Šifravimas yra, anonimiškumo nėra: kaip DarkForums atskleidė savo IP per Censys

Įsivaizduokite: pakeliate privatų XMPP serverį vidinei komunikacijai. Šifravimas sukonfigūruotas, TLS įjungtas, pašaliniai negali skaityti susirašinėjimo. Pagrįstai manote kad serveris apsaugotas. Tada kažkas atlieka paprastą Censys užklausą — ir mato jūsų tikrą IP adresą, prieglobos paslaugų teikėją, duomenų centro fizinę vietą ir atvirų prievadų sąrašą. Jokio įsilaužimo, jokio išnaudojimo, jokių specialių žinių — tik vieši DNS duomenys, perskaityti teisinga tvarka.

Būtent tai ir nutiko su DarkForums — viena didžiausių anglakalbių įsilaužėlių bendruomenių tamsiajame internete. Forumas savo nariams siūlė nuosavą XMPP paslaugą dviem domenais — darked.im ir darkforums.im — kaip „privatų, šifruotą, nestebimą kanalą tiems, kurie nenori, kad jų komunikacija būtų stebima ar cenzūruojama”. 2026 m. birželio 17 d. Talino įmonės Covert Security analitikai paskelbė savo išvadas: abu domenai veda į tą patį viešą IP 172.234.115.5, serveris veikia Linode sistemoje Akamai Connected Cloud Stokholme, ir standartine Censys užklausa jį galima rasti per kelias minutes. Jokio Tor. Jokio hidden service. Jokio anoniminimo sluoksnio — standartinis debesų serveris, indeksuojamas kaip bet kuris kitas.

Tai nėra XMPP pažeidžiamumas ir ne šifravimo klaida. Tai operacinis gedimas: žmonės, žadėję anonimiškumą, išsprendė vieną užduotį (užšifravo turinį) ir visiškai ignoravo kitą (paslėpė infrastruktūrą). Bet kuriam sysadminui, keliančiam privatią paslaugą — Matrix instanciją, VPN šliuzą, vidinį pokalbių serverį, korporacinį mesendžerį — šis atvejis parodo lygiai tą klaidą, kurią lengva padaryti patiems.

KAIP TAI BUVO RASTA

Covert Security metodologija visiškai skaidri ir atkuriama. Pirmas žingsnis: Censys užklausa pagal domenus, susijusius su DarkForums infrastruktūra. Censys — tai interneto infrastruktūros paieškos variklis, kuris nuolat nuskaito visą IPv4 adresų erdvę, renka paslaugų banerius, TLS sertifikatus, DNS įrašus ir indeksuoja rezultatus. Antras žingsnis: rasto IP adreso forward DNS peržiūra. Trečias žingsnis: visų domenų, kurie nukreipiami į tą patį adresą, kryžminė patikra. Ketvirtas žingsnis: netikėtų ar nepaaiškinamų domenų rezultatuose analizė.

Rezultatai kalbėjo patys už save. IP 172.234.115.5 priklauso Linode/Akamai (AS172.234.96.0/19), geolokacija — Stokholmas, Švedija (koordinatės 59.32938° N, 18.06871° E). Šiame adrese veikia šešios paslaugos: SSH 22 prievade, HTTP 80 ir 443 prievaduose, ir trys XMPP prievadai — 5222, 5223 ir 5269. HTTP/443 atsakas, paskutinį kartą užfiksuotas 2026 m. birželio 14 d. 07:09 UTC, grąžina HTML antraštę „Darked.IM | Free Secure XMPP for the DarkForums Community” — tai galutinai identifikuoja serverį be jokio aktyvaus zondavimo.

Tame pačiame IP taip pat rastas viešas XMPP servisas xmpp.sg — atskira paslauga be matomų ryšių su DarkForums, kurios vartotojai neturėjo priežasčių žinoti, kad dalijasi infrastruktūra su vienu didžiausių įsilaužėlių forumų. Ten pat rastas subdomeinas jdrtyipau.er18.mobi — likęs iš pasibaigusio domeno er18.mobi, šiuo metu parduodamo kinų registratoriuje west.cn. DNS įrašo niekas neišvalė, ir jis vis dar nurodo į tą patį serverį. Subdomeno pavadinimas atrodo kaip automatiškai sugeneruotas identifikatorius — tokio tipo eilutės generuojamos stebėjimo įrankių ar CDN konfigūravimo scenarijų. Ką tai reiškia — nežinoma; Covert Security sąmoningai nedaro išvadų iš vieno pamesto įrašo.

KODĖL ŠIFRAVIMO NEPAKANKA

Tai pagrindinis šio incidento pamoka, ir verta ją aiškiai išsakyti: srauto šifravimas ir infrastruktūros slėpimas — dvi skirtingos užduotys, sprendžiamos skirtingomis priemonėmis. XMPP su TLS apsaugo susirašinėjimo turinį. Jis neslepia serverio egzistavimo fakto, jo vietos, paslaugų teikėjo, atvirų prievadų sąrašo ir — svarbiausia — jungčių metaduomenų.

Skirtingi stebėtojai mato skirtingus dalykus. Censys ir Shodan mato patį serverį: atvirus prievadus, TLS sertifikatus, paslaugų banerius. Prieglobos paslaugų teikėjas — šiuo atveju Linode — mato tinklo srautą srautų lygiu: kurie IP adresai jungėsi prie serverio, kada, kaip dažnai, kiek ilgai palaikė ryšį. Tai ir yra metaduomenys. Kriminaliniuose tyrimuose metaduomenys dažnai vertingesni už turinį. Būtent todėl Signal daugelį metų inžineriškai sprendžia metaduomenų minimizavimą kaip atskirą problemą — ne todėl, kad jų šifravimas nepakankamas, o todėl, kad šifravimas neslepia paties komunikacijos fakto.

Linode ir Akamai — amerikiečių įmonės. Serveris fiziškai yra Švedijoje. Tai reiškia, kad prieigą prie jungčių duomenų galima gauti per teisinę savitarpio pagalbą taikant tiek JAV, tiek ES teisę. XMPP šifravimas čia nieko nekeičia: jis apsaugo turinį, bet ne nuo užklausos prieglobos paslaugų teikėjui apie tai, kokie IP adresai jungėsi prie serverio ir kada.

TIPINĖS KLAIDOS PALEIDŽIANT PRIVAČIAS PASLAUGAS

DarkForums padarė klasikinį klaidų rinkinį — tokį, kuris pasirodo kaskart, kai kas nors kelia „vidinę” paslaugą ir neįvertina jos matomumo iš išorės.

Pirma ir svarbiausia klaida: paslauga klausosi viešame IP. Jei paslauga neskirta viešajai prieigai, ji neturi būti pasiekiama iš interneto visai. Net jei veikia TLS ir sudėtingi slaptažodžiai — atviras prievadas viešame IP leidžia Censys, Shodan ir panašiems įrankiams indeksuoti serverį per kelias minutes. Taisymas: paslauga klauso tik loopback (127.0.0.1) arba vidiniame sąsajoje, prieiga iš išorės — tik per VPN tunelį.

Antra klaida — privačios paslaugos talpinimas tame pačiame IP kaip ir viešos paslaugos. DarkForums atveju: xmpp.sg tame pačiame adrese tarnauja kaip papildomas identifikatorius OSINT analizės metu. Pamatęs xmpp.sg, tyrėjas susieja dvi tariamai nepriklausomas paslaugas per bendrą infrastruktūrą. Taisymas: privačios ir viešos paslaugos skirtinguose serveriuose su skirtingais IP — jokio persidengimo adresavimo lygiu.

Trečia klaida — apleisti DNS įrašai. Domenas er18.mobi pasibaigė, bet subdomeinas jdrtyipau.er18.mobi toliau rodo į tą patį serverį — skaitmeninis pėdsakas, kuris sieja dabartinę infrastruktūrą su operatorių praeities istorija. Prieš atsisakant domeno ar IP — patikrinti visus jį rodančius DNS įrašus, įskaitant subdomeinus per crt.sh.

Ketvirta klaida — pasirinkimo iliuzija be realios izoliacijos. Du domenai darked.im ir darkforums.im suteikė vartotojams pasirinkimo jausmą, bet abu vedė į tą patį IP. Įsivaizduokite: vartotojas užsiregistravo darkforums.im manydamas, kad jis „privatesnis” ar tiesiog iš įpročio. Censys požiūriu — jis prisijungė prie to paties 172.234.115.5 kaip ir visi kiti. Tikra izoliacija — tai atskiri serveriai, atskiros prieglobos paskyros, atskiros jurisdikcijos. Du domenai viename VPS — tai tik dvi etiketės ant vieno aplanko.

KAIP TINKAMAI SLĖPTI INFRASTRUKTŪRĄ

Tinkamas požiūris priklauso nuo to, kiek rimti slėpimo reikalavimai. Tačiau pagrindiniai principai vienodi bet kuriai „vidinei” paslaugai — korporaciniam mesendžeriui, VPN šliuzui, administravimo sąsajai, stebėjimo sistemai.

Patikimiausias variantas — paslauga visai neklauso viešoje sąsajoje. Daugumai paslaugų tai reiškia nurodyti konkretų vidinį adresą vietoje 0.0.0.0. Patikrinti, ką paslauga iš tikrųjų klauso ir kurioje sąsajoje:

ss -tlnp

Rezultatas parodys visus TCP prievadus LISTEN būsenoje. Local Address stulpelis parodys, kurioje sąsajoje klauso kiekviena paslauga: 0.0.0.0:5222 — klauso visose sąsajose, matoma iš interneto. 127.0.0.1:5222 arba 10.0.0.1:5222 — klauso tik loopback arba vidinėje sąsajoje, nematoma iš išorės.

Jei paslaugai reikia prieigos iš išorės, bet tik konkretiems vartotojams — tinkamas sprendimas yra nftables su IP apribojimu arba VPN tunelis. nftables taisyklė, leidžianti XMPP prievadą tik iš konkretaus IP arba potinklio:

nft add rule inet filter input tcp dport 5222 ip saddr 10.0.0.0/24 accept
nft add rule inet filter input tcp dport 5222 drop

Pirmoji taisyklė leidžia jungtis prie 5222 prievado tik iš 10.0.0.0/24 potinklio. Antroji — atmeta visus kitus. Tvarka svarbi: nftables apdoroja taisykles nuosekliai, laimi pirmasis sutapimas.

Kai reikia viešos prieigos neatskleidžiant tikro IP — Cloudflare Tunnel. Jis užmezga išeinantį ryšį nuo jūsų serverio į Cloudflare, po to srautas eina per Cloudflare infrastruktūrą. Tikras serverio IP klientams neatskleidžiamas — jie jungiasi prie Cloudflare, o ne tiesiai prie jūsų serverio. HTTP paslaugoms — per standartinį Tunnel. XMPP ir kitiems nestandartiniams TCP protokolams — per Cloudflare Spectrum, tačiau čia svarbus niuansas: Spectrum prieinamas Pro ir Business planuose, bet palaiko tik pasirinktus protokolus (SSH, FTP, Minecraft). Savavališki TCP prievadai įskaitant XMPP (5222, 5223, 5269) reikalauja Enterprise plano pagal oficialią Cloudflare dokumentaciją. Daugumai privačių diegimų tai nerealu — WireGuard tunelis, aprašytas žemiau, šią problemą sprendžia paprasčiau ir pigiau.

Jei paslauga skirta ribotam vartotojų ratui — VPN tunelis yra švariausias izoliacijos variantas. Klasikinė schema: WireGuard arba AmneziaWG keliamas serveryje, XMPP ar kita privati paslauga konfigūruojama klausyti tik WireGuard sąsajoje (paprastai wg0, adresas tipo 10.0.0.1). Iš išorės matomi tik WireGuard UDP prievadas ir SSH — nieko daugiau. Vartotojas pirmiausia jungiasi prie VPN, ir tik tada gauna prieigą prie privačių paslaugų. Censys mato atvirą WireGuard UDP prievadą, bet nemato nei XMPP prievadų, nei kitų paslaugų už jo — jos egzistuoja tik VPN tinklo kontekste.

WireGuard slepia paslaugą nuo skaitytuvų — bet neištrina istorijos. Jei serveris kadaise buvo susietas su domenu, jei DNS įrašai liko kaboti po IP keitimo, jei pasibaigęs domenas nebuvo išvalytas — skaitmeninis pėdsakas egzistuoja nepriklausomai nuo to, kaip gerai paslėpta pati paslauga. Todėl DNS higiena — atskira privaloma praktika, kuri papildo tinklo izoliaciją, o ne ją pakeičia. Prieš atsisakant domeno ar IP: patikrinkite visus jį rodančius DNS įrašus, įskaitant subdomeinus. Greitai patikrinti žinomus įrašus:

dig +short @8.8.8.8 example.com
dig +short @8.8.8.8 www.example.com
dig +short @8.8.8.8 mail.example.com

Tačiau rankinis tikrinimas nepatikimas — nežinote apie visus subdomeinus, kurie kada nors egzistavo. Geriau naudoti Certificate Transparency žurnalus: visi kada nors jūsų domenui išduoti TLS sertifikatai matomi crt.sh. Užklausa domeinui example.com: atidaryti https://crt.sh/?q=%.example.com ir peržiūrėti sąrašą — jis parodys visus subdomeinus, kuriems kada nors buvo išduotas sertifikatas. Tai duos visą vaizdą to, kas egzistavo, net jei DNS įrašai jau pašalinti.

Savo serverio matomumo tikrinimas per viešus skaitytuvus — gera reguliari praktika. Censys leidžia ieškoti pagal IP adresą, domeną ir TLS sertifikatus. Savo serveriui: apsilankyti https://search.censys.io/hosts/YOUR_IP ir pamatyti, kas matoma iš išorės. Covert Security pažymėjo, kad tokiai patikrai pakanka nemokamo Censys tarifo — jokios specialios prieigos ar mokamos prenumeratos nereikia. Tai užtrunka minutę ir parodo lygiai tai, ką mato bet kuris išorinis stebėtojas.

CHRONOLOGIJA

2026 m. birželio 14 d., 07:09 UTC — paskutinis Censys užfiksuotas HTTP atsakas iš serverio 172.234.115.5 su HTML antrašte „Darked.IM | Free Secure XMPP for the DarkForums Community”. Tai buvo prieš publikaciją — serveris jau buvo indeksuotas, duomenys jau buvo Censys duomenų bazėje. Covert Security juos rado vėliau, peržiūrėdami archyvinius duomenis.

2026 m. birželio 17 d. — Covert Security publikuoja „Dark Forums Jabber — IP Leak by Design”. Visa metodologija atvira ir atkuriama: DNS užklausos ir Censys, be aktyvaus paslaugos zondavimo. Ypač pabrėžta: visas procesas užtruko minutes, o nemokamas Censys tarifas pakanka visiškai atkartoti.

2026 m. birželio 20 d. — istorija sulaukia plataus atgarsio saugumo spaudoje. Publikavimo metu DarkForums nepaskelbė jokio viešo pareiškimo dėl infrastruktūros atskleidimo. Pagal atvirus duomenis serveris toliau veikia — infrastruktūra nepasikeitė.

KODĖL TAI SVARBU

DarkForums — ne pirmas deanoninizacijos per infrastruktūros analizę atvejis, ir toli gražu ne paskutinis. Freedom Hosting — didžiausias tamsiojo interneto prieglobos paslaugų teikėjas — buvo identifikuotas FTB per tinklo infrastruktūros analizę dar gerokai prieš techninį įsilaužimą. AlphaBay, didžiausia tamsiojo interneto turgavietė 2017 m. uždarymo metu, buvo deanoninizuota iš dalies dėl operacinių klaidų: administratorius Alexandre Cazes naudojo tą patį el. pašto adresą ([email protected]) ir turgavietės konfigūravimui, ir asmeninėse LinkedIn bei PayPal paskyrose. Šilko kelias žlugo dėl panašios klaidos — Ross Ulbricht viešuose forumuose tikru vardu ieškojo techninių specialistų. Šablonas visur vienodas: kriptografija veikė puikiai, turinys buvo apsaugotas, tačiau operacinės klaidos infrastruktūroje ir elgesyje atskleidė visa kita.

Ta pati klaida pasitaiko korporatyvinėje aplinkoje, kai komandos kelia „vidinius” įrankius debesų serveriuose su viešais IP. Matrix instancija vidinei komunikacijai, Gitea privatiems saugykloms, Grafana stebėjimui, administravimo skydelis — visa tai dažnai paleidžiama ant 0.0.0.0 darant prielaidą, kad „iš išorės niekas nežino adreso”. Censys žino. Shodan žino. FOFA žino. Visi šie įrankiai nuolat nuskaito visą IPv4 diapazoną — jūsų „vidinis” serveris patenka į jų duomenų bazę per kelias valandas po paleidimo.

Tiems, kas planuoja privatią paslaugą — VPN, Matrix, XMPP, administravimo sąsają — šis atvejis pateikia konkretų kontrolinį sąrašą: ne viešas IP paslaugoms, kurios neturėtų būti viešos; ne bendras IP viešai ir privačiai infrastruktūrai; ne apleisti DNS įrašai; ne domeno pasirinkimo iliuzija be realios izoliacijos. Srauto šifravimas — tai viena užduotis. Paties paslaugos egzistavimo fakto slėpimas — tai kita. Istorija rodo: reikia spręsti abi.

IŠVADOS

DarkForums atvejis vertingas tuo, kad yra visiškai atkuriamas ir pamokantis be jokio pažeidžiamumo. Niekas nebuvo įsilaužta. Jokio CVE. Tik DNS ir Censys ir kelios minutės — ir pilnas infrastruktūros vaizdas prieinamas kiekvienam norinčiam pažiūrėti.

Covert Security analitikai rado DarkForums per kavos pertrauką — jų žodžiai, ne perdėjimas. Savo serverio patikrinimas užtrunka tiek pat. Paleiskite ss -tlnp ir pažiūrėkite, kuriuose adresuose iš tikrųjų klauso jūsų paslaugos. Apsilankykite https://search.censys.io/hosts/YOUR_IP — pažiūrėkite, ką Censys mato dabar pat. Patikrinkite crt.sh dėl subdomenų, kuriuos galbūt pamiršote. Jei rezultatai jūsų nenustebins — puiku. Jei nustebins — geriau tai sužinoti patiems, nei laukti, kol kas nors kitas parašys apie jūsų infrastruktūrą.