Jabber (po ustandaryzowaniu zwany obecnie XMPP) okres świetności ma już za sobą (tak, był kiedyś taki protokół komunikacji), jednak nie znaczy to, że nikt z niego nie korzysta – ani że nie ma związanych z nim incydentów.
Przez zbieg okoliczności musimy Was dzisiaj poinformować o dwóch problemach związanych z Jabberem / XMPP. Po pierwsze prawdopodobnie wyciekła lista użytkowników i ich haseł z serwisu Jabbim.cz, który obsługiwał także polskie adresy Jabbim.pl i Jabster.pl. Po drugie zaobserwowano próby podsłuchiwania połączeń XMPP prowadzone przez kilka złośliwych węzłów sieci Tor.
Wyciek z Jabbim.cz
Na Twitterze rosyjskiej grupy zajmującej się m.in. handlem danymi użytkowników w0rm.ws pojawił się wpis następującej treści:
Sugeruje on wyciek bazy ponad miliona kont Jabbera z popularnego czeskiego serwisu, który aktywnie działał także na terenie Polski. Co gorsza wygląda na to, że hasła użytkowników były przychowywane w formie jawnej. Wpisowi towarzyszył także zrzut ekranu który odpowiednio zanonimizowaliśmy:
Fragment bazy Jabbim.cz
Niestety zrzut ekranu wygląda w miarę wiarygodnie. Jeśli mieliście tam konto, to możecie uznać jego hasło za ujawnione i podjąć rytualne czynności z tym związane.
Podsłuch w złośliwych węzłach sieci Tor
Choć informacja pochodzi z marca tego roku, to trafiła do nas dopiero dzisiaj. Szwajcarski blog poinformował, że zauważył ataki MiTM na wiele serwisów XMPP przeprowadzane przez złośliwe węzły sieci Tor. Atakowane były co najmniej serwisy takie jak:
- freifunk.im
- jabber.ccc.de
- jabber.systemli.org
- jappix.org
- jodo.im
- pad7.de
- swissjabber.ch
- tigase.me
Nie jest wykluczone, że lista była dużo dłuższa. Ataki trwały co najmniej kilka dni. Pokazuje to bardzo realne, choć rzadko odnotowywane zagrożenie – gdy używacie sieci Tor, to każdy kontrolujący węzeł wyjściowy tej sieci może podsłuchać Wasz ruch. Przed takim ryzykiem ratuje tylko i wyłącznie szyfrowanie ruchu w dodatkowy sposób (np. poprzez korzystanie tylko z protokołów zapewniających własną warstwę szyfrowania). Pamiętajcie zatem, by Torowi nie ufać – nie tylko gdy jesteście użytkownikami XMPP.
Komentarze
Czy czasem jabber nie ma szyfrowania serwer-klient? Bo serwer-serwer na pewno ma, z tego co pamiętam.
Miałem tam kiedyś konto i powiadomienie o wycieku bazy otrzymałem jakiś dłuższy czas temu, może z rok. Uznałem to za scam. Od tego czasu zaczęły się reklamy sklepów z kradzionymi kartami, anonimowych hostingów za btc, fałszywych paszportów i innych takich. Wiarygodności tych serwisów nie mogę potwierdzić, gdyż nie byłem tego typu usługami zainteresowany. Już dawno nie korzystam z tego konta a hasła nie pamiętam, więc nie wyciągnę dokładnej daty ani treści powiadomienia.
Gdzieś można sprawdzić czy jest się na liście wykradzionych loginów i haseł?
Nie można.
Adamie co to za dziwne dosadzenie się do XMPP, proste odpalanie własnego serwer szyfrowanie site-to-site (OTR). Masz alternatywę, że tak z niego zakpiłeś na początku artykułu?
Dosadzanie? Realna ocena rynku. Wygrywa WhatsApp, FB Messenger, Telegram, Signal… Gdy zaczynał Jabber o nich nikt nie słyszał, dzisiaj najwięksi mają ponad miliard użytkowników a gdzie jest Jabber?
A taki Google Talk to niby na jakim protokole stoi?
Masz na myśli tę wyłączoną w 2015 usługę?
Wstyd, nie spodziewałem się, że takie bzdury tu wyczytam. Cały czas korzystam z Gmail-a za pośrednictwem protokołu XMPP wraz z OTR. Byłbym zadowolony, gdyby w takim miejscu jak to znalazł się tutorial jak korzystać z XMPP/Jabbera, a nie cieszyć się, że FB, czy WA ma tylu użytkowników. Z przykrością stwierdzam, że na dobreprogramy.pl z większym szacunkiem do prywatności podchodzą. Szkoda :(.
Dla chcących korzystać z google talka za pośrednictwem protokołu xmpp z OTR:
nazwa użytkownika: marcin 12 – jesli adresem jest [email protected]
domena: gmail.com
port: 5222
wymagane szyfrowanie
Posiadając tak skonfigurowanego google talka możemy pisać z każdym użytkownikiem jabbera/xmpp. Polecam jednak, aby założyć konta na bardziej bezpiecznych serwerach np. https://www.calyxinstitute.org/projects/public_jabber_xmpp_server, xmpp.jp, otr.im
Z ciekawości – dlaczego nie należy się cieszyć z tego, że miliard użytkowników WhatsAppa ma darmowy dostęp do szyfrowania E2E?
Po części można się cieszyć z E2E w WA, ale Ty chyba sobie zdajesz sprawę z informacji zawartych w tzw. meta danych. WA m. in. przejmuje całą Twoją bazę kontaktów. To co piszesz jest mniej ważne.
Cieszę się, że E2E trafił „pod strzechy”. Wydaję mi się jednak, że od Z3S można wymagać czegoś więcej i propagowania wśród swoich – chyba bardziej świadomych – czytelników rozwiązań bardziej wspierających prywatność.
Najbardziej prywatność wspiera rozmowa w 4 oczy w odosobnionym miejscu, jednak trudno jest ją wdrożyć. Bezpieczeństwo „łatwe” jest 10 razy lepsze od „idealnego z którego przeciętny człowiek nie potrafi lub nie chce skorzystać lub nie chcą i nie potrafią jego znajomi z którymi chce rozmawiać”. Jeśli ktoś mnie zapyta „chcę absolutnie poufnej komunikacji, gdzie treść i metadane nigdy się nie pojawią w formie jawnej lub możliwej do odzyskania” to usłyszy „używaj Bitmessage”. Ale jeśli ktoś zapyta „Chcę po prostu bezpiecznie rozmawiać i nie chcę się martwić konfiguracją, instalowaniem wtyczek, ma być łatwo szybko i prosto i rozmówca ma mieć tę usługę” to usłyszy „WhatsApp albo Signal”.
Zainstalowanie Chat Secure https://chatsecure.org/ na iphonie, czy androidzie i założenie konta xmpp jest banalnie proste – wszystko w ramach aplikacji. Wiem, bo nawet moi znajomi, którzy znają się tylko na pakiecie office byli w stanie to zrobić. Od takich osób jak Ty powinno się oczekiwać promowania rozwiązań bezpiecznych. Tu nie chodzi o zakładanie czapki z folii aluminiowej. Dla WA, czy Facebooka jesteś tylko produktem. Ty i Twoja książka kontaktów. No i twoich znajomych, bo wnioskuję, że im polecasz WA.
Dodatkowo tylko napiszę, że mając już konto xmpp, to mogę korzystać z niego też na komputerze np. pidgin.
Adam, czyli każdy, który dał ci numer telefonu jest skazany na umieszczenie w bazie Facebooka. Dziękuję!
Nadal polecasz znajomym Signal? ;)
http://www.dobreprogramy.pl/Kanarek-Silent-Circle-nie-zyje.-Bezpieczny-smartfon-i-komunikator-przestaly-byc-bezpieczne,News,74594.html
1) Silent Circle nie ma NIC wspólnego z Signalem
2) Kanarek Silent Circle został zdjęty 2 LATA TEMU tylko nikt nie zwrócił uwagi
Myślę, że autorowi raczej chodzi o to, że każda usługa zcenralizowana, a do niej należy Signal, spadkobierca Text Secure…
może w pewnym momencie być „przejęta”.
Owszem, dosadzanie i to bez powodu, a to dlatego że:
1) w maju 2014, najpopularniejsi dostawcy usług XMPP, włączyli obowiązkowe szyfrowanie połączeń klient-serwer i serwer serwer, a także mocne zalecenie stosowania zaufanych certyfikatów co nie jest żadnym problemem bo są dostępne za darmo.
Nie wiem czy można podać linka, jeśli nie to proszę go wyciąć:
http://www.dobreprogramy.pl/Najwieksze-serwery-XMPPJabber-wlaczyly-obowiazkowe-szyfrowanie,News,54533.html
2) w kontekście punktu pierwszego tytuł tego artykułu jest dość Onetowy,
3) biorąc pod uwagę punkty 1 i 2 można mieć wrażenie że autor artykułu ma jakiś osobisty uraz do Jabbera a głównym (jedynym?) wymienionym zarzutem jest jego rzekoma niska popularność, tak jak by to było jakimś wyznacznikiem,
„a gdzie jest Jabber?”
Np. u mnie (na komputerze i smartfonie), u moich znajomych, w mojej pracy.
Natomiast nie używałem nigdy żadnego z wymienionych 'wygrywających’ rozwiązań. Nieco smutne jest to że dla redaktora tego typu portalu wygrywające = najpopularniejsze, mimo że niektóre z tych rozwiązań mają centralne serwery, które mogą wszystko, lub sekcję 'Privacy concerns’ w opisie na wikipedii.
Nie mam nic do Jabbera, po prostu cytuję liczby. Popatrzmy na jednego konkurenta. WhatsApp. Ponad miliard uzytkowników. Pełne szyfrowanie E2E. Rozumiem miłość do Jabbera, szanuję, ale przez Jabbera mogę porozmawiać z może 5 znajomymi (co czasem robię), a przez WhatsAppa z 50 (a przecież większość to ludzie z branży IT / security). Ja po prostu nie dyskutuję z faktami, wygrało to, co wygodniejsze.
No ale z dżentelmenami z TR przez WhatsApp nie pogadasz =D
Tak, a dbajacy o prywatnosc korespondencji to tylko gwalciciele, pedofile, terrorysci i zlodzieje… Plakac sie chce.
Jak dla mnie tylko jedna cecha WhatsApp jest dyskwalifikująca.
Przypisanie konta do telefonu. Chyba że znacz metodę na rejestrację BEZ konieczności tworzenia konta z poziomu telefonu ?
Słowo klucz „wygodniejsze”. Nie ma co, od kiedy pęd owczy określany jest jako „wygodniejsze”. Nie ukrywajmy prawdy.
WA nie ma klienta desktopowego za to, co jest całkowicie idiotyczne
Cytujesz liczby? Jeśli tak, to nie w artykule. Tam jedynie są Twoje stwierdzenia. Wiadomo, jest teraz wiele popularnych komunikatorów, ale z drugiej strony XMPP nigdy nie było jakoś super popularne – to moja opinia, może fakty są inne. Tak jak teraz jest FB, tak był YIM, MSN, wcześniej ICQ. Wśród moich informatycznych znajomych jest i było pełno użytkowników, a wśród reszty zero. Większość przeszła z MSN (a w PL z GG) na FB. Stąd nie uważam, że XMPP jest w czasach świetności, ale też nie uważam, że kiedykolwiek w nich był. Twoje twierdzenie sugeruje, że wiele stracił, a bez zobaczenia konkretnych danych na przestrzeni lat, myślę, że niewiele się zmieniło. Jedynie może doszło do fragmentacji – więcej serwerów, które mają mniej userów. XMPP był zawsze niszowy protokół jeśli chodzi o czystą komunikację szarego użytkownika – tj. nie jakieś protokoły zbudowane na nim, nie komunikacja botów, ale ludzie świadomie wybierający XMPP/Jabber.
„Dosadzanie? Realna ocena rynku. Wygrywa WhatsApp, FB Messenger, Telegram, Signal… Gdy zaczynał Jabber o nich nikt nie słyszał, dzisiaj najwięksi mają ponad miliard użytkowników a gdzie jest Jabber?”
WhatApp i FB zamiennikiem Jabbera? Ok super, to daj opis albo link jak sobie postawić serwer WhatApp czy FB Messenger :)
Naprawdę uważasz że to jest alternatywa? Wyobraź sobie co gdy jesteś w sytuacji gdy zleży Ci na prywatności, np chcesz wdrożyć system IM dla swojej organizacji. Nie każdy chce i może się dzielić swoimi sekretami z trzecimi podmiotami.
No bez przesady znowu. Uderzając w Twój ton „A co w sytuacji gdy chcesz przekazać tajemnice państwową bo jesteś szpiegiem osadzonym głęboko w strukturach Mossadu? I niby Jabber ma być bezpieczny?”
Ja piszę o narzędziach komunikacyjnych dla zwykłych ludzi, którzy nigdy nie skorzystają z aplikacji którą trzeba dopiero konfigurować lub z której nie korzysta przynajmniej 10% ich znajomych.
BTW z WhatsApp dzielisz się tylko metadanymi, nie treścią komunikacji. I tak, wiem jakie znaczenie mają metadane. Ale nie dla każdego użytkownika to takie ważne.
Może opiszesz ludziom jak w prosty sposób skonfigurować klienta xmpp, zainstalować wtyczkę OTR. Może dzięki Tobie kilka osób odejdzie z WA czy FB na rzecz otwartych rozwiązań. Zasiej ziarno. :)
„Niech ktoś”. Proponuję zatem orędownikom XMPP napisać przystępnym językiem poradnik „Jabber dla początkujących” a ja go chętnie opublikuję jeśli będzie dobrze napisany. Łącznie z rozwiązaniami na urządzenia mobilne i stawianiem własnego serwera. W ten sposób wszyscy będą zadowoleni.
„Ja piszę o narzędziach komunikacyjnych dla zwykłych ludzi, którzy nigdy nie skorzystają z aplikacji którą trzeba dopiero konfigurować lub z której nie korzysta przynajmniej 10% ich znajomych.”
Ok rozumiem, tym bardziej jednak nie rozumiem czemu porównujesz takie rozwiązania do jabbera, który ma jednak trochę inny „target”.
„Proponuję zatem orędownikom XMPP napisać przystępnym językiem poradnik „Jabber dla początkujących” a ja go chętnie opublikuję jeśli będzie dobrze napisany. Łącznie z rozwiązaniami na urządzenia mobilne i stawianiem własnego serwera.”
Trzymam za słowo ;]
chociażby dlatego, że klient XMPP musi działać stale, a Telegram wysyła powiadomienia Push za pomocą usługi systemowej na urządzeniach mobilnych
Ale co do jabbima to wyciek był już ładny rok/dwa lata temu
„Przed takim ryzykiem ratuje tylko i wyłącznie szyfrowanie ruchu w dodatkowy sposób (np. poprzez korzystanie tylko z protokołów zapewniających własną warstwę szyfrowania)” – czy chodzi np. o VPN?
Wyciek był, i to nie jeden. Najstarszy ponad rok temu, następny krótki po tym, ale pewnie nie ostatnie, sądząc po tym, jak administracja tego serwera podchodzi do spraw bezpieczeństwa i w jak głębokim poważaniu ma swoich użytkowników. Po tych wyciekach zmieniałem hasło już kilka razy, zgodnie z zaleceniami, ale sprawa jest głębsza, bo najwyraźniej Ruscy mogą sobie bezkarnie buszować po ich serwerach i robić co chcą, jako że od tamtego czasu bez przerwy mnie nękają sfałszowanymi niedostarczonymi wiadomościami wypchanymi cyrylicą reklamującą… usługi spamowania przez Jabbera :P A gdy zgłosiłem ten problem adminom, to mnie wykpili :P sugerując, że jeśli mi się coś nie podoba, to przecież nie muszę korzystać z ich „usług” :P Kupa śmiechu ten Jabbim i tyle. Nie polecam zakładać tam konta.
Adam, Adam, Adam. Czemu dajesz się wciągać wymianę ognia z userami w komentarzach? Wszyscy ludzie o pojętnych mózgach potrafią zrozumieć Twoje przesłanie na temat komunikatorów i ogólnej bezpiecznej komunikacji. Zacietrzewieni zwolennicy jednego i drugiego nie reprezentują otwartych umysłów jak Twój. To jest tylko motłoch, dzieciarnia i komentatorzy za 5 zł :) Olej ich, tego nie wykształcisz to jest gimnazjinium :P