Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Обещали анонимность, но забыли спрятать IP. Приватный чат DarkForums сдал пользователей первому же сканеру

leer en español

10296
DarkForums Jabber XMPP Censys Linode Akamai DNS
Обещали анонимность, но забыли спрятать IP. Приватный чат DarkForums сдал пользователей первому же сканеру
DarkForums Jabber XMPP Censys Linode Akamai DNS

Секретность закончилась там, где началась самая базовая проверка инфраструктуры.

image

Даже сервисы, построенные для закрытого общения, иногда выдают себя не содержанием переписки, а обычной сетевой инфраструктурой. Аналитики Covert Security выяснили, что Jabber-сервер сообщества DarkForums работает не как скрытый сервис Tor, а через обычный публичный IP-адрес, доступный стандартным инструментам поиска по интернет-инфраструктуре.

DarkForums продвигает собственный XMPP-сервис как приватный канал для участников форума. При регистрации пользователям предлагают два домена, darked.im и darkforums.im, без указания, что их инфраструктура различается. Проверка через Censys показала, что оба домена ведут на один и тот же адрес 172.234.115.5.

Сервер работает на инфраструктуре Linode, входящей в Akamai Connected Cloud, а его геолокация указывает на Стокгольм. На том же адресе видны SSH, HTTP, HTTPS и несколько XMPP-портов. Ответ веб-сервера по HTTPS указывает на сервис Darked.IM для сообщества DarkForums, поэтому связать адрес с Jabber-сервером можно без взлома и активного зондирования сервиса.

Шифрование XMPP может защищать содержимое сообщений, но не скрывает саму инфраструктуру. Наблюдатель на сетевом уровне способен видеть факт подключения к серверу, частоту обращений, длительность сессий и другие метаданные. Для сервиса, который обещает защиту от слежки, такой разрыв между заявленной анонимностью и реальной схемой размещения создаёт серьёзный риск для пользователей.

Проверка DNS также выявила на том же IP публичный XMPP-сервис xmpp.sg, который внешне не связан с DarkForums. Кроме того, на адрес всё ещё указывает поддомен jdrtyipau.er18.mobi. Основной домен er18.mobi уже истёк и выставлен на продажу у китайского регистратора west.cn, а DNS-запись поддомена, судя по всему, осталась в старой конфигурации. Covert Security не делает выводов о природе связи, но считает запись поводом для дальнейшего наблюдения.

Авторы подчёркивают, что речь не идёт об уязвимости XMPP или ошибке шифрования. Адрес нашли через публичные DNS-данные и Censys, без попыток взлома сервера. Снизить риск в подобных случаях помогает не только шифрование переписки, но и скрытие инфраструктуры, разделение публичных сервисов, контроль DNS-записей и отказ от размещения приватных коммуникационных узлов на облачных адресах, видимых сканерам.