-июлда саат 12:58де аткарылган тармак интерфейсинин (NIC Link is Down/NIC Link is Up) кыска мөөнөттүү өчүрүлүшү жана күйгүзүлүшү байкалган. серверди коммутаторго туташтыруу менен манипуляцияларды көрсөтүү. Белгилей кетсек, эки жасалма TLS сертификаты бир нече мүнөт мурун – 18-июлда саат 12:49 жана 12:38де түзүлгөн.
Кошумчалай кетсек, алмаштыруу негизги серверди камтыган Hetzner провайдеринин тармагында гана эмес, башка даректерден трафикти кайра багыттоочу көмөкчү проксилери бар VPS чөйрөлөрүн жайгаштырган Linode провайдеринин тармагында да жүргүзүлдү. Кыйыр түрдө, эки провайдердин тармактарындагы 5222 (XMPP STARTTLS) тармактык портуна трафик кошумча хост аркылуу кайра багытталгандыгы аныкталды, бул чабуулду провайдерлердин инфраструктурасына кирүү мүмкүнчүлүгү бар адам жасаган деп айтууга негиз болгон.
Теориялык жактан алмаштыруу 18-апрелден баштап (jabber.ru үчүн биринчи жасалма сертификат түзүлгөн күн) жүргүзүлүшү мүмкүн болчу, бирок тастыкталган сертификаттарды алмаштыруу учурлары 21-июлдан 19-октябрга чейин гана катталган, бул убакыттын бардыгында шифрленген маалымат алмашуу. jabber.ru жана xmpp.ru менен бузулган деп эсептесе болот. Тергөө башталгандан кийин алмаштыруу токтоп, тесттер жүргүзүлүп, 18-октябрда Hetzner жана Linode провайдерлеринин колдоо кызматына өтүнүч жөнөтүлгөн. Ошол эле учурда, Linode серверлеринин биринин 5222 портуна жөнөтүлгөн пакеттерди маршрутизациялоодо кошумча өтүү бүгүнкү күндө дагы байкалууда, бирок сертификат мындан ары алмаштырылбайт.
Кол салуу укук коргоо органдарынын өтүнүчү боюнча провайдерлердин билиши менен, эки провайдердин инфраструктурасын бузуп алуусунун натыйжасында же эки провайдерге тең кирүү мүмкүнчүлүгү бар кызматкер тарабынан жасалган болушу мүмкүн деп болжолдонууда. XMPP трафигине бөгөт коюу жана өзгөртүү мүмкүнчүлүгүнө ээ болуу менен, чабуулчу серверде сакталган билдирүү таржымалы сыяктуу каттоо эсебине тиешелүү бардык маалыматтарга кире алат, ошондой эле башкалардын атынан билдирүүлөрдү жөнөтүп, башка адамдардын билдирүүлөрүнө өзгөртүүлөрдү киргизе алат. Эгерде шифрлөө ачкычтары туташуунун эки тарабындагы колдонуучулар тарабынан текшерилсе, акырына чейин шифрлөө (OMEMO, OTR же PGP) аркылуу жөнөтүлгөн билдирүүлөр бузулган эмес деп эсептелинет. Jabber.ru колдонуучуларына кирүү сырсөздөрүн өзгөртүү жана мүмкүн алмаштыруу үчүн PEP сактагычтарындагы OMEMO жана PGP ачкычтарын текшерүү сунушталат.
Source: opennet.ru