26.06.2016 | 21:31

Adam Haertle

Uwaga użytkownicy Jabbera! Wyciek danych oraz podsłuchy

Jabber (po ustandaryzowaniu zwany obecnie XMPP) okres świetności ma już za sobą (tak, był kiedyś taki protokół komunikacji), jednak nie znaczy to, że nikt z niego nie korzysta – ani że nie ma związanych z nim incydentów.

Przez zbieg okoliczności musimy Was dzisiaj poinformować o dwóch problemach związanych z Jabberem / XMPP. Po pierwsze prawdopodobnie wyciekła lista użytkowników i ich haseł z serwisu Jabbim.cz, który obsługiwał także polskie adresy Jabbim.pl i Jabster.pl. Po drugie zaobserwowano próby podsłuchiwania połączeń XMPP prowadzone przez kilka złośliwych węzłów sieci Tor.

Wyciek z Jabbim.cz

Na Twitterze rosyjskiej grupy zajmującej się m.in. handlem danymi użytkowników w0rm.ws pojawił się wpis następującej treści:

jabbim.cz .ws SHELL/DB for sale! over 1 million records! L:P plain text jid:[email protected]

Sugeruje on wyciek bazy ponad miliona kont Jabbera z popularnego czeskiego serwisu, który aktywnie działał także na terenie Polski. Co gorsza wygląda na to, że hasła użytkowników były przychowywane w formie jawnej. Wpisowi towarzyszył także zrzut ekranu który odpowiednio zanonimizowaliśmy:

Fragment bazy Jabbim.cz

Fragment bazy Jabbim.cz

Niestety zrzut ekranu wygląda w miarę wiarygodnie. Jeśli mieliście tam konto, to możecie uznać jego hasło za ujawnione i podjąć rytualne czynności z tym związane.

Podsłuch w złośliwych węzłach sieci Tor

Choć informacja pochodzi z marca tego roku, to trafiła do nas dopiero dzisiaj. Szwajcarski blog poinformował, że zauważył ataki MiTM na wiele serwisów XMPP przeprowadzane przez złośliwe węzły sieci Tor. Atakowane były co najmniej serwisy takie jak:

  • freifunk.im
  • jabber.ccc.de
  • jabber.systemli.org
  • jappix.org
  • jodo.im
  • pad7.de
  • swissjabber.ch
  • tigase.me

Nie jest wykluczone, że lista była dużo dłuższa. Ataki trwały co najmniej kilka dni. Pokazuje to bardzo realne, choć rzadko odnotowywane zagrożenie – gdy używacie sieci Tor, to każdy kontrolujący węzeł wyjściowy tej sieci może podsłuchać Wasz ruch. Przed takim ryzykiem ratuje tylko i wyłącznie szyfrowanie ruchu w dodatkowy sposób (np. poprzez korzystanie tylko z protokołów zapewniających własną warstwę szyfrowania). Pamiętajcie zatem, by Torowi nie ufać – nie tylko gdy jesteście użytkownikami XMPP.

Powrót

Komentarze

  • 2016.06.26 22:12 brthn

    Czy czasem jabber nie ma szyfrowania serwer-klient? Bo serwer-serwer na pewno ma, z tego co pamiętam.

    Odpowiedz
  • 2016.06.26 22:45 miki

    Miałem tam kiedyś konto i powiadomienie o wycieku bazy otrzymałem jakiś dłuższy czas temu, może z rok. Uznałem to za scam. Od tego czasu zaczęły się reklamy sklepów z kradzionymi kartami, anonimowych hostingów za btc, fałszywych paszportów i innych takich. Wiarygodności tych serwisów nie mogę potwierdzić, gdyż nie byłem tego typu usługami zainteresowany. Już dawno nie korzystam z tego konta a hasła nie pamiętam, więc nie wyciągnę dokładnej daty ani treści powiadomienia.

    Odpowiedz
  • 2016.06.26 23:26 jojo

    Gdzieś można sprawdzić czy jest się na liście wykradzionych loginów i haseł?

    Odpowiedz
    • 2016.06.26 23:52 Adam

      Nie można.

      Odpowiedz
  • 2016.06.27 00:45 Hejter

    Adamie co to za dziwne dosadzenie się do XMPP, proste odpalanie własnego serwer szyfrowanie site-to-site (OTR). Masz alternatywę, że tak z niego zakpiłeś na początku artykułu?

    Odpowiedz
    • 2016.06.27 07:45 Adam

      Dosadzanie? Realna ocena rynku. Wygrywa WhatsApp, FB Messenger, Telegram, Signal… Gdy zaczynał Jabber o nich nikt nie słyszał, dzisiaj najwięksi mają ponad miliard użytkowników a gdzie jest Jabber?

      Odpowiedz
      • 2016.06.27 08:41 Stefan

        A taki Google Talk to niby na jakim protokole stoi?

        Odpowiedz
        • 2016.06.27 08:52 Adam

          Masz na myśli tę wyłączoną w 2015 usługę?

          Odpowiedz
          • 2016.06.27 09:34 Zdziwiony

            Wstyd, nie spodziewałem się, że takie bzdury tu wyczytam. Cały czas korzystam z Gmail-a za pośrednictwem protokołu XMPP wraz z OTR. Byłbym zadowolony, gdyby w takim miejscu jak to znalazł się tutorial jak korzystać z XMPP/Jabbera, a nie cieszyć się, że FB, czy WA ma tylu użytkowników. Z przykrością stwierdzam, że na dobreprogramy.pl z większym szacunkiem do prywatności podchodzą. Szkoda :(.

            Dla chcących korzystać z google talka za pośrednictwem protokołu xmpp z OTR:
            nazwa użytkownika: marcin 12 – jesli adresem jest [email protected]
            domena: gmail.com
            port: 5222
            wymagane szyfrowanie

            Posiadając tak skonfigurowanego google talka możemy pisać z każdym użytkownikiem jabbera/xmpp. Polecam jednak, aby założyć konta na bardziej bezpiecznych serwerach np. https://www.calyxinstitute.org/projects/public_jabber_xmpp_server, xmpp.jp, otr.im

          • 2016.06.27 09:48 Adam

            Z ciekawości – dlaczego nie należy się cieszyć z tego, że miliard użytkowników WhatsAppa ma darmowy dostęp do szyfrowania E2E?

          • 2016.06.27 10:06 Zdziwiony

            Po części można się cieszyć z E2E w WA, ale Ty chyba sobie zdajesz sprawę z informacji zawartych w tzw. meta danych. WA m. in. przejmuje całą Twoją bazę kontaktów. To co piszesz jest mniej ważne.
            Cieszę się, że E2E trafił „pod strzechy”. Wydaję mi się jednak, że od Z3S można wymagać czegoś więcej i propagowania wśród swoich – chyba bardziej świadomych – czytelników rozwiązań bardziej wspierających prywatność.

          • 2016.06.27 10:10 Adam

            Najbardziej prywatność wspiera rozmowa w 4 oczy w odosobnionym miejscu, jednak trudno jest ją wdrożyć. Bezpieczeństwo „łatwe” jest 10 razy lepsze od „idealnego z którego przeciętny człowiek nie potrafi lub nie chce skorzystać lub nie chcą i nie potrafią jego znajomi z którymi chce rozmawiać”. Jeśli ktoś mnie zapyta „chcę absolutnie poufnej komunikacji, gdzie treść i metadane nigdy się nie pojawią w formie jawnej lub możliwej do odzyskania” to usłyszy „używaj Bitmessage”. Ale jeśli ktoś zapyta „Chcę po prostu bezpiecznie rozmawiać i nie chcę się martwić konfiguracją, instalowaniem wtyczek, ma być łatwo szybko i prosto i rozmówca ma mieć tę usługę” to usłyszy „WhatsApp albo Signal”.

          • 2016.06.27 10:24 Zdziwiony

            Zainstalowanie Chat Secure https://chatsecure.org/ na iphonie, czy androidzie i założenie konta xmpp jest banalnie proste – wszystko w ramach aplikacji. Wiem, bo nawet moi znajomi, którzy znają się tylko na pakiecie office byli w stanie to zrobić. Od takich osób jak Ty powinno się oczekiwać promowania rozwiązań bezpiecznych. Tu nie chodzi o zakładanie czapki z folii aluminiowej. Dla WA, czy Facebooka jesteś tylko produktem. Ty i Twoja książka kontaktów. No i twoich znajomych, bo wnioskuję, że im polecasz WA.
            Dodatkowo tylko napiszę, że mając już konto xmpp, to mogę korzystać z niego też na komputerze np. pidgin.

          • 2016.06.30 16:09 HUB45

            Adam, czyli każdy, który dał ci numer telefonu jest skazany na umieszczenie w bazie Facebooka. Dziękuję!

          • 2016.07.07 16:09 Adam

            1) Silent Circle nie ma NIC wspólnego z Signalem
            2) Kanarek Silent Circle został zdjęty 2 LATA TEMU tylko nikt nie zwrócił uwagi

          • 2016.07.08 12:23 ?

            Myślę, że autorowi raczej chodzi o to, że każda usługa zcenralizowana, a do niej należy Signal, spadkobierca Text Secure…
            może w pewnym momencie być „przejęta”.

      • 2016.06.27 09:21 Tomasz

        Owszem, dosadzanie i to bez powodu, a to dlatego że:

        1) w maju 2014, najpopularniejsi dostawcy usług XMPP, włączyli obowiązkowe szyfrowanie połączeń klient-serwer i serwer serwer, a także mocne zalecenie stosowania zaufanych certyfikatów co nie jest żadnym problemem bo są dostępne za darmo.
        Nie wiem czy można podać linka, jeśli nie to proszę go wyciąć:
        http://www.dobreprogramy.pl/Najwieksze-serwery-XMPPJabber-wlaczyly-obowiazkowe-szyfrowanie,News,54533.html

        2) w kontekście punktu pierwszego tytuł tego artykułu jest dość Onetowy,

        3) biorąc pod uwagę punkty 1 i 2 można mieć wrażenie że autor artykułu ma jakiś osobisty uraz do Jabbera a głównym (jedynym?) wymienionym zarzutem jest jego rzekoma niska popularność, tak jak by to było jakimś wyznacznikiem,

        „a gdzie jest Jabber?”
        Np. u mnie (na komputerze i smartfonie), u moich znajomych, w mojej pracy.
        Natomiast nie używałem nigdy żadnego z wymienionych 'wygrywających’ rozwiązań. Nieco smutne jest to że dla redaktora tego typu portalu wygrywające = najpopularniejsze, mimo że niektóre z tych rozwiązań mają centralne serwery, które mogą wszystko, lub sekcję 'Privacy concerns’ w opisie na wikipedii.

        Odpowiedz
        • 2016.06.27 09:45 Adam

          Nie mam nic do Jabbera, po prostu cytuję liczby. Popatrzmy na jednego konkurenta. WhatsApp. Ponad miliard uzytkowników. Pełne szyfrowanie E2E. Rozumiem miłość do Jabbera, szanuję, ale przez Jabbera mogę porozmawiać z może 5 znajomymi (co czasem robię), a przez WhatsAppa z 50 (a przecież większość to ludzie z branży IT / security). Ja po prostu nie dyskutuję z faktami, wygrało to, co wygodniejsze.

          Odpowiedz
          • 2016.06.27 11:00 Yanusz

            No ale z dżentelmenami z TR przez WhatsApp nie pogadasz =D

          • 2016.06.27 15:36 Muka

            Tak, a dbajacy o prywatnosc korespondencji to tylko gwalciciele, pedofile, terrorysci i zlodzieje… Plakac sie chce.

          • 2016.06.27 13:27 Robik

            Jak dla mnie tylko jedna cecha WhatsApp jest dyskwalifikująca.
            Przypisanie konta do telefonu. Chyba że znacz metodę na rejestrację BEZ konieczności tworzenia konta z poziomu telefonu ?

          • 2016.06.27 22:01 Mickie

            Słowo klucz „wygodniejsze”. Nie ma co, od kiedy pęd owczy określany jest jako „wygodniejsze”. Nie ukrywajmy prawdy.

          • 2016.06.28 08:25 zakius

            WA nie ma klienta desktopowego za to, co jest całkowicie idiotyczne

          • 2016.06.29 04:43 Krzysiu

            Cytujesz liczby? Jeśli tak, to nie w artykule. Tam jedynie są Twoje stwierdzenia. Wiadomo, jest teraz wiele popularnych komunikatorów, ale z drugiej strony XMPP nigdy nie było jakoś super popularne – to moja opinia, może fakty są inne. Tak jak teraz jest FB, tak był YIM, MSN, wcześniej ICQ. Wśród moich informatycznych znajomych jest i było pełno użytkowników, a wśród reszty zero. Większość przeszła z MSN (a w PL z GG) na FB. Stąd nie uważam, że XMPP jest w czasach świetności, ale też nie uważam, że kiedykolwiek w nich był. Twoje twierdzenie sugeruje, że wiele stracił, a bez zobaczenia konkretnych danych na przestrzeni lat, myślę, że niewiele się zmieniło. Jedynie może doszło do fragmentacji – więcej serwerów, które mają mniej userów. XMPP był zawsze niszowy protokół jeśli chodzi o czystą komunikację szarego użytkownika – tj. nie jakieś protokoły zbudowane na nim, nie komunikacja botów, ale ludzie świadomie wybierający XMPP/Jabber.

      • 2016.07.01 16:53 adrb

        „Dosadzanie? Realna ocena rynku. Wygrywa WhatsApp, FB Messenger, Telegram, Signal… Gdy zaczynał Jabber o nich nikt nie słyszał, dzisiaj najwięksi mają ponad miliard użytkowników a gdzie jest Jabber?”

        WhatApp i FB zamiennikiem Jabbera? Ok super, to daj opis albo link jak sobie postawić serwer WhatApp czy FB Messenger :)

        Naprawdę uważasz że to jest alternatywa? Wyobraź sobie co gdy jesteś w sytuacji gdy zleży Ci na prywatności, np chcesz wdrożyć system IM dla swojej organizacji. Nie każdy chce i może się dzielić swoimi sekretami z trzecimi podmiotami.

        Odpowiedz
        • 2016.07.01 16:57 Adam

          No bez przesady znowu. Uderzając w Twój ton „A co w sytuacji gdy chcesz przekazać tajemnice państwową bo jesteś szpiegiem osadzonym głęboko w strukturach Mossadu? I niby Jabber ma być bezpieczny?”
          Ja piszę o narzędziach komunikacyjnych dla zwykłych ludzi, którzy nigdy nie skorzystają z aplikacji którą trzeba dopiero konfigurować lub z której nie korzysta przynajmniej 10% ich znajomych.
          BTW z WhatsApp dzielisz się tylko metadanymi, nie treścią komunikacji. I tak, wiem jakie znaczenie mają metadane. Ale nie dla każdego użytkownika to takie ważne.

          Odpowiedz
          • 2016.07.02 11:51 ?

            Może opiszesz ludziom jak w prosty sposób skonfigurować klienta xmpp, zainstalować wtyczkę OTR. Może dzięki Tobie kilka osób odejdzie z WA czy FB na rzecz otwartych rozwiązań. Zasiej ziarno. :)

          • 2016.07.02 12:20 Adam

            „Niech ktoś”. Proponuję zatem orędownikom XMPP napisać przystępnym językiem poradnik „Jabber dla początkujących” a ja go chętnie opublikuję jeśli będzie dobrze napisany. Łącznie z rozwiązaniami na urządzenia mobilne i stawianiem własnego serwera. W ten sposób wszyscy będą zadowoleni.

          • 2016.07.04 10:45 adrb

            „Ja piszę o narzędziach komunikacyjnych dla zwykłych ludzi, którzy nigdy nie skorzystają z aplikacji którą trzeba dopiero konfigurować lub z której nie korzysta przynajmniej 10% ich znajomych.”

            Ok rozumiem, tym bardziej jednak nie rozumiem czemu porównujesz takie rozwiązania do jabbera, który ma jednak trochę inny „target”.

            „Proponuję zatem orędownikom XMPP napisać przystępnym językiem poradnik „Jabber dla początkujących” a ja go chętnie opublikuję jeśli będzie dobrze napisany. Łącznie z rozwiązaniami na urządzenia mobilne i stawianiem własnego serwera.”

            Trzymam za słowo ;]

    • 2016.06.28 08:25 zakius

      chociażby dlatego, że klient XMPP musi działać stale, a Telegram wysyła powiadomienia Push za pomocą usługi systemowej na urządzeniach mobilnych

      Odpowiedz
  • 2016.06.27 10:57 NitroFuN

    Ale co do jabbima to wyciek był już ładny rok/dwa lata temu

    Odpowiedz
  • 2016.06.28 14:01 stancu

    „Przed takim ryzykiem ratuje tylko i wyłącznie szyfrowanie ruchu w dodatkowy sposób (np. poprzez korzystanie tylko z protokołów zapewniających własną warstwę szyfrowania)” – czy chodzi np. o VPN?

    Odpowiedz
  • 2016.06.30 13:17 SasQ

    Wyciek był, i to nie jeden. Najstarszy ponad rok temu, następny krótki po tym, ale pewnie nie ostatnie, sądząc po tym, jak administracja tego serwera podchodzi do spraw bezpieczeństwa i w jak głębokim poważaniu ma swoich użytkowników. Po tych wyciekach zmieniałem hasło już kilka razy, zgodnie z zaleceniami, ale sprawa jest głębsza, bo najwyraźniej Ruscy mogą sobie bezkarnie buszować po ich serwerach i robić co chcą, jako że od tamtego czasu bez przerwy mnie nękają sfałszowanymi niedostarczonymi wiadomościami wypchanymi cyrylicą reklamującą… usługi spamowania przez Jabbera :P A gdy zgłosiłem ten problem adminom, to mnie wykpili :P sugerując, że jeśli mi się coś nie podoba, to przecież nie muszę korzystać z ich „usług” :P Kupa śmiechu ten Jabbim i tyle. Nie polecam zakładać tam konta.

    Odpowiedz
  • 2016.07.07 08:12 krang

    Adam, Adam, Adam. Czemu dajesz się wciągać wymianę ognia z userami w komentarzach? Wszyscy ludzie o pojętnych mózgach potrafią zrozumieć Twoje przesłanie na temat komunikatorów i ogólnej bezpiecznej komunikacji. Zacietrzewieni zwolennicy jednego i drugiego nie reprezentują otwartych umysłów jak Twój. To jest tylko motłoch, dzieciarnia i komentatorzy za 5 zł :) Olej ich, tego nie wykształcisz to jest gimnazjinium :P

    Odpowiedz

Zostaw odpowiedź do Tomasz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga użytkownicy Jabbera! Wyciek danych oraz podsłuchy

Komentarze