Intercepción de tráfico cifrado dirigido al servicio Jabber en Hetzner y Linode

 (notes.valdikss.org.ru)
1 puntos por GN⁺ 2023-10-21 | 1 comentarios | Compartir por WhatsApp
  • Artículo sobre la interferencia con tráfico cifrado dirigida al mayor servicio ruso de mensajería XMPP (Jabber) en Hetzner y Linode
  • La interferencia se descubrió debido al vencimiento de uno de los certificados de intermediario de ataque de hombre en el medio (MiTM)
  • Se configuró redirección de tráfico en las redes de los proveedores de hosting, sin indicios de intrusión en servidores ni de ataques de suplantación
  • La escucha pudo haber durado hasta 6 meses, y se han confirmado 90 días
  • Se presume que el ataque fue una interferencia legal que Hetzner y Linode habrían tenido que configurar
  • Un administrador experimentado de UNIX descubrió la interferencia al ver el mensaje "El certificado ha expirado"
  • Se confirmó que se trató de un ataque de hombre en el medio que interceptaba comunicaciones cifradas
  • Los atacantes emitieron varios certificados SSL/TLS a través de Let’s Encrypt para los dominios jabber.ru y xmpp.ru después del 18 de abril de 2023
  • La investigación comenzó el 18 de octubre de 2023 y, poco después de realizarse las pruebas de red, el ataque MiTM se detuvo
  • Debe asumirse que todas las comunicaciones de jabber.ru y xmpp.ru durante ese periodo fueron comprometidas
  • Se pide a los usuarios que verifiquen si hay nuevas claves OMEMO y PGP no autorizadas en el repositorio PEP y que cambien sus contraseñas
  • El artículo propone varios métodos para prevenir o monitorear este tipo de ataques, como configurar monitoreo de transparencia de certificados, limitar los métodos de validación, monitorear cambios de certificados SSL/TLS en todos los servicios y monitorear cambios en la dirección MAC de la puerta de enlace predeterminada

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-21
Opinión de Hacker News
  • Artículo sobre la interceptación de tráfico cifrado dirigido a servicios de Jabber en Hetzner y Linode
  • Algunos comentarios señalan que usar mTLS (también conocido como zero-trust) podría prevenir este tipo de ataques MITM (Man-in-the-Middle)
  • Sugerencias para objetivos de alto riesgo de aplicar mecanismos adicionales de autenticación que no dependan de una CA confiable, como servicios onion de Tor, SSH y Wireguard
  • Se enfatiza la importancia de monitorear los cambios de certificados SSL/TLS en todos los servicios usando servicios externos
  • Algunos comentarios indican que el ataque podría estar relacionado con investigaciones sobre ciberdelincuencia rusa
  • Se discute el uso de comunicaciones con cifrado de extremo a extremo como OMEMO, OTR o PGP como forma de protección contra la interceptación
  • Especulaciones sobre la posibilidad de un ataque bluepill, donde una vulnerabilidad en el servidor xmpp habría sido utilizada para inyectar un rootkit
  • Algunos comentarios dicen que Jabber está siendo atacado porque se usa para actividades ilegales en mercados negros
  • Se enfatiza la necesidad de usar PGP para los mensajes, en lugar de simplemente confiar en el cifrado
  • Se plantea la pregunta de si en el futuro las computadoras cuánticas podrían romper PGP