MITM атаката спрямо Jabber.ru
Във връзка със скорошен инцидент, засягащ сигурността на публичната XMPP услуга, която предоставят jabber.ru и xmpp.ru, получихме въпроси от потребители за това, дали трябва да се притесняват за сигурността на комуникацията осъществявана посредством XMPP услугата предоставяна от Chatrix.One.
Добрата новина е, че Chatrix.One не беше засегнат от този инцидент. Това беше целенасочена атака конкретно срещу домейните jabber.ru и xmpp.ru. По-късно в публикацията ще споделим информация, за това какво сме направили за да гарантираме, че нашите сървъри са защитени от подобни атаки.
Какво се случи с Jabber.RU?
Стана ясно, че публичните XMPP услуги на jabber.ru и xmpp.ru вероятно са били подложени на прихващане на техния криптиран трафик за най-малко 90 дни, а вероятно и до 6 месеца. Не е ясно кой е извършил прихващането и защо. Възможностите включват правоприлагане или компрометиране на инфраструктурата на двете хостинг компании (Hetzner и Linode), използвани за предоставяне на XMPP услугите.
Тази публикация няма да навлиза твърде много в техническите подробности, за които ще се позовем на оригиналния текст, публикуван в линка по-долу.
Атаката от типа “машина в средата” (MITM) беше насочена към домейните jabber.ru и xmpp.ru и приключи малко след откриването ѝ. Не сме запознати с никакви документирани атаки от такова естество в XMPP мрежата до този момент.
Въпреки че прихващането на трафик не е нищо ново, преди това се е извършвало предимно чрез пасивно наблюдение на трафика, докато преминава през мрежови устройства в интернет. Сноудън разкри колко широко разпространена е тази практика през 2013г., което предизвика масово преминаване към TLS криптиране по подразбиране в Интернет. TLS защитава трафика от наблюдатели и днес се използва за защита на всичко, което правим онлайн - чат, проверка на имейли, онлайн банкиране и т.н. В браузърите е обозначено с катинарче, намиращо се до адресната лента.
Различното при тази атака е, че тя беше “активна”. Тя не просто пропускаше трафика, но го и модифицираше. По-конкретно, декриптираше го и повторно го криптираше, докато преминаваше през мрежово устройство (машината в средата), което е поставено между сървъра на jabber.ru и останалата част от Интернет.
Обикновено, наличието на TLS сертификати предотвратява успеха на такава атака, стига да проверите сертификатите. В този случай обаче, атакуващият е успял да получи валидни сертификати за целевите домейни, правейки всички връзки да изглеждат като истински.
С появата на сертифициращи органи, базирани на ACME, като Let’s Encrypt, получаването на сертификати изобщо не е трудно за някой, който може да прихване и отговори на трафика, който се изпраща към конкретен сървър, и в този случай точно това се случи.
По какъв начин това е свързано с Chatrix.One?
Като цяло не е. Ние не използваме нито Hetzner нито Linode за хостване на нашите сървъри. Но това не означава, че услугата е тотално защитена. Именно поради тази причина, услуга бе подложена на цялостен одит.
Не установихме необичайно поведение, докладвано от екипа на jabber.ru, потвърждавайки нашето убеждение, че това е било насочено само към техните услуги.
С цел превенция от подобен тип атаки, са предприети следните действия:
- Внедрен е CAA - DNS запис гарантиращ, че само нашият Zero SSL акаунт ще бъде упълномощен да издава сертификати за домейнте, отговорни за XMPP услугата, а именно:
- chatrix.one
- conference.chatrix.one
- proxy.chatrix.one
- pubsub.chatrix.one
- upload.chatrix.one
- Активиран е DNSSEC за допълнителна защита;
- Използваме CertWatch, за мониторинг на сертификатите;
- Използваме crt.sh с цел да бъдем уведомени моментално, при всяка настъпила промяна в сертификата.