Sicherheitsvorfall: Jabber-Server jabber.ru von Abhöraktion betroffen

Vor einigen Wochen bemerkte einer der Administratoren des Chat-Servers jabber.ru etwas Verdächtiges: Als er versuchte, eine TLS-Verbindung herzustellen, erhielt er eine Fehlermeldung, die besagte, dass das TLS-Zertifikat abgelaufen war. Was zunächst wie ein gewöhnlicher Fehler aussah, entpuppte sich jedoch als ernsthafter Sicherheitsvorfall.

Weder auf dem Jabber-Server selbst noch auf einem davor geschalteten Proxy konnte das entsprechende Zertifikat und der dazugehörige Schlüssel gefunden werden. Es scheint, dass Unbekannte das Zertifikat bei der Stelle Let’s Encrypt beantragt hatten. Die Server, die betroffen waren, wurden in deutschen Rechenzentren der Betreiber Hetzner und Linode gehostet.

Bei der Untersuchung auf einen möglichen Eindringling stießen die Administratoren von jabber.ru auf einen Protokolleintrag, der zusätzliche Fragen aufwarf. Am 18. Juli gab es einen Ausfall des Netzwerkanschlusses des Hetzner-Servers für 19 Sekunden, ein Fehler, der offenbar an diesem Tag unbemerkt blieb. Weitere Untersuchungen ergaben, dass eines der verdächtigen Zertifikate nur neun Minuten vor dem Netzwerkausfall von Let’s Encrypt ausgestellt wurde. Es verdichteten sich Hinweise darauf, dass jabber.ru einem Lauschangriff ausgesetzt war.

Die unbekannten Angreifer hatten offensichtlich ein Gerät zwischen dem Internet und den Chat-Servern platziert, um die TLS-Verbindung abzufangen und den entschlüsselten Datenverkehr weiterzuleiten. Normalerweise werden solche Angriffe als „Man in the Middle“ (MitM) bezeichnet. Die Betreiber vermuten, dass sämtliche Unterhaltungen zwischen dem 21. Juli und dem 19. Oktober 2023 von den Angreifern erlangt wurden. Es wurden jedoch keine Anzeichen dafür gefunden, dass die Server selbst kompromittiert wurden.

Die russischen Administratoren können die Frage nach dem oder den Verantwortlichen für die Abhöraktion nicht mit Sicherheit beantworten. Die Vermutung besteht, dass es sich um sogenannte „Lawful Interception“ handelt, was bedeutet, dass es sich um eine rechtsstaatlich angeordnete Maßnahme handelt, die von Strafverfolgungsbehörden oder Geheimdiensten durchgeführt wird. Diese Vermutung wird durch die vermutliche Einbindung der beteiligten Hoster und die hohe Professionalität des Angriffs gestützt, der über Monate hinweg unentdeckt blieb. Es ist durchaus plausibel, dass diese Theorie zutrifft, da der russische Jabber-Server häufig im russischen Cybercrime-Umfeld genutzt wird.

Es ist eine Ironie, dass das weit verbreitete ACME-Verfahren zur automatischen Ausstellung von Zertifikaten ausgerechnet von Let’s Encrypt verwendet wird. Wenn die Angreifer diese Funktion richtig in ihren Spähserver integriert hätten, hätten sie noch länger abhören können. Bereits zuvor hatten sie ein MitM-Zertifikat bestellt, das bis Januar 2024 gültig ist.

Bei solchen Abhöraktionen wird die Transportverschlüsselung (TLS) zwischen dem Client und dem Server umgangen, während die eigentliche Ende-zu-Ende-Verschlüsselung unberührt bleibt, vorausgesetzt, dass beide Chat-Partner die korrekten Schlüssel verwenden. Obwohl das Jabber-Protokoll XMPP dies nicht unterstützt, existieren Erweiterungen wie OMEMO, PGP oder OTR, die von beiden Chat-Partnern genutzt werden können. Die Betreiber der Server empfehlen den Nutzern, ihre Schlüssel einer Überprüfung zu unterziehen. Es ist wahrscheinlich, dass eine neuere Version des verwendeten XMPP-Servers ejabberd einen Alarm ausgelöst hätte. Laut einem der Entdecker des Abhörangriffs auf dem Kurznachrichtendienst X wird in den aktuellen Versionen das Verfahren SCRAM Plus unterstützt, das den Angriff aufgedeckt hätte.

Die Debatte um die staatliche Kontrolle über digitale Kommunikation wird stark diskutiert. Die EU-Kommission beabsichtigt, Chatdienstanbieter durch behördliche Anordnung dazu zu zwingen, Nachrichten auf möglicherweise missbräuchliche Inhalte zu überprüfen. Der vorgeschlagene Entwurf wird von einer Vielzahl betroffener Unternehmen, Netzaktivisten, Datenschützern, Bürgerrechtlern, Rechtsexperten und sogar dem Bundesrat stark abgelehnt.

Schlagwörter: Sicherheitsvorfall + TLSZertifikat + Staatliche Kontrolle

Wie bewerten Sie den Schreibstil des Artikels?