Jabber சேவையகத்தின் நிர்வாகி jabber.ru (xmpp.ru) பயனர் போக்குவரத்தை (MITM) மறைகுறியாக்க ஒரு தாக்குதலைக் கண்டறிந்தார், இது 90 நாட்கள் முதல் 6 மாதங்கள் வரை ஜெர்மன் ஹோஸ்டிங் வழங்குநர்களான ஹெட்ஸ்னர் மற்றும் லினோட் நெட்வொர்க்குகளில் நடத்தப்பட்டது. திட்ட சேவையகம் மற்றும் துணை VPS சூழல். STARTTLS நீட்டிப்பைப் பயன்படுத்தி என்க்ரிப்ட் செய்யப்பட்ட XMPP இணைப்புகளுக்கான TLS சான்றிதழை மாற்றியமைக்கும் டிரான்சிட் முனைக்கு போக்குவரத்தைத் திருப்பியனுப்புவதன் மூலம் தாக்குதல் ஏற்பாடு செய்யப்பட்டுள்ளது.
ஏமாற்றுவதற்குப் பயன்படுத்தப்பட்ட TLS சான்றிதழைப் புதுப்பிக்க நேரமில்லாத அதன் அமைப்பாளர்களின் பிழையின் காரணமாக இந்தத் தாக்குதல் கவனிக்கப்பட்டது. அக்டோபர் 16 அன்று, jabber.ru இன் நிர்வாகி, சேவையுடன் இணைக்க முயற்சிக்கும்போது, சான்றிதழின் காலாவதி காரணமாக ஒரு பிழை செய்தியைப் பெற்றார், ஆனால் சர்வரில் உள்ள சான்றிதழ் காலாவதியாகவில்லை. இதன் விளைவாக, வாடிக்கையாளர் பெற்ற சான்றிதழ் சர்வர் அனுப்பிய சான்றிதழிலிருந்து வேறுபட்டது. முதல் போலி TLS சான்றிதழ் ஏப்ரல் 18, 2023 அன்று Let's Encrypt சேவையின் மூலம் பெறப்பட்டது, இதில் தாக்குபவர், போக்குவரத்தை இடைமறித்து, jabber.ru மற்றும் xmpp.ru தளங்களுக்கான அணுகலை உறுதிப்படுத்த முடிந்தது.
முதலில், திட்ட சேவையகம் சமரசம் செய்யப்பட்டதாக ஒரு அனுமானம் இருந்தது மற்றும் அதன் பக்கத்தில் ஒரு மாற்று மேற்கொள்ளப்படுகிறது. ஆனால் தணிக்கையில் ஹேக்கிங் நடந்ததற்கான தடயங்கள் எதுவும் இல்லை. அதே நேரத்தில், சர்வரில் உள்ள பதிவில், நெட்வொர்க் இடைமுகத்தின் குறுகிய கால ஸ்விட்ச் ஆஃப் மற்றும் ஆன் (NIC இணைப்பு கீழே உள்ளது/NIC இணைப்பு உள்ளது) கவனிக்கப்பட்டது, இது ஜூலை 18 அன்று 12:58 மணிக்கு நிகழ்த்தப்பட்டது. சுவிட்சுக்கு சேவையகத்தின் இணைப்புடன் கையாளுதல்களைக் குறிக்கவும். இரண்டு போலி TLS சான்றிதழ்கள் சில நிமிடங்களுக்கு முன்பு உருவாக்கப்பட்டன என்பது குறிப்பிடத்தக்கது - ஜூலை 18 அன்று 12:49 மற்றும் 12:38 மணிக்கு.
கூடுதலாக, மாற்றீடு பிரதான சேவையகத்தை வழங்கும் ஹெட்ஸ்னர் வழங்குநரின் நெட்வொர்க்கில் மட்டுமல்லாமல், பிற முகவரிகளிலிருந்து போக்குவரத்தை திசைதிருப்பும் துணை ப்ராக்ஸிகளுடன் VPS சூழல்களை வழங்கும் லினோட் வழங்குநரின் நெட்வொர்க்கிலும் மேற்கொள்ளப்பட்டது. மறைமுகமாக, இரு வழங்குநர்களின் நெட்வொர்க்குகளிலும் உள்ள பிணைய போர்ட் 5222 (XMPP STARTTLS)க்கான போக்குவரத்து கூடுதல் ஹோஸ்ட் மூலம் திருப்பிவிடப்பட்டது என்பது கண்டறியப்பட்டது, இது வழங்குநர்களின் உள்கட்டமைப்பை அணுகக்கூடிய ஒரு நபரால் தாக்குதல் நடத்தப்பட்டது என்று நம்புவதற்கு இது காரணம்.
கோட்பாட்டளவில், மாற்றீடு ஏப்ரல் 18 முதல் (jabber.ru க்கான முதல் போலி சான்றிதழை உருவாக்கிய தேதி) மேற்கொள்ளப்பட்டிருக்கலாம், ஆனால் சான்றிதழ் மாற்றீட்டின் உறுதிப்படுத்தப்பட்ட வழக்குகள் ஜூலை 21 முதல் அக்டோபர் 19 வரை மட்டுமே பதிவு செய்யப்பட்டன, இந்த நேரத்தில் மறைகுறியாக்கப்பட்ட தரவு பரிமாற்றம். jabber.ru மற்றும் xmpp.ru உடன் சமரசம் செய்யப்பட்டதாகக் கருதலாம். விசாரணை தொடங்கிய பின்னர் மாற்று நிறுத்தப்பட்டது, சோதனைகள் நடத்தப்பட்டு, அக்டோபர் 18 அன்று வழங்குநர்களான ஹெட்ஸ்னர் மற்றும் லினோட் ஆகியோரின் ஆதரவு சேவைக்கு கோரிக்கை அனுப்பப்பட்டது. அதே நேரத்தில், லினோடில் உள்ள சேவையகங்களில் ஒன்றின் போர்ட் 5222 க்கு அனுப்பப்பட்ட பாக்கெட்டுகளை ரூட்டிங் செய்யும் போது கூடுதல் மாற்றம் இன்றும் காணப்படுகிறது, ஆனால் சான்றிதழ் இனி மாற்றப்படாது.
இரு வழங்குநர்களின் உள்கட்டமைப்புகளை ஹேக் செய்ததன் விளைவாக அல்லது வழங்குநர்கள் இருவரையும் அணுகிய ஒரு ஊழியரால், சட்ட அமலாக்க முகமைகளின் வேண்டுகோளின் பேரில் வழங்குநர்களின் அறிவோடு தாக்குதல் நடத்தப்பட்டிருக்கலாம் என்று கருதப்படுகிறது. XMPP போக்குவரத்தை இடைமறித்து மாற்றியமைப்பதன் மூலம், சர்வரில் சேமிக்கப்பட்டுள்ள செய்தியிடல் வரலாறு போன்ற கணக்கு தொடர்பான எல்லா தரவையும் தாக்குபவர் அணுகலாம், மேலும் மற்றவர்களின் சார்பாக செய்திகளை அனுப்பலாம் மற்றும் பிறரின் செய்திகளில் மாற்றங்களைச் செய்யலாம். என்ட்-டு-எண்ட் என்க்ரிப்ஷனை (OMEMO, OTR அல்லது PGP) பயன்படுத்தி அனுப்பப்படும் செய்திகள் இணைப்பின் இருபுறமும் உள்ள பயனர்களால் குறியாக்க விசைகள் சரிபார்க்கப்பட்டால் சமரசம் செய்யப்படவில்லை எனக் கருதலாம். Jabber.ru பயனர்கள் தங்கள் அணுகல் கடவுச்சொற்களை மாற்றுமாறு அறிவுறுத்தப்படுகிறார்கள் மற்றும் சாத்தியமான மாற்றீடுகளுக்கு அவர்களின் PEP சேமிப்பகங்களில் OMEMO மற்றும் PGP விசைகளை சரிபார்க்கவும்.
ஆதாரம்: opennet.ru