MITM-атака на JABBER.RU и XMPP.RU

Как грубо, нет бы в железо бекдор встроили чтобы оперативку читать.

И я надеюсь все и так в курсе что DV-сертификаты (даже при их честной реализации, т.е. допустим мы поверим что CA никогда не выпустят явные фейки) защищают только от mitm на стороне клиента, но никак не аплинков сервера. То же самое мог бы провернуть аплинк хетзнера не имея доступа никуда кроме канала.

перенаправление трафика было настроено в сети хостинг-провайдера

Ойляля, это что же получается 😁

Всё, о чём так долго говорили большевики по поводу сертификата Минцифры, вдруг сбылось с сертификатом Letsencrypt.

Товарищ майор не дремлет, получается.

Никогда такого не было и вот опять

Нет, это другое, см. мой коммент выше. Про наших подозревали что CA недобросовестный, а тут баянистый дефект в самой системе DV. Впрочем итог один: система публичных CA доверия не вызывает вне зависимости от деталей.

Я так понимаю, Mozilla/Google теперь должны перестать здороваться доверять сертификатам, выданным через Letsencrypt.

Я в целом не особо понимал, почему из сотен центров авторизации доверять можно было решительно всем и безоговорочно, кроме почему-то минцифры в отдельности.

Вы нипонимаите, это другое!

Сертификаты минцифры на хабре хорошо обстебали.

Scheisse! Гестапо добралось до уютненького жаббер.сру быстрее кэйджиби.

почему из сотен центров авторизации доверять можно было решительно всем и безоговорочно

Потому что все эти центры расположены в мире, основанном на правилах, и с работающими институтами, очевидно же 😄

Ну почему, если у них есть доступ к аплинку то и выпустить сертификат даже без воздействия на ишьюера не особая проблема.

Я так понимаю, там просто перенаправили трафик. То есть технически LE неуиноватый рафик ни при чём, есть правильный response на challenge — есть серт.

А вот логи Certificate Transparency мониторить таки надо.

Впрочем итог один: система публичных CA доверия не вызывает вне зависимости от деталей.

Дык а что теперь делать?

Товарищ майор не дремлет, получается.

Сомневаюсь, что это немецкий или американский майор. Как-то уж больно топорно с сертификатами. Более похоже на майора, но откуда-то из других мест, не имеющего их возможностей.

В целом забить. А если какие-то сайты тебе сверхважные (лор например и ещё какой-нить форум где ты дорожишь акком) - запинить их публичные ключи (надеясь что хотя бы сейчас они настоящие) чтоб CA не могли их подменить. Впрочем не стоит забывать, что вместо подмены сертификатов можно подменить железо на сервере у хостера и с этим ты ничего не поделаешь. А так, для большинства - знать, что на том конце неизвестно что, и даже если сертификат настоящий, то даже легитимные владельцы сайта (с которыми ты обычно даже не знаком) могут неожиданно решить устроить что-нить плохое.

Это демократический товарищ майор, он только о Благе беспокоится

token_polyak На хабре есть комент под этой же новостью https://habr.com/ru/news/768914/#comment_26076486

Есть один интересный момент.

Последние несколько дней в РФ осуществляется очередной эксперимент по блокировке протоколов через DPI у разных провайдеров, и на этот раз блокируют как раз таки именно Jabber/XMPP.

Интересный момент заключается в том, что при блокировке находящихся за границей XMPP серверов, конкретно jabber.ru почему-то не блокировали, хотя он находится в Хетцнере.

Очень люборытное совпадение.

Обсуждение блокировок XMPP https://ntc.party/t/обсуждение-блокировка-jabberxmpp-в-россии/5984

Правда ValdikSS там ответил, что вроде вещи не связанные. Х.з.

потому что доверять можно партнерам на условиях контрактов. А контракт в стране без законов бесполезен. Потому же и визы везде нужно получать с таким прекрасным красивым паспортом.

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

знать, что на том конце неизвестно что

Или неизвестно кто. Например, кот.

Кричали, что XMPP норм? Кричали. Кричали, что токс не нужен? Кричали.

Вот теперь жрите.

На хабре

В этой дурке для страдающих латыниной головного мозга ещё и не такие срывы покровов бывают.

Кричали, что токс не нужен?

Забыли уже, как в токс портачили?

кроме почему-то минцифры в отдельности

Потому, что так посчитала местная наиболее упоротая публика.

Забыли уже, как в токс портачили?

Где портачили? В токсе MITM атаки невозможны.

Токс просто дыряв.

Судя по всему, ничего секурнее шифрованной электронной почты через i2p сейчас попросту нет.

Секурнее всего никому ничего не сообщать никаким способом. Я проверял - работает!

Это пока товарищ майор не оказался внутри тебя

Такое повышение мне пока не грозит.

Хоть бы это был не тот парень про мамку которого я шутил :’(

И с каким же из этих светлых и добрых центров сертификации у мьсе есть контракт?

Судя по всему, ничего секурнее шифрованной электронной почты

Но чем это надежнее шифрованного жаббера? «Человек посередине» не смог бы ничего читать, если бы все данные были зашифрованы.

а я занимаюсь ssl сертификатами чтоли?

Где портачили? В токсе MITM атаки невозможны.

Ути-пути какой наивный чукотский юноша! Как там дела с тем кривым недоDNS для Tox, который должен быть помочь мапить никнеймы на tox id?

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

Прямо в абвер. Кино и немцы, ja ja.

я вообще думал жабры уже давно всё

На войне как на войне.

это получается, что западные спецслужбы умеют работать, а наши только впны блокируют.

Ну тогда и к чему тогда был этот пассаж про «доверие партнёрам» и «контракты»?

Токс просто дыряв.

Нагло врете и не стесняетесь.

Как там дела с тем кривым недоDNS для Tox, который должен быть помочь мапить никнеймы на tox id?

Каким боком эти 3rd party решения относятся к токсу и к MITM?

чтоб ты учился думать головой же. хинт: с кем нужно договариваться минцифры чтобы весь интернет доверял их сертификатам? со мной?

это не про LE, а про хостеров. прочитай статью, там все подробно разжевано.

Владельцы, убежав от страшного и ужасного кейджиби, внезапно попали в штази?

Знаешь, если уж выбирать между строчкой в логах и бутылкой шампанского в заднице, то выбор очевиден.

Так я не про весь интернет и говорил, ты сам-то голову напряги. Я про отечественную публику высказался — почему-де десяткам зарубежных центров доверять можно, а конкретно минцифре нет. Я вот оснований доверять какому-нибудь Chunghwa telecom не имею, а меж тем их сертификат у меня в ФФ имеется.

почему-де десяткам зарубежных центров доверять можно, а конкретно минцифре нет

Вопрос исключительно в юрисдикции. Если ты хорошенько подумаешь, ты поймешь почему это важно.

Как раз эта новость и показывает, что и юрисдикция ничего не решает, засада может быть со всех сторон.

Как раз эта новость и показывает, что и юрисдикция ничего не решает, засада может быть со всех сторон.

Как раз эта новость и показыавет, что последствия для тебя будут сильно разные. В одном случае ты в логах запись найдешь, в другом ты уедешь пылесосить бескрайние поля Сибири, потому что у суда нет оснований не доверять показаниям сотрудника полиции.