Jabber சேவையகத்தின் நிர்வாகி jabber.ru (xmpp.ru) பயனர் போக்குவரத்தை (MITM) மறைகுறியாக்க ஒரு தாக்குதலைக் கண்டறிந்தார், இது 90 நாட்கள் முதல் 6 மாதங்கள் வரை ஜெர்மன் ஹோஸ்டிங் வழங்குநர்களான ஹெட்ஸ்னர் மற்றும் லினோட் நெட்வொர்க்குகளில் நடத்தப்பட்டது. திட்ட சேவையகம் மற்றும் துணை VPS சூழல். STARTTLS நீட்டிப்பைப் பயன்படுத்தி என்க்ரிப்ட் செய்யப்பட்ட XMPP இணைப்புகளுக்கான TLS சான்றிதழை மாற்றியமைக்கும் டிரான்சிட் முனைக்கு போக்குவரத்தைத் திருப்பியனுப்புவதன் மூலம் தாக்குதல் ஏற்பாடு செய்யப்பட்டுள்ளது.
ஏமாற்றுதலுக்குப் பயன்படுத்தப்பட்ட TLS சான்றிதழைப் புதுப்பிக்கத் தவறிய அதன் அமைப்பாளர்களின் பிழை காரணமாக இந்தத் தாக்குதல் கண்டறியப்பட்டது. அக்டோபர் 16 அன்று, jabber.ru நிர்வாகி சேவையுடன் இணைக்க முயற்சிக்கும்போது சான்றிதழ் காலாவதியாகிவிட்டதாக ஒரு பிழைச் செய்தியைப் பெற்றார், ஆனால் சேவையகத்தில் ஹோஸ்ட் செய்யப்பட்ட சான்றிதழ் காலாவதியாகவில்லை. இறுதியில் கிளையன்ட் பெற்ற சான்றிதழ் சேவையகத்தால் அனுப்பப்பட்ட சான்றிதழிலிருந்து வேறுபட்டது என்பது கண்டறியப்பட்டது. முதல் போலி TLS சான்றிதழ் ஏப்ரல் 18, 2023 அன்று, லெட்ஸ் என்க்ரிப்ட் சேவை மூலம் பெறப்பட்டது, இதில் தாக்குபவர், போக்குவரத்தை இடைமறிக்கும் திறனைக் கொண்டிருந்ததால், jabber.ru மற்றும் xmpp.ru தளங்களுக்கான அணுகலை உறுதிப்படுத்த முடிந்தது.
முதலில், திட்ட சேவையகம் சமரசம் செய்யப்பட்டதாக ஒரு அனுமானம் இருந்தது மற்றும் அதன் பக்கத்தில் ஒரு மாற்று மேற்கொள்ளப்படுகிறது. ஆனால் தணிக்கையில் ஹேக்கிங் நடந்ததற்கான தடயங்கள் எதுவும் இல்லை. அதே நேரத்தில், சர்வரில் உள்ள பதிவில், நெட்வொர்க் இடைமுகத்தின் குறுகிய கால ஸ்விட்ச் ஆஃப் மற்றும் ஆன் (NIC இணைப்பு கீழே உள்ளது/NIC இணைப்பு உள்ளது) கவனிக்கப்பட்டது, இது ஜூலை 18 அன்று 12:58 மணிக்கு நிகழ்த்தப்பட்டது. சுவிட்சுக்கு சேவையகத்தின் இணைப்புடன் கையாளுதல்களைக் குறிக்கவும். இரண்டு போலி TLS சான்றிதழ்கள் சில நிமிடங்களுக்கு முன்பு உருவாக்கப்பட்டன என்பது குறிப்பிடத்தக்கது - ஜூலை 18 அன்று 12:49 மற்றும் 12:38 மணிக்கு.
கூடுதலாக, மாற்றீடு பிரதான சேவையகத்தை வழங்கும் ஹெட்ஸ்னர் வழங்குநரின் நெட்வொர்க்கில் மட்டுமல்லாமல், பிற முகவரிகளிலிருந்து போக்குவரத்தை திசைதிருப்பும் துணை ப்ராக்ஸிகளுடன் VPS சூழல்களை வழங்கும் லினோட் வழங்குநரின் நெட்வொர்க்கிலும் மேற்கொள்ளப்பட்டது. மறைமுகமாக, இரு வழங்குநர்களின் நெட்வொர்க்குகளிலும் உள்ள பிணைய போர்ட் 5222 (XMPP STARTTLS)க்கான போக்குவரத்து கூடுதல் ஹோஸ்ட் மூலம் திருப்பிவிடப்பட்டது என்பது கண்டறியப்பட்டது, இது வழங்குநர்களின் உள்கட்டமைப்பை அணுகக்கூடிய ஒரு நபரால் தாக்குதல் நடத்தப்பட்டது என்று நம்புவதற்கு இது காரணம்.
கோட்பாட்டளவில், இந்த மாற்றீடு ஏப்ரல் 18 முதல் (jabber.ru க்கான முதல் போலி சான்றிதழ் உருவாக்கப்பட்ட தேதி) நிகழ்ந்திருக்கலாம், ஆனால் உறுதிப்படுத்தப்பட்ட சான்றிதழ் மாற்றீடு வழக்குகள் ஜூலை 21 மற்றும் அக்டோபர் 19 க்கு இடையில் மட்டுமே பதிவு செய்யப்பட்டன. இந்த முழு காலகட்டத்திலும், jabber.ru மற்றும் xmpp.ru உடனான மறைகுறியாக்கப்பட்ட தரவு பரிமாற்றம் சமரசம் செய்யப்பட்டதாகக் கருதப்படலாம். விசாரணை தொடங்கி, சோதனைகள் நடத்தப்பட்டு, அக்டோபர் 18 அன்று Hetzner மற்றும் Linode வழங்குநர்களின் ஆதரவு சேவைகளுக்கு ஒரு கோரிக்கை அனுப்பப்பட்ட பிறகு மாற்றீடு நிறுத்தப்பட்டது. மேலும், ஒருவரின் போர்ட் 5222 க்கு அனுப்பப்பட்ட பாக்கெட்டுகளை ரூட் செய்யும் போது கூடுதல் ஹாப் தேவைப்பட்டது. சேவையகங்கள் லினோடில், இது இன்றும் கடைபிடிக்கப்படுகிறது, ஆனால் சான்றிதழ் இனி மாற்றப்படாது.
இரு வழங்குநர்களின் உள்கட்டமைப்புகளை ஹேக் செய்ததன் விளைவாக அல்லது வழங்குநர்கள் இருவரையும் அணுகிய ஒரு ஊழியரால், சட்ட அமலாக்க முகமைகளின் வேண்டுகோளின் பேரில் வழங்குநர்களின் அறிவோடு தாக்குதல் நடத்தப்பட்டிருக்கலாம் என்று கருதப்படுகிறது. XMPP போக்குவரத்தை இடைமறித்து மாற்றியமைப்பதன் மூலம், சர்வரில் சேமிக்கப்பட்டுள்ள செய்தியிடல் வரலாறு போன்ற கணக்கு தொடர்பான எல்லா தரவையும் தாக்குபவர் அணுகலாம், மேலும் மற்றவர்களின் சார்பாக செய்திகளை அனுப்பலாம் மற்றும் பிறரின் செய்திகளில் மாற்றங்களைச் செய்யலாம். என்ட்-டு-எண்ட் என்க்ரிப்ஷனை (OMEMO, OTR அல்லது PGP) பயன்படுத்தி அனுப்பப்படும் செய்திகள் இணைப்பின் இருபுறமும் உள்ள பயனர்களால் குறியாக்க விசைகள் சரிபார்க்கப்பட்டால் சமரசம் செய்யப்படவில்லை எனக் கருதலாம். Jabber.ru பயனர்கள் தங்கள் அணுகல் கடவுச்சொற்களை மாற்றுமாறு அறிவுறுத்தப்படுகிறார்கள் மற்றும் சாத்தியமான மாற்றீடுகளுக்கு அவர்களின் PEP சேமிப்பகங்களில் OMEMO மற்றும் PGP விசைகளை சரிபார்க்கவும்.
ஆதாரம்: opennet.ru
