Vor einigen Wochen bemerkte einer der Administratoren des Chat-Servers jabber.ru etwas Verd\u00e4chtiges: Als er versuchte, eine TLS-Verbindung herzustellen, erhielt er eine Fehlermeldung, die besagte, dass das TLS-Zertifikat abgelaufen war. Was zun\u00e4chst wie ein gew\u00f6hnlicher Fehler aussah, entpuppte sich jedoch als ernsthafter Sicherheitsvorfall.<\/p>\n
Weder auf dem Jabber-Server selbst noch auf einem davor geschalteten Proxy konnte das entsprechende Zertifikat und der dazugeh\u00f6rige Schl\u00fcssel gefunden werden. Es scheint, dass Unbekannte das Zertifikat bei der Stelle Let’s Encrypt beantragt hatten. Die Server, die betroffen waren, wurden in deutschen Rechenzentren der Betreiber Hetzner und Linode gehostet.<\/p>\n
Bei der Untersuchung auf einen m\u00f6glichen Eindringling stie\u00dfen die Administratoren von jabber.ru auf einen Protokolleintrag, der zus\u00e4tzliche Fragen aufwarf. Am 18. Juli gab es einen Ausfall des Netzwerkanschlusses des Hetzner-Servers f\u00fcr 19 Sekunden, ein Fehler, der offenbar an diesem Tag unbemerkt blieb. Weitere Untersuchungen ergaben, dass eines der verd\u00e4chtigen Zertifikate nur neun Minuten vor dem Netzwerkausfall von Let’s Encrypt ausgestellt wurde. Es verdichteten sich Hinweise darauf, dass jabber.ru einem Lauschangriff ausgesetzt war.<\/p>\n
Die unbekannten Angreifer hatten offensichtlich ein Ger\u00e4t zwischen dem Internet und den Chat-Servern platziert, um die TLS-Verbindung abzufangen und den entschl\u00fcsselten Datenverkehr weiterzuleiten. Normalerweise werden solche Angriffe als „Man in the Middle“ (MitM) bezeichnet. Die Betreiber vermuten, dass s\u00e4mtliche Unterhaltungen zwischen dem 21. Juli und dem 19. Oktober 2023 von den Angreifern erlangt wurden. Es wurden jedoch keine Anzeichen daf\u00fcr gefunden, dass die Server selbst kompromittiert wurden.<\/p>\n
Die russischen Administratoren k\u00f6nnen die Frage nach dem oder den Verantwortlichen f\u00fcr die Abh\u00f6raktion nicht mit Sicherheit beantworten. Die Vermutung besteht, dass es sich um sogenannte „Lawful Interception“ handelt, was bedeutet, dass es sich um eine rechtsstaatlich angeordnete Ma\u00dfnahme handelt, die von Strafverfolgungsbeh\u00f6rden oder Geheimdiensten durchgef\u00fchrt wird. Diese Vermutung wird durch die vermutliche Einbindung der beteiligten Hoster und die hohe Professionalit\u00e4t des Angriffs gest\u00fctzt, der \u00fcber Monate hinweg unentdeckt blieb. Es ist durchaus plausibel, dass diese Theorie zutrifft, da der russische Jabber-Server h\u00e4ufig im russischen Cybercrime-Umfeld genutzt wird.<\/p>\n
Es ist eine Ironie, dass das weit verbreitete ACME-Verfahren zur automatischen Ausstellung von Zertifikaten ausgerechnet von Let’s Encrypt verwendet wird. Wenn die Angreifer diese Funktion richtig in ihren Sp\u00e4hserver integriert h\u00e4tten, h\u00e4tten sie noch l\u00e4nger abh\u00f6ren k\u00f6nnen. Bereits zuvor hatten sie ein MitM-Zertifikat bestellt, das bis Januar 2024 g\u00fcltig ist.<\/p>\n
Bei solchen Abh\u00f6raktionen wird die Transportverschl\u00fcsselung (TLS) zwischen dem Client und dem Server umgangen, w\u00e4hrend die eigentliche Ende-zu-Ende-Verschl\u00fcsselung unber\u00fchrt bleibt, vorausgesetzt, dass beide Chat-Partner die korrekten Schl\u00fcssel verwenden. Obwohl das Jabber-Protokoll XMPP dies nicht unterst\u00fctzt, existieren Erweiterungen wie OMEMO, PGP oder OTR, die von beiden Chat-Partnern genutzt werden k\u00f6nnen. Die Betreiber der Server empfehlen den Nutzern, ihre Schl\u00fcssel einer \u00dcberpr\u00fcfung zu unterziehen. Es ist wahrscheinlich, dass eine neuere Version des verwendeten XMPP-Servers ejabberd einen Alarm ausgel\u00f6st h\u00e4tte. Laut einem der Entdecker des Abh\u00f6rangriffs auf dem Kurznachrichtendienst X wird in den aktuellen Versionen das Verfahren SCRAM Plus unterst\u00fctzt, das den Angriff aufgedeckt h\u00e4tte.<\/p>\n
Die Debatte um die staatliche Kontrolle \u00fcber digitale Kommunikation wird stark diskutiert. Die EU-Kommission beabsichtigt, Chatdienstanbieter durch beh\u00f6rdliche Anordnung dazu zu zwingen, Nachrichten auf m\u00f6glicherweise missbr\u00e4uchliche Inhalte zu \u00fcberpr\u00fcfen. Der vorgeschlagene Entwurf wird von einer Vielzahl betroffener Unternehmen, Netzaktivisten, Datensch\u00fctzern, B\u00fcrgerrechtlern, Rechtsexperten und sogar dem Bundesrat stark abgelehnt.<\/p>\n
Schlagw\u00f6rter: Sicherheitsvorfall + TLSZertifikat + Staatliche Kontrolle<\/p>\n","protected":false},"excerpt":{"rendered":"
Vor einigen Wochen bemerkte einer der Administratoren des Chat-Servers jabber.ru etwas Verd\u00e4chtiges: Als er versuchte, eine TLS-Verbindung herzustellen, erhielt er eine Fehlermeldung, die besagte, dass das TLS-Zertifikat abgelaufen war. Was zun\u00e4chst wie ein gew\u00f6hnlicher Fehler aussah, entpuppte sich jedoch als ernsthafter Sicherheitsvorfall. Weder auf dem Jabber-Server selbst noch auf einem...<\/p>\n","protected":false},"author":4,"featured_media":730,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-731","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/731","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=731"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/731\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/730"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=731"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=731"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=731"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}