- 27,680
- 46
- 8 Ноя 2022
Секретность закончилась там, где началась самая базовая проверка инфраструктуры.
Даже сервисы, построенные для закрытого общения, иногда выдают себя не содержанием переписки, а обычной сетевой инфраструктурой. Аналитики Covert Security выяснили , что Jabber-сервер сообщества DarkForums работает не как скрытый сервис Tor, а через обычный публичный IP-адрес, доступный стандартным инструментам поиска по интернет-инфраструктуре.
DarkForums продвигает собственный XMPP-сервис как приватный канал для участников форума. При регистрации пользователям предлагают два домена, darked.im и darkforums.im, без указания, что их инфраструктура различается. Проверка через Censys показала, что оба домена ведут на один и тот же адрес 172.234.115.5.
Сервер работает на инфраструктуре Linode, входящей в Akamai Connected Cloud, а его геолокация указывает на Стокгольм. На том же адресе видны SSH, HTTP, HTTPS и несколько XMPP-портов. Ответ веб-сервера по HTTPS указывает на сервис Darked.IM для сообщества DarkForums, поэтому связать адрес с Jabber-сервером можно без взлома и активного зондирования сервиса.
Шифрование XMPP может защищать содержимое сообщений, но не скрывает саму инфраструктуру. Наблюдатель на сетевом уровне способен видеть факт подключения к серверу, частоту обращений, длительность сессий и другие метаданные. Для сервиса, который обещает защиту от слежки, такой разрыв между заявленной анонимностью и реальной схемой размещения создаёт серьёзный риск для пользователей.
Проверка DNS также выявила на том же IP публичный XMPP-сервис xmpp.sg, который внешне не связан с DarkForums. Кроме того, на адрес всё ещё указывает поддомен jdrtyipau.er18.mobi. Основной домен er18.mobi уже истёк и выставлен на продажу у китайского регистратора west.cn, а DNS-запись поддомена, судя по всему, осталась в старой конфигурации. Covert Security не делает выводов о природе связи, но считает запись поводом для дальнейшего наблюдения.
Авторы подчёркивают, что речь не идёт об уязвимости XMPP или ошибке шифрования. Адрес нашли через публичные DNS-данные и Censys, без попыток взлома сервера. Снизить риск в подобных случаях помогает не только шифрование переписки, но и скрытие инфраструктуры, разделение публичных сервисов, контроль DNS-записей и отказ от размещения приватных коммуникационных узлов на облачных адресах, видимых сканерам.
Даже сервисы, построенные для закрытого общения, иногда выдают себя не содержанием переписки, а обычной сетевой инфраструктурой. Аналитики Covert Security выяснили , что Jabber-сервер сообщества DarkForums работает не как скрытый сервис Tor, а через обычный публичный IP-адрес, доступный стандартным инструментам поиска по интернет-инфраструктуре.
DarkForums продвигает собственный XMPP-сервис как приватный канал для участников форума. При регистрации пользователям предлагают два домена, darked.im и darkforums.im, без указания, что их инфраструктура различается. Проверка через Censys показала, что оба домена ведут на один и тот же адрес 172.234.115.5.
Сервер работает на инфраструктуре Linode, входящей в Akamai Connected Cloud, а его геолокация указывает на Стокгольм. На том же адресе видны SSH, HTTP, HTTPS и несколько XMPP-портов. Ответ веб-сервера по HTTPS указывает на сервис Darked.IM для сообщества DarkForums, поэтому связать адрес с Jabber-сервером можно без взлома и активного зондирования сервиса.
Шифрование XMPP может защищать содержимое сообщений, но не скрывает саму инфраструктуру. Наблюдатель на сетевом уровне способен видеть факт подключения к серверу, частоту обращений, длительность сессий и другие метаданные. Для сервиса, который обещает защиту от слежки, такой разрыв между заявленной анонимностью и реальной схемой размещения создаёт серьёзный риск для пользователей.
Проверка DNS также выявила на том же IP публичный XMPP-сервис xmpp.sg, который внешне не связан с DarkForums. Кроме того, на адрес всё ещё указывает поддомен jdrtyipau.er18.mobi. Основной домен er18.mobi уже истёк и выставлен на продажу у китайского регистратора west.cn, а DNS-запись поддомена, судя по всему, осталась в старой конфигурации. Covert Security не делает выводов о природе связи, но считает запись поводом для дальнейшего наблюдения.
Авторы подчёркивают, что речь не идёт об уязвимости XMPP или ошибке шифрования. Адрес нашли через публичные DNS-данные и Censys, без попыток взлома сервера. Снизить риск в подобных случаях помогает не только шифрование переписки, но и скрытие инфраструктуры, разделение публичных сервисов, контроль DNS-записей и отказ от размещения приватных коммуникационных узлов на облачных адресах, видимых сканерам.
- Источник новости
- www.securitylab.ru
