Woyang'anira seva ya Jabber jabber.ru (xmpp.ru) adazindikira kuukira kwa anthu omwe amawagwiritsa ntchito (MITM), komwe kunachitika kwa masiku 90 mpaka miyezi 6 pamanetiweki a Hetzner ndi Linode aku Germany omwe amathandizira seva ya polojekiti komanso chilengedwe chothandizira cha VPS. Kuwukiraku kumakonzedwa ndikulozera kuchuluka kwa magalimoto kumalo komwe kumalowetsa satifiketi ya TLS yamalumikizidwe a XMPP osungidwa pogwiritsa ntchito kuwonjezera kwa STARTTLS.
Kuwukiraku kudadziwika chifukwa cha zolakwika za omwe adakonza, omwe analibe nthawi yokonzanso satifiketi ya TLS yomwe idagwiritsidwa ntchito powononga. Pa October 16, woyang'anira jabber.ru, poyesa kugwirizanitsa ndi utumiki, adalandira uthenga wolakwika chifukwa cha kutha kwa chiphaso, koma chiphaso chomwe chili pa seva sichinathe. Zotsatira zake, zidapezeka kuti satifiketi yomwe kasitomala adalandira inali yosiyana ndi satifiketi yotumizidwa ndi seva. Satifiketi yoyamba yabodza ya TLS idapezedwa pa Epulo 18, 2023 kudzera mu ntchito ya Let's Encrypt, momwe wowukirayo, atatha kuletsa magalimoto, adatha kutsimikizira mwayi wopezeka patsamba jabber.ru ndi xmpp.ru.
Poyamba, panali kuganiza kuti seva ya polojekitiyo idasokonezedwa ndipo kulowetsedwa kunkachitika kumbali yake. Koma kafukufukuyu sanaulule zachinyengo. Nthawi yomweyo, mu chipika pa seva, kuzimitsa kwakanthawi kochepa ndikuyatsa mawonekedwe a netiweki (NIC Link ndi Down / NIC Link is Up) idawonedwa, yomwe idachitika pa Julayi 18 pa 12:58 ndipo imatha. onetsani zosintha ndi kulumikizidwa kwa seva ku switch. Ndizofunikira kudziwa kuti ziphaso ziwiri zabodza za TLS zidapangidwa mphindi zingapo m'mbuyomu - pa Julayi 18 nthawi ya 12:49 ndi 12:38.
Kuphatikiza apo, kulowetsako sikunangochitika pamaneti a Hetzner, omwe amakhala ndi seva yayikulu, komanso pa intaneti ya othandizira a Linode, omwe amakhala ndi malo a VPS okhala ndi ma proxies othandizira omwe amawongolera magalimoto kuchokera ku ma adilesi ena. Mwachindunji, zidapezeka kuti magalimoto opita ku doko la 5222 (XMPP STARTTLS) mu maukonde a operekera onsewo adatumizidwanso kudzera mwa wolandila wina, zomwe zidapereka chifukwa chokhulupirira kuti kuukiraku kunachitika ndi munthu yemwe ali ndi mwayi wopeza chithandizo chamankhwala.
Mwachidziwitso, kulowetsako kukanachitika kuyambira pa Epulo 18 (tsiku lopanga chiphaso choyamba chabodza cha jabber.ru), koma milandu yotsimikizika yolowa m'malo mwa satifiketi idalembedwa kuyambira Julayi 21 mpaka Okutobala 19, nthawi yonseyi yosinthana ndi data. ndi jabber.ru ndi xmpp.ru zitha kuonedwa ngati zosokoneza. Kulowetsako kunayima pambuyo pofufuza, mayesero adachitidwa ndipo pempho linatumizidwa ku chithandizo cha Hetzner ndi Linode pa October 18. Panthawi imodzimodziyo, kusintha kwina pamene mapaketi oyendetsa amatumizidwa ku doko 5222 la seva imodzi ku Linode akuwonekabe lero, koma satifiketiyo siinalowenso m'malo.
Zimaganiziridwa kuti kuukiraku kukanatha kuchitidwa ndi chidziwitso cha opereka chithandizo pa pempho la mabungwe azamalamulo, chifukwa cha kuthyolako zowonongeka kwa onse opereka chithandizo, kapena ndi wogwira ntchito yemwe anali ndi mwayi wopeza onse awiri. Potha kulondolera ndikusintha kuchuluka kwa magalimoto a XMPP, wowukirayo atha kupeza zambiri zokhudzana ndi akaunti, monga mbiri ya mauthenga yosungidwa pa seva, komanso amatha kutumiza mauthenga m'malo mwa ena ndikusintha mauthenga a anthu ena. Mauthenga omwe amatumizidwa pogwiritsa ntchito kubisa-kumapeto (OMEMO, OTR kapena PGP) akhoza kuonedwa kuti ndi osasokonezeka ngati makiyi obisala atsimikiziridwa ndi ogwiritsa ntchito mbali zonse za kugwirizana. Ogwiritsa ntchito a Jabber.ru akulangizidwa kuti asinthe mawu achinsinsi olowera ndikuyang'ana makiyi a OMEMO ndi PGP muzosungira zawo za PEP kuti alowe m'malo.
Source: opennet.ru