详细内容或原文请订阅后点击阅览
他们承诺匿名,但忘记隐藏 IP。 DarkForums 私人聊天将用户交给了第一个扫描仪
保密工作从最基本的基础设施测试开始就结束了。
来源:安全实验室新闻频道他们承诺匿名,但忘记隐藏 IP。 DarkForums 私人聊天将用户交给了第一个扫描仪
保密工作从最基本的基础设施测试开始就结束了。
即使是为封闭通信而构建的服务,有时也不会以通信内容的形式展现出来,而是以普通的网络基础设施的形式展现出来。 Covert Security 分析师发现,DarkForums 社区的 Jabber 服务器并不是作为隐藏的 Tor 服务运行,而是通过常规公共 IP 地址运行,可供互联网基础设施上的标准搜索工具访问。
DarkForums 将其自己的 XMPP 服务作为论坛成员的私人频道进行推广。注册时,用户会看到两个域名:darked.im 和 darkforums.im,但没有表明它们的基础设施不同。通过Censys检查显示,两个域都指向相同的地址172.234.115.5。
该服务器在 Linode 基础设施上运行,该基础设施是 Akamai Connected Cloud 的一部分,其地理位置指向斯德哥尔摩。 SSH、HTTP、HTTPS 和多个 XMPP 端口在同一地址上可见。通过 HTTPS 的 Web 服务器响应指向 DarkForums 社区的 Darked.IM 服务,因此您可以将该地址与 Jabber 服务器关联,而无需黑客攻击和主动探测该服务。
XMPP 加密可以保护消息内容,但不会隐藏基础设施本身。网络级别的观察者能够看到与服务器的连接情况、调用频率、会话持续时间和其他元数据。对于承诺免受监视的服务来说,声称的匿名与实际布局之间的这种差距给用户带来了严重的风险。
作者强调,这不是 XMPP 漏洞或加密错误。该地址是通过公共 DNS 数据和 Censys 找到的,没有尝试破解服务器。为了降低这种情况下的风险,不仅需要对通信进行加密,还需要隐藏基础设施、分离公共服务、控制 DNS 记录以及拒绝在扫描仪可见的云地址上托管私有通信节点。