Hetzner और Linode में एन्क्रिप्टेड ट्रैफ़िक को Jabber सेवा के लिए इंटरसेप्ट किया गया

 (notes.valdikss.org.ru)
1 पॉइंट द्वारा GN⁺ 2023-10-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Hetzner और Linode में सबसे बड़ी रूसी XMPP (Jabber) मैसेजिंग सेवा को निशाना बनाकर एन्क्रिप्टेड ट्रैफ़िक में हस्तक्षेप पर लेख
  • हस्तक्षेप का पता MiTM सर्टिफिकेट्स में से एक की अवधि समाप्त होने के कारण चला
  • सर्वर के compromise या spoofing attack के संकेतों के बिना, होस्टिंग प्रदाताओं के नेटवर्क में ट्रैफ़िक redirection कॉन्फ़िगर किया गया था
  • सुनियोजित निगरानी अधिकतम 6 महीनों तक जारी रही हो सकती है, जबकि 90 दिनों की पुष्टि हुई है
  • अनुमान है कि यह हमला Hetzner और Linode द्वारा सेट किया गया वैध हस्तक्षेप था
  • एक अनुभवी UNIX एडमिनिस्ट्रेटर ने "सर्टिफिकेट की अवधि समाप्त हो गई है" संदेश देखकर हस्तक्षेप का पता लगाया
  • एन्क्रिप्टेड संचार को इंटरसेप्ट करने वाले man-in-the-middle attack के रूप में हमले की पुष्टि हुई
  • हमलावरों ने 18 अप्रैल 2023 के बाद jabber.ru और xmpp.ru डोमेन के लिए Let’s Encrypt के जरिए कई SSL/TLS सर्टिफिकेट जारी किए
  • 18 अक्टूबर 2023 को जांच शुरू होने और नेटवर्क टेस्ट किए जाने के तुरंत बाद MiTM हमला बंद हो गया
  • इस अवधि के दौरान jabber.ru और xmpp.ru की सभी संचार प्रक्रियाओं को compromised मानना चाहिए
  • उपयोगकर्ताओं से कहा गया है कि वे PEP स्टोरेज में नए अनधिकृत OMEMO और PGP keys की जांच करें और अपने पासवर्ड बदलें
  • लेख में इस तरह के हमलों को रोकने या मॉनिटर करने के कई तरीके सुझाए गए हैं, जैसे certificate transparency monitoring कॉन्फ़िगर करना, validation methods को सीमित करना, सभी सेवाओं में SSL/TLS सर्टिफिकेट बदलावों की निगरानी करना, और default gateway के MAC address में बदलाव की निगरानी करना

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-21
Hacker News राय
  • Hetzner & Linode में Jabber सेवा को निशाना बनाकर encrypted traffic interception पर लेख
  • कुछ टिप्पणियाँ कहती हैं कि mTLS (aka zero-trust) का उपयोग इस तरह के MITM (Man-in-the-Middle) हमलों को रोक सकता है
  • उच्च-जोखिम वाले लक्ष्यों के लिए Tor onion services, SSH, Wireguard जैसे अतिरिक्त authentication mechanisms लागू करने का सुझाव, जो किसी trusted CA पर निर्भर नहीं होते
  • सभी सेवाओं में SSL/TLS certificate बदलावों को external services की मदद से monitor करने के महत्व पर ज़ोर
  • कुछ टिप्पणियों में कहा गया कि यह हमला रूसी cybercrime investigation से जुड़ा हो सकता है
  • OMEMO, OTR या PGP जैसे end-to-end encrypted communication के उपयोग पर interception से बचाव के तरीके के रूप में चर्चा
  • Bluefall attack की संभावना पर अटकलें, और xmpp server की कमजोरियों का उपयोग rootkit inject करने के लिए किए जाने की बात
  • कुछ टिप्पणियों में कहा गया कि Jabber को darknet market में अवैध गतिविधियों के लिए इस्तेमाल किए जाने के कारण निशाना बनाया जा रहा है
  • केवल encryption पर भरोसा करने के बजाय संदेशों के लिए PGP इस्तेमाल करने की ज़रूरत पर ज़ोर
  • भविष्य में quantum computers द्वारा PGP टूट जाने की संभावना पर सवाल उठाया गया