Lalu lintas terenkripsi di Hetzner dan Linode disadap dengan menargetkan layanan Jabber

 (notes.valdikss.org.ru)
1 poin oleh GN⁺ 2023-10-21 | 1 komentar | Bagikan ke WhatsApp
  • Artikel tentang interferensi terhadap lalu lintas terenkripsi yang menargetkan layanan pesan XMPP (Jabber) Rusia terbesar di Hetzner dan Linode
  • Interferensi ditemukan karena salah satu sertifikat man-in-the-middle (MiTM) kedaluwarsa
  • Pengalihan lalu lintas dikonfigurasi di jaringan penyedia hosting tanpa tanda-tanda kompromi server atau serangan spoofing
  • Penyadapan mungkin berlangsung hingga 6 bulan, dan 90 hari telah terkonfirmasi
  • Serangan diduga sebagai interferensi sah yang harus disiapkan oleh Hetzner dan Linode
  • Seorang administrator UNIX berpengalaman menemukan interferensi setelah melihat pesan "Sertifikat telah kedaluwarsa"
  • Serangan dipastikan sebagai serangan man-in-the-middle yang mencegat komunikasi terenkripsi
  • Penyerang menerbitkan beberapa sertifikat SSL/TLS untuk domain jabber.ru dan xmpp.ru melalui Let’s Encrypt sejak 18 April 2023
  • Investigasi dimulai pada 18 Oktober 2023, dan serangan MiTM dihentikan segera setelah pengujian jaringan dilakukan
  • Semua komunikasi jabber.ru dan xmpp.ru selama periode ini harus dianggap telah dikompromikan
  • Pengguna diminta memeriksa apakah ada kunci OMEMO dan PGP baru yang tidak sah di repositori PEP serta mengganti kata sandi
  • Artikel ini mengusulkan beberapa cara untuk mencegah atau memantau serangan jenis ini, seperti menyiapkan pemantauan certificate transparency, membatasi metode validasi, memantau perubahan sertifikat SSL/TLS di semua layanan, dan memantau perubahan alamat MAC pada gateway default

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-21
Komentar Hacker News
  • Artikel tentang penyadapan lalu lintas terenkripsi yang menargetkan layanan Jabber di Hetzner & Linode
  • Beberapa komentar menyebut penggunaan mTLS (alias zero-trust) dapat mencegah serangan MITM (Man-in-the-Middle) jenis ini
  • Saran untuk target berisiko tinggi agar menerapkan mekanisme autentikasi tambahan yang tidak bergantung pada CA tepercaya, seperti layanan onion Tor, SSH, dan Wireguard
  • Penekanan pada pentingnya memantau perubahan sertifikat SSL/TLS di semua layanan dengan menggunakan layanan eksternal
  • Beberapa komentar menyebut serangan ini mungkin terkait dengan penyelidikan kejahatan siber Rusia
  • Penggunaan komunikasi terenkripsi end-to-end seperti OMEMO, OTR, atau PGP dibahas sebagai cara perlindungan terhadap penyadapan
  • Spekulasi tentang kemungkinan serangan bluepill, dengan kerentanan pada server xmpp dimanfaatkan untuk menyuntikkan rootkit
  • Beberapa komentar menyebut Jabber menjadi target karena digunakan untuk aktivitas ilegal di pasar gelap
  • Penekanan pada perlunya menggunakan PGP untuk pesan, bukan sekadar mempercayai enkripsi
  • Muncul pertanyaan tentang kemungkinan PGP dapat dibobol oleh komputer kuantum di masa depan