\u012esivaizduokite: pakeliate privat\u0173 XMPP server\u012f vidinei komunikacijai. \u0160ifravimas sukonfig\u016bruotas, TLS \u012fjungtas, pa\u0161aliniai negali skaityti susira\u0161in\u0117jimo. Pagr\u012fstai manote kad serveris apsaugotas. Tada ka\u017ekas atlieka paprast\u0105 Censys u\u017eklaus\u0105 \u2014 ir mato j\u016bs\u0173 tikr\u0105 IP adres\u0105, prieglobos paslaug\u0173 teik\u0117j\u0105, duomen\u0173 centro fizin\u0119 viet\u0105 ir atvir\u0173 prievad\u0173 s\u0105ra\u0161\u0105. Jokio \u012fsilau\u017eimo, jokio i\u0161naudojimo, joki\u0173 speciali\u0173 \u017eini\u0173 \u2014 tik vie\u0161i DNS duomenys, perskaityti teisinga tvarka.<\/p>\n\n\n\n
B\u016btent tai ir nutiko su DarkForums \u2014 viena did\u017eiausi\u0173 anglakalbi\u0173 \u012fsilau\u017e\u0117li\u0173 bendruomeni\u0173 tamsiajame internete. Forumas savo nariams si\u016bl\u0117 nuosav\u0105 XMPP paslaug\u0105 dviem domenais \u2014 darked.im ir darkforums.im \u2014 kaip „privat\u0173, \u0161ifruot\u0105, nestebim\u0105 kanal\u0105 tiems, kurie nenori, kad j\u0173 komunikacija b\u016bt\u0173 stebima ar cenz\u016bruojama”. 2026 m. bir\u017eelio 17 d. Talino \u012fmon\u0117s Covert Security analitikai paskelb\u0117 savo i\u0161vadas: abu domenai veda \u012f t\u0105 pat\u012f vie\u0161\u0105 IP 172.234.115.5, serveris veikia Linode sistemoje Akamai Connected Cloud Stokholme, ir standartine Censys u\u017eklausa j\u012f galima rasti per kelias minutes. Jokio Tor. Jokio hidden service. Jokio anoniminimo sluoksnio \u2014 standartinis debes\u0173 serveris, indeksuojamas kaip bet kuris kitas.<\/p>\n\n\n\n
Tai n\u0117ra XMPP pa\u017eeid\u017eiamumas ir ne \u0161ifravimo klaida. Tai operacinis gedimas: \u017emon\u0117s, \u017ead\u0117j\u0119 anonimi\u0161kum\u0105, i\u0161sprend\u0117 vien\u0105 u\u017eduot\u012f (u\u017e\u0161ifravo turin\u012f) ir visi\u0161kai ignoravo kit\u0105 (pasl\u0117p\u0117 infrastrukt\u016br\u0105). Bet kuriam sysadminui, kelian\u010diam privati\u0105 paslaug\u0105 \u2014 Matrix instancij\u0105, VPN \u0161liuz\u0105, vidin\u012f pokalbi\u0173 server\u012f, korporacin\u012f mesend\u017eer\u012f \u2014 \u0161is atvejis parodo lygiai t\u0105 klaid\u0105, kuri\u0105 lengva padaryti patiems.<\/p>\n\n\n\n
KAIP TAI BUVO RASTA<\/strong><\/p>\n\n\n\n Covert Security metodologija visi\u0161kai skaidri ir atkuriama. Pirmas \u017eingsnis: Censys u\u017eklausa pagal domenus, susijusius su DarkForums infrastrukt\u016bra. Censys \u2014 tai interneto infrastrukt\u016bros paie\u0161kos variklis, kuris nuolat nuskaito vis\u0105 IPv4 adres\u0173 erdv\u0119, renka paslaug\u0173 banerius, TLS sertifikatus, DNS \u012fra\u0161us ir indeksuoja rezultatus. Antras \u017eingsnis: rasto IP adreso forward DNS per\u017ei\u016bra. Tre\u010dias \u017eingsnis: vis\u0173 domen\u0173, kurie nukreipiami \u012f t\u0105 pat\u012f adres\u0105, kry\u017emin\u0117 patikra. Ketvirtas \u017eingsnis: netik\u0117t\u0173 ar nepaai\u0161kinam\u0173 domen\u0173 rezultatuose analiz\u0117.<\/p>\n\n\n\n Rezultatai kalb\u0117jo patys u\u017e save. IP 172.234.115.5 priklauso Linode\/Akamai (AS172.234.96.0\/19), geolokacija \u2014 Stokholmas, \u0160vedija (koordinat\u0117s 59.32938\u00b0 N, 18.06871\u00b0 E). \u0160iame adrese veikia \u0161e\u0161ios paslaugos: SSH 22 prievade, HTTP 80 ir 443 prievaduose, ir trys XMPP prievadai \u2014 5222, 5223 ir 5269. HTTP\/443 atsakas, paskutin\u012f kart\u0105 u\u017efiksuotas 2026 m. bir\u017eelio 14 d. 07:09 UTC, gr\u0105\u017eina HTML antra\u0161t\u0119 „Darked.IM | Free Secure XMPP for the DarkForums Community” \u2014 tai galutinai identifikuoja server\u012f be jokio aktyvaus zondavimo.<\/p>\n\n\n\n Tame pa\u010diame IP taip pat rastas vie\u0161as XMPP servisas xmpp.sg \u2014 atskira paslauga be matom\u0173 ry\u0161i\u0173 su DarkForums, kurios vartotojai netur\u0117jo prie\u017eas\u010di\u0173 \u017einoti, kad dalijasi infrastrukt\u016bra su vienu did\u017eiausi\u0173 \u012fsilau\u017e\u0117li\u0173 forum\u0173. Ten pat rastas subdomeinas jdrtyipau.er18.mobi \u2014 lik\u0119s i\u0161 pasibaigusio domeno er18.mobi, \u0161iuo metu parduodamo kin\u0173 registratoriuje west.cn. DNS \u012fra\u0161o niekas nei\u0161val\u0117, ir jis vis dar nurodo \u012f t\u0105 pat\u012f server\u012f. Subdomeno pavadinimas atrodo kaip automati\u0161kai sugeneruotas identifikatorius \u2014 tokio tipo eilut\u0117s generuojamos steb\u0117jimo \u012franki\u0173 ar CDN konfig\u016bravimo scenarij\u0173. K\u0105 tai rei\u0161kia \u2014 ne\u017einoma; Covert Security s\u0105moningai nedaro i\u0161vad\u0173 i\u0161 vieno pamesto \u012fra\u0161o.<\/p>\n\n\n\n KOD\u0116L \u0160IFRAVIMO NEPAKANKA<\/strong><\/p>\n\n\n\n Tai pagrindinis \u0161io incidento pamoka, ir verta j\u0105 ai\u0161kiai i\u0161sakyti: srauto \u0161ifravimas ir infrastrukt\u016bros sl\u0117pimas \u2014 dvi skirtingos u\u017eduotys, sprend\u017eiamos skirtingomis priemon\u0117mis. XMPP su TLS apsaugo susira\u0161in\u0117jimo turin\u012f. Jis neslepia serverio egzistavimo fakto, jo vietos, paslaug\u0173 teik\u0117jo, atvir\u0173 prievad\u0173 s\u0105ra\u0161o ir \u2014 svarbiausia \u2014 jung\u010di\u0173 metaduomen\u0173.<\/p>\n\n\n\n Skirtingi steb\u0117tojai mato skirtingus dalykus. Censys ir Shodan mato pat\u012f server\u012f: atvirus prievadus, TLS sertifikatus, paslaug\u0173 banerius. Prieglobos paslaug\u0173 teik\u0117jas \u2014 \u0161iuo atveju Linode \u2014 mato tinklo sraut\u0105 sraut\u0173 lygiu: kurie IP adresai jung\u0117si prie serverio, kada, kaip da\u017enai, kiek ilgai palaik\u0117 ry\u0161\u012f. Tai ir yra metaduomenys. Kriminaliniuose tyrimuose metaduomenys da\u017enai vertingesni u\u017e turin\u012f. B\u016btent tod\u0117l Signal daugel\u012f met\u0173 in\u017eineri\u0161kai sprend\u017eia metaduomen\u0173 minimizavim\u0105 kaip atskir\u0105 problem\u0105 \u2014 ne tod\u0117l, kad j\u0173 \u0161ifravimas nepakankamas, o tod\u0117l, kad \u0161ifravimas neslepia paties komunikacijos fakto.<\/p>\n\n\n\n Linode ir Akamai \u2014 amerikie\u010di\u0173 \u012fmon\u0117s. Serveris fizi\u0161kai yra \u0160vedijoje. Tai rei\u0161kia, kad prieig\u0105 prie jung\u010di\u0173 duomen\u0173 galima gauti per teisin\u0119 savitarpio pagalb\u0105 taikant tiek JAV, tiek ES teis\u0119. XMPP \u0161ifravimas \u010dia nieko nekei\u010dia: jis apsaugo turin\u012f, bet ne nuo u\u017eklausos prieglobos paslaug\u0173 teik\u0117jui apie tai, kokie IP adresai jung\u0117si prie serverio ir kada.<\/p>\n\n\n\n TIPIN\u0116S KLAIDOS PALEID\u017dIANT PRIVA\u010cIAS PASLAUGAS<\/strong><\/p>\n\n\n\n DarkForums padar\u0117 klasikin\u012f klaid\u0173 rinkin\u012f \u2014 tok\u012f, kuris pasirodo kaskart, kai kas nors kelia „vidin\u0119” paslaug\u0105 ir ne\u012fvertina jos matomumo i\u0161 i\u0161or\u0117s.<\/p>\n\n\n\n Pirma ir svarbiausia klaida: paslauga klausosi vie\u0161ame IP. Jei paslauga neskirta vie\u0161ajai prieigai, ji neturi b\u016bti pasiekiama i\u0161 interneto visai. Net jei veikia TLS ir sud\u0117tingi slapta\u017eod\u017eiai \u2014 atviras prievadas vie\u0161ame IP leid\u017eia Censys, Shodan ir pana\u0161iems \u012frankiams indeksuoti server\u012f per kelias minutes. Taisymas: paslauga klauso tik loopback ( Antra klaida \u2014 priva\u010dios paslaugos talpinimas tame pa\u010diame IP kaip ir vie\u0161os paslaugos. DarkForums atveju: xmpp.sg tame pa\u010diame adrese tarnauja kaip papildomas identifikatorius OSINT analiz\u0117s metu. Pamat\u0119s xmpp.sg, tyr\u0117jas susieja dvi tariamai nepriklausomas paslaugas per bendr\u0105 infrastrukt\u016br\u0105. Taisymas: priva\u010dios ir vie\u0161os paslaugos skirtinguose serveriuose su skirtingais IP \u2014 jokio persidengimo adresavimo lygiu.<\/p>\n\n\n\n Tre\u010dia klaida \u2014 apleisti DNS \u012fra\u0161ai. Domenas er18.mobi pasibaig\u0117, bet subdomeinas jdrtyipau.er18.mobi toliau rodo \u012f t\u0105 pat\u012f server\u012f \u2014 skaitmeninis p\u0117dsakas, kuris sieja dabartin\u0119 infrastrukt\u016br\u0105 su operatori\u0173 praeities istorija. Prie\u0161 atsisakant domeno ar IP \u2014 patikrinti visus j\u012f rodan\u010dius DNS \u012fra\u0161us, \u012fskaitant subdomeinus per crt.sh.<\/p>\n\n\n\n Ketvirta klaida \u2014 pasirinkimo iliuzija be realios izoliacijos. Du domenai darked.im ir darkforums.im suteik\u0117 vartotojams pasirinkimo jausm\u0105, bet abu ved\u0117 \u012f t\u0105 pat\u012f IP. \u012esivaizduokite: vartotojas u\u017esiregistravo darkforums.im manydamas, kad jis „privatesnis” ar tiesiog i\u0161 \u012fpro\u010dio. Censys po\u017ei\u016briu \u2014 jis prisijung\u0117 prie to paties 172.234.115.5 kaip ir visi kiti. Tikra izoliacija \u2014 tai atskiri serveriai, atskiros prieglobos paskyros, atskiros jurisdikcijos. Du domenai viename VPS \u2014 tai tik dvi etiket\u0117s ant vieno aplanko.<\/p>\n\n\n\n KAIP TINKAMAI SL\u0116PTI INFRASTRUKT\u016aR\u0104<\/strong><\/p>\n\n\n\n Tinkamas po\u017ei\u016bris priklauso nuo to, kiek rimti sl\u0117pimo reikalavimai. Ta\u010diau pagrindiniai principai vienodi bet kuriai „vidinei” paslaugai \u2014 korporaciniam mesend\u017eeriui, VPN \u0161liuzui, administravimo s\u0105sajai, steb\u0117jimo sistemai.<\/p>\n\n\n\n Patikimiausias variantas \u2014 paslauga visai neklauso vie\u0161oje s\u0105sajoje. Daugumai paslaug\u0173 tai rei\u0161kia nurodyti konkret\u0173 vidin\u012f adres\u0105 vietoje Rezultatas parodys visus TCP prievadus LISTEN b\u016bsenoje. Local Address stulpelis parodys, kurioje s\u0105sajoje klauso kiekviena paslauga: Jei paslaugai reikia prieigos i\u0161 i\u0161or\u0117s, bet tik konkretiems vartotojams \u2014 tinkamas sprendimas yra nftables su IP apribojimu arba VPN tunelis. nftables taisykl\u0117, leid\u017eianti XMPP prievad\u0105 tik i\u0161 konkretaus IP arba potinklio:<\/p>\n\n\n\n Pirmoji taisykl\u0117 leid\u017eia jungtis prie 5222 prievado tik i\u0161 10.0.0.0\/24 potinklio. Antroji \u2014 atmeta visus kitus. Tvarka svarbi: nftables apdoroja taisykles nuosekliai, laimi pirmasis sutapimas.<\/p>\n\n\n\n Kai reikia vie\u0161os prieigos neatskleid\u017eiant tikro IP \u2014 Cloudflare Tunnel. Jis u\u017emezga i\u0161einant\u012f ry\u0161\u012f nuo j\u016bs\u0173 serverio \u012f Cloudflare, po to srautas eina per Cloudflare infrastrukt\u016br\u0105. Tikras serverio IP klientams neatskleid\u017eiamas \u2014 jie jungiasi prie Cloudflare, o ne tiesiai prie j\u016bs\u0173 serverio. HTTP paslaugoms \u2014 per standartin\u012f Tunnel. XMPP ir kitiems nestandartiniams TCP protokolams \u2014 per Cloudflare Spectrum, ta\u010diau \u010dia svarbus niuansas: Spectrum prieinamas Pro ir Business planuose, bet palaiko tik pasirinktus protokolus (SSH, FTP, Minecraft). Savavali\u0161ki TCP prievadai \u012fskaitant XMPP (5222, 5223, 5269) reikalauja Enterprise plano pagal oficiali\u0105 Cloudflare dokumentacij\u0105. Daugumai priva\u010di\u0173 diegim\u0173 tai nerealu \u2014 WireGuard tunelis, apra\u0161ytas \u017eemiau, \u0161i\u0105 problem\u0105 sprend\u017eia papras\u010diau ir pigiau.<\/p>\n\n\n\n Jei paslauga skirta ribotam vartotoj\u0173 ratui \u2014 VPN tunelis yra \u0161variausias izoliacijos variantas. Klasikin\u0117 schema: WireGuard arba AmneziaWG keliamas serveryje, XMPP ar kita privati paslauga konfig\u016bruojama klausyti tik WireGuard s\u0105sajoje (paprastai WireGuard slepia paslaug\u0105 nuo skaitytuv\u0173 \u2014 bet nei\u0161trina istorijos. Jei serveris kadaise buvo susietas su domenu, jei DNS \u012fra\u0161ai liko kaboti po IP keitimo, jei pasibaig\u0119s domenas nebuvo i\u0161valytas \u2014 skaitmeninis p\u0117dsakas egzistuoja nepriklausomai nuo to, kaip gerai pasl\u0117pta pati paslauga. Tod\u0117l DNS higiena \u2014 atskira privaloma praktika, kuri papildo tinklo izoliacij\u0105, o ne j\u0105 pakei\u010dia. Prie\u0161 atsisakant domeno ar IP: patikrinkite visus j\u012f rodan\u010dius DNS \u012fra\u0161us, \u012fskaitant subdomeinus. Greitai patikrinti \u017einomus \u012fra\u0161us:<\/p>\n\n\n\n Ta\u010diau rankinis tikrinimas nepatikimas \u2014 ne\u017einote apie visus subdomeinus, kurie kada nors egzistavo. Geriau naudoti Certificate Transparency \u017eurnalus: visi kada nors j\u016bs\u0173 domenui i\u0161duoti TLS sertifikatai matomi crt.sh. U\u017eklausa domeinui example.com: atidaryti Savo serverio matomumo tikrinimas per vie\u0161us skaitytuvus \u2014 gera reguliari praktika. Censys leid\u017eia ie\u0161koti pagal IP adres\u0105, domen\u0105 ir TLS sertifikatus. Savo serveriui: apsilankyti CHRONOLOGIJA<\/strong><\/p>\n\n\n\n 2026 m. bir\u017eelio 14 d., 07:09 UTC \u2014 paskutinis Censys u\u017efiksuotas HTTP atsakas i\u0161 serverio 172.234.115.5 su HTML antra\u0161te „Darked.IM | Free Secure XMPP for the DarkForums Community”. Tai buvo prie\u0161 publikacij\u0105 \u2014 serveris jau buvo indeksuotas, duomenys jau buvo Censys duomen\u0173 baz\u0117je. Covert Security juos rado v\u0117liau, per\u017ei\u016br\u0117dami archyvinius duomenis.<\/p>\n\n\n\n 2026 m. bir\u017eelio 17 d. \u2014 Covert Security publikuoja „Dark Forums Jabber \u2014 IP Leak by Design”. Visa metodologija atvira ir atkuriama: DNS u\u017eklausos ir Censys, be aktyvaus paslaugos zondavimo. Ypa\u010d pabr\u0117\u017eta: visas procesas u\u017etruko minutes, o nemokamas Censys tarifas pakanka visi\u0161kai atkartoti.<\/p>\n\n\n\n 2026 m. bir\u017eelio 20 d. \u2014 istorija sulaukia plataus atgarsio saugumo spaudoje. Publikavimo metu DarkForums nepaskelb\u0117 jokio vie\u0161o parei\u0161kimo d\u0117l infrastrukt\u016bros atskleidimo. Pagal atvirus duomenis serveris toliau veikia \u2014 infrastrukt\u016bra nepasikeit\u0117.<\/p>\n\n\n\n KOD\u0116L TAI SVARBU<\/strong><\/p>\n\n\n\n DarkForums \u2014 ne pirmas deanoninizacijos per infrastrukt\u016bros analiz\u0119 atvejis, ir toli gra\u017eu ne paskutinis. Freedom Hosting \u2014 did\u017eiausias tamsiojo interneto prieglobos paslaug\u0173 teik\u0117jas \u2014 buvo identifikuotas FTB per tinklo infrastrukt\u016bros analiz\u0119 dar gerokai prie\u0161 technin\u012f \u012fsilau\u017eim\u0105. AlphaBay, did\u017eiausia tamsiojo interneto turgaviet\u0117 2017 m. u\u017edarymo metu, buvo deanoninizuota i\u0161 dalies d\u0117l operacini\u0173 klaid\u0173: administratorius Alexandre Cazes naudojo t\u0105 pat\u012f el. pa\u0161to adres\u0105 ([email protected]) ir turgaviet\u0117s konfig\u016bravimui, ir asmenin\u0117se LinkedIn bei PayPal paskyrose. \u0160ilko kelias \u017elugo d\u0117l pana\u0161ios klaidos \u2014 Ross Ulbricht vie\u0161uose forumuose tikru vardu ie\u0161kojo technini\u0173 specialist\u0173. \u0160ablonas visur vienodas: kriptografija veik\u0117 puikiai, turinys buvo apsaugotas, ta\u010diau operacin\u0117s klaidos infrastrukt\u016broje ir elgesyje atskleid\u0117 visa kita.<\/p>\n\n\n\n Ta pati klaida pasitaiko korporatyvin\u0117je aplinkoje, kai komandos kelia „vidinius” \u012frankius debes\u0173 serveriuose su vie\u0161ais IP. Matrix instancija vidinei komunikacijai, Gitea privatiems saugykloms, Grafana steb\u0117jimui, administravimo skydelis \u2014 visa tai da\u017enai paleid\u017eiama ant Tiems, kas planuoja privati\u0105 paslaug\u0105 \u2014 VPN, Matrix, XMPP, administravimo s\u0105saj\u0105 \u2014 \u0161is atvejis pateikia konkret\u0173 kontrolin\u012f s\u0105ra\u0161\u0105: ne vie\u0161as IP paslaugoms, kurios netur\u0117t\u0173 b\u016bti vie\u0161os; ne bendras IP vie\u0161ai ir priva\u010diai infrastrukt\u016brai; ne apleisti DNS \u012fra\u0161ai; ne domeno pasirinkimo iliuzija be realios izoliacijos. Srauto \u0161ifravimas \u2014 tai viena u\u017eduotis. Paties paslaugos egzistavimo fakto sl\u0117pimas \u2014 tai kita. Istorija rodo: reikia spr\u0119sti abi.<\/p>\n\n\n\n I\u0160VADOS<\/strong><\/p>\n\n\n\n DarkForums atvejis vertingas tuo, kad yra visi\u0161kai atkuriamas ir pamokantis be jokio pa\u017eeid\u017eiamumo. Niekas nebuvo \u012fsilau\u017eta. Jokio CVE. Tik DNS ir Censys ir kelios minut\u0117s \u2014 ir pilnas infrastrukt\u016bros vaizdas prieinamas kiekvienam norin\u010diam pa\u017ei\u016br\u0117ti.<\/p>\n\n\n\n Covert Security analitikai rado DarkForums per kavos pertrauk\u0105 \u2014 j\u0173 \u017eod\u017eiai, ne perd\u0117jimas. Savo serverio patikrinimas u\u017etrunka tiek pat. Paleiskite \u012esivaizduokite: pakeliate privat\u0173 XMPP server\u012f vidinei komunikacijai. \u0160ifravimas sukonfig\u016bruotas, TLS \u012fjungtas, pa\u0161aliniai negali skaityti susira\u0161in\u0117jimo. Pagr\u012fstai manote kad serveris apsaugotas. Tada ka\u017ekas atlieka paprast\u0105 Censys u\u017eklaus\u0105 \u2014 ir mato j\u016bs\u0173 tikr\u0105 IP adres\u0105, prieglobos paslaug\u0173 teik\u0117j\u0105, duomen\u0173 centro fizin\u0119 viet\u0105 ir atvir\u0173 prievad\u0173 s\u0105ra\u0161\u0105. Jokio \u012fsilau\u017eimo, jokio i\u0161naudojimo, joki\u0173 speciali\u0173 \u017eini\u0173 \u2014 tik vie\u0161i DNS duomenys, perskaityti teisinga tvarka. B\u016btent tai ir nutiko su DarkForums \u2014 viena did\u017eiausi\u0173 anglakalbi\u0173 \u012fsilau\u017e\u0117li\u0173 bendruomeni\u0173 tamsiajame internete. Forumas savo nariams si\u016bl\u0117 nuosav\u0105 XMPP paslaug\u0105 dviem domenais \u2014 darked.im ir darkforums.im \u2014 kaip „privat\u0173, \u0161ifruot\u0105, nestebim\u0105 kanal\u0105 tiems, kurie nenori, kad j\u0173 komunikacija b\u016bt\u0173 stebima ar cenz\u016bruojama”. 2026 m. bir\u017eelio 17 d. Talino \u012fmon\u0117s Covert Security analitikai paskelb\u0117 savo i\u0161vadas: abu domenai veda \u012f t\u0105 pat\u012f vie\u0161\u0105 IP 172.234.115.5, serveris veikia Linode sistemoje Akamai Connected Cloud Stokholme, ir standartine Censys u\u017eklausa j\u012f galima rasti per kelias minutes. Jokio Tor. Jokio hidden service. Jokio anoniminimo sluoksnio \u2014 standartinis debes\u0173 serveris, indeksuojamas kaip bet kuris kitas. Tai n\u0117ra XMPP pa\u017eeid\u017eiamumas ir ne \u0161ifravimo klaida. Tai operacinis gedimas: \u017emon\u0117s, \u017ead\u0117j\u0119 anonimi\u0161kum\u0105, i\u0161sprend\u0117 vien\u0105 u\u017eduot\u012f (u\u017e\u0161ifravo turin\u012f) ir visi\u0161kai ignoravo kit\u0105 (pasl\u0117p\u0117 infrastrukt\u016br\u0105). Bet kuriam sysadminui, kelian\u010diam privati\u0105 paslaug\u0105 \u2014 Matrix instancij\u0105, VPN \u0161liuz\u0105, vidin\u012f pokalbi\u0173 server\u012f, korporacin\u012f mesend\u017eer\u012f \u2014 \u0161is atvejis parodo lygiai t\u0105 klaid\u0105, kuri\u0105 lengva padaryti patiems. KAIP TAI BUVO RASTA Covert Security metodologija visi\u0161kai skaidri ir atkuriama. Pirmas \u017eingsnis: Censys u\u017eklausa pagal domenus, susijusius su DarkForums infrastrukt\u016bra. Censys \u2014 tai interneto infrastrukt\u016bros paie\u0161kos variklis, kuris nuolat nuskaito vis\u0105 IPv4 adres\u0173 erdv\u0119, renka paslaug\u0173 banerius, TLS sertifikatus, DNS \u012fra\u0161us ir indeksuoja rezultatus. Antras \u017eingsnis: rasto IP adreso forward DNS per\u017ei\u016bra. Tre\u010dias \u017eingsnis: vis\u0173 domen\u0173, kurie nukreipiami \u012f t\u0105 pat\u012f adres\u0105, kry\u017emin\u0117 patikra. Ketvirtas \u017eingsnis: netik\u0117t\u0173 ar nepaai\u0161kinam\u0173 domen\u0173 rezultatuose analiz\u0117. Rezultatai kalb\u0117jo patys u\u017e save. IP 172.234.115.5 priklauso Linode\/Akamai (AS172.234.96.0\/19), geolokacija \u2014 Stokholmas, \u0160vedija (koordinat\u0117s 59.32938\u00b0 N, 18.06871\u00b0 E). \u0160iame adrese veikia \u0161e\u0161ios paslaugos: SSH 22 prievade, HTTP 80 ir 443 prievaduose, ir trys XMPP prievadai \u2014 5222, 5223 ir 5269. HTTP\/443 atsakas, paskutin\u012f kart\u0105 u\u017efiksuotas 2026 m. bir\u017eelio 14 d. 07:09 UTC, gr\u0105\u017eina HTML antra\u0161t\u0119 „Darked.IM | Free Secure XMPP for the DarkForums Community” \u2014 tai galutinai identifikuoja server\u012f be jokio aktyvaus zondavimo. Tame pa\u010diame IP taip pat rastas vie\u0161as XMPP servisas xmpp.sg \u2014 atskira paslauga be matom\u0173 ry\u0161i\u0173 su DarkForums, kurios vartotojai netur\u0117jo prie\u017eas\u010di\u0173 \u017einoti, kad dalijasi infrastrukt\u016bra su vienu did\u017eiausi\u0173 \u012fsilau\u017e\u0117li\u0173 forum\u0173. Ten pat rastas subdomeinas jdrtyipau.er18.mobi \u2014 lik\u0119s i\u0161 pasibaigusio domeno er18.mobi, \u0161iuo metu parduodamo kin\u0173 registratoriuje west.cn. DNS \u012fra\u0161o niekas nei\u0161val\u0117, ir jis vis dar nurodo \u012f t\u0105 pat\u012f server\u012f. Subdomeno pavadinimas atrodo kaip automati\u0161kai sugeneruotas identifikatorius \u2014 tokio tipo eilut\u0117s generuojamos steb\u0117jimo \u012franki\u0173 ar CDN konfig\u016bravimo scenarij\u0173. K\u0105 tai rei\u0161kia \u2014 ne\u017einoma; Covert Security s\u0105moningai nedaro i\u0161vad\u0173 i\u0161 vieno pamesto \u012fra\u0161o. KOD\u0116L \u0160IFRAVIMO NEPAKANKA Tai pagrindinis \u0161io incidento pamoka, ir verta j\u0105 ai\u0161kiai i\u0161sakyti: srauto \u0161ifravimas ir infrastrukt\u016bros sl\u0117pimas \u2014 dvi skirtingos u\u017eduotys, sprend\u017eiamos skirtingomis priemon\u0117mis. XMPP su TLS apsaugo susira\u0161in\u0117jimo turin\u012f. Jis neslepia serverio egzistavimo fakto, jo vietos, paslaug\u0173 teik\u0117jo, atvir\u0173 prievad\u0173 s\u0105ra\u0161o ir \u2014 svarbiausia \u2014 jung\u010di\u0173 metaduomen\u0173. Skirtingi steb\u0117tojai mato skirtingus dalykus. Censys ir Shodan mato pat\u012f server\u012f: atvirus prievadus, TLS sertifikatus, paslaug\u0173 banerius. Prieglobos paslaug\u0173 teik\u0117jas \u2014 \u0161iuo atveju Linode \u2014 mato tinklo sraut\u0105 sraut\u0173 lygiu: kurie IP adresai jung\u0117si prie serverio, kada, kaip da\u017enai, kiek ilgai palaik\u0117 ry\u0161\u012f. Tai ir yra metaduomenys. Kriminaliniuose tyrimuose metaduomenys da\u017enai vertingesni u\u017e turin\u012f. B\u016btent tod\u0117l Signal daugel\u012f met\u0173 in\u017eineri\u0161kai sprend\u017eia metaduomen\u0173 minimizavim\u0105 kaip atskir\u0105 problem\u0105 \u2014 ne tod\u0117l, kad j\u0173 \u0161ifravimas nepakankamas, o tod\u0117l, kad \u0161ifravimas neslepia paties komunikacijos fakto. Linode ir Akamai \u2014 amerikie\u010di\u0173 \u012fmon\u0117s. Serveris fizi\u0161kai yra \u0160vedijoje. Tai rei\u0161kia, kad prieig\u0105 prie jung\u010di\u0173 duomen\u0173 galima gauti per teisin\u0119 savitarpio pagalb\u0105 taikant tiek JAV, tiek ES teis\u0119. XMPP \u0161ifravimas \u010dia nieko nekei\u010dia: jis apsaugo turin\u012f, bet ne nuo u\u017eklausos prieglobos paslaug\u0173 teik\u0117jui apie tai, kokie IP adresai jung\u0117si prie serverio ir kada. TIPIN\u0116S KLAIDOS PALEID\u017dIANT PRIVA\u010cIAS PASLAUGAS DarkForums padar\u0117 klasikin\u012f klaid\u0173 rinkin\u012f \u2014 tok\u012f, kuris pasirodo kaskart, kai kas nors kelia „vidin\u0119” paslaug\u0105 ir ne\u012fvertina jos matomumo i\u0161 i\u0161or\u0117s. Pirma ir svarbiausia klaida: paslauga klausosi vie\u0161ame IP. Jei paslauga neskirta vie\u0161ajai prieigai, ji neturi b\u016bti pasiekiama i\u0161 interneto visai. Net jei veikia TLS ir sud\u0117tingi slapta\u017eod\u017eiai \u2014 atviras prievadas vie\u0161ame IP leid\u017eia Censys, Shodan ir pana\u0161iems \u012frankiams indeksuoti server\u012f per kelias minutes. Taisymas: paslauga klauso tik loopback (127.0.0.1) arba vidiniame s\u0105sajoje, prieiga i\u0161 i\u0161or\u0117s \u2014 tik per VPN tunel\u012f. Antra klaida \u2014 priva\u010dios paslaugos talpinimas tame pa\u010diame IP kaip ir vie\u0161os paslaugos. DarkForums atveju: xmpp.sg tame pa\u010diame adrese tarnauja kaip papildomas identifikatorius OSINT analiz\u0117s metu. Pamat\u0119s xmpp.sg, tyr\u0117jas susieja dvi tariamai nepriklausomas paslaugas per bendr\u0105 infrastrukt\u016br\u0105. Taisymas: priva\u010dios ir vie\u0161os paslaugos skirtinguose serveriuose su skirtingais IP \u2014 jokio persidengimo adresavimo lygiu. Tre\u010dia klaida \u2014 apleisti DNS \u012fra\u0161ai. Domenas er18.mobi pasibaig\u0117, bet subdomeinas jdrtyipau.er18.mobi toliau rodo \u012f t\u0105 pat\u012f server\u012f \u2014 skaitmeninis p\u0117dsakas, kuris sieja dabartin\u0119 infrastrukt\u016br\u0105 su operatori\u0173 praeities istorija. Prie\u0161 atsisakant domeno ar IP \u2014 patikrinti visus j\u012f rodan\u010dius DNS \u012fra\u0161us, \u012fskaitant subdomeinus per crt.sh. Ketvirta klaida \u2014 pasirinkimo iliuzija be realios izoliacijos. Du domenai darked.im ir darkforums.im suteik\u0117 vartotojams pasirinkimo jausm\u0105, bet abu ved\u0117 \u012f t\u0105 pat\u012f IP. \u012esivaizduokite: vartotojas u\u017esiregistravo darkforums.im manydamas, kad jis „privatesnis” ar tiesiog i\u0161 \u012fpro\u010dio. Censys po\u017ei\u016briu \u2014 jis prisijung\u0117 prie to paties 172.234.115.5 kaip ir visi kiti. Tikra izoliacija \u2014 tai atskiri serveriai, atskiros prieglobos paskyros, atskiros jurisdikcijos. Du domenai viename VPS \u2014 tai tik dvi etiket\u0117s ant vieno aplanko. KAIP TINKAMAI SL\u0116PTI INFRASTRUKT\u016aR\u0104 Tinkamas po\u017ei\u016bris priklauso nuo to, kiek rimti sl\u0117pimo reikalavimai. Ta\u010diau pagrindiniai principai vienodi bet kuriai „vidinei” paslaugai \u2014 korporaciniam mesend\u017eeriui, VPN \u0161liuzui, administravimo s\u0105sajai, steb\u0117jimo sistemai. Patikimiausias variantas \u2014 paslauga visai neklauso vie\u0161oje s\u0105sajoje. Daugumai paslaug\u0173 tai rei\u0161kia nurodyti konkret\u0173 vidin\u012f adres\u0105 vietoje 0.0.0.0. Patikrinti, k\u0105 paslauga i\u0161 tikr\u0173j\u0173 klauso ir kurioje s\u0105sajoje: Rezultatas parodys visus TCP prievadus LISTEN b\u016bsenoje. Local Address stulpelis parodys, kurioje s\u0105sajoje klauso kiekviena paslauga: 0.0.0.0:5222 \u2014 klauso visose s\u0105sajose, matoma i\u0161 interneto. 127.0.0.1:5222 arba 10.0.0.1:5222 \u2014 klauso tik loopback arba vidin\u0117je s\u0105sajoje, nematoma i\u0161 i\u0161or\u0117s. Jei paslaugai reikia prieigos i\u0161 i\u0161or\u0117s, bet tik konkretiems vartotojams \u2014 tinkamas sprendimas yra […]<\/p>\n","protected":false},"author":1,"featured_media":20865,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[196,199,187,155],"tags":[690,691,692,693,694,695,696,378,697,698,699,700],"class_list":["post-20869","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dns-lt","category-linux-lt","category-nftables-lt","category-saugumas","tag-anonymity","tag-censys","tag-darkforums","tag-deanonymization","tag-dns","tag-jabber","tag-metadata","tag-nftables","tag-operational-security","tag-osint","tag-wireguard","tag-xmpp"],"_links":{"self":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/comments?post=20869"}],"version-history":[{"count":2,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20869\/revisions"}],"predecessor-version":[{"id":20873,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20869\/revisions\/20873"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media\/20865"}],"wp:attachment":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media?parent=20869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/categories?post=20869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/tags?post=20869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}127.0.0.1<\/code>) arba vidiniame s\u0105sajoje, prieiga i\u0161 i\u0161or\u0117s \u2014 tik per VPN tunel\u012f.<\/p>\n\n\n\n0.0.0.0<\/code>. Patikrinti, k\u0105 paslauga i\u0161 tikr\u0173j\u0173 klauso ir kurioje s\u0105sajoje:<\/p>\n\n\n\nss -tlnp<\/code><\/pre>\n\n\n\n0.0.0.0:5222<\/code> \u2014 klauso visose s\u0105sajose, matoma i\u0161 interneto. 127.0.0.1:5222<\/code> arba 10.0.0.1:5222<\/code> \u2014 klauso tik loopback arba vidin\u0117je s\u0105sajoje, nematoma i\u0161 i\u0161or\u0117s.<\/p>\n\n\n\nnft add rule inet filter input tcp dport 5222 ip saddr 10.0.0.0\/24 accept\nnft add rule inet filter input tcp dport 5222 drop<\/code><\/pre>\n\n\n\nwg0<\/code>, adresas tipo 10.0.0.1<\/code>). I\u0161 i\u0161or\u0117s matomi tik WireGuard UDP prievadas ir SSH \u2014 nieko daugiau. Vartotojas pirmiausia jungiasi prie VPN, ir tik tada gauna prieig\u0105 prie priva\u010di\u0173 paslaug\u0173. Censys mato atvir\u0105 WireGuard UDP prievad\u0105, bet nemato nei XMPP prievad\u0173, nei kit\u0173 paslaug\u0173 u\u017e jo \u2014 jos egzistuoja tik VPN tinklo kontekste.<\/p>\n\n\n\ndig +short @8.8.8.8 example.com\ndig +short @8.8.8.8 www.example.com\ndig +short @8.8.8.8 mail.example.com<\/code><\/pre>\n\n\n\nhttps:\/\/crt.sh\/?q=%.example.com<\/code> ir per\u017ei\u016br\u0117ti s\u0105ra\u0161\u0105 \u2014 jis parodys visus subdomeinus, kuriems kada nors buvo i\u0161duotas sertifikatas. Tai duos vis\u0105 vaizd\u0105 to, kas egzistavo, net jei DNS \u012fra\u0161ai jau pa\u0161alinti.<\/p>\n\n\n\nhttps:\/\/search.censys.io\/hosts\/YOUR_IP<\/code> ir pamatyti, kas matoma i\u0161 i\u0161or\u0117s. Covert Security pa\u017eym\u0117jo, kad tokiai patikrai pakanka nemokamo Censys tarifo \u2014 jokios specialios prieigos ar mokamos prenumeratos nereikia. Tai u\u017etrunka minut\u0119 ir parodo lygiai tai, k\u0105 mato bet kuris i\u0161orinis steb\u0117tojas.<\/p>\n\n\n\n0.0.0.0<\/code> darant prielaid\u0105, kad „i\u0161 i\u0161or\u0117s niekas ne\u017eino adreso”. Censys \u017eino. Shodan \u017eino. FOFA \u017eino. Visi \u0161ie \u012frankiai nuolat nuskaito vis\u0105 IPv4 diapazon\u0105 \u2014 j\u016bs\u0173 „vidinis” serveris patenka \u012f j\u0173 duomen\u0173 baz\u0119 per kelias valandas po paleidimo.<\/p>\n\n\n\nss -tlnp<\/code> ir pa\u017ei\u016br\u0117kite, kuriuose adresuose i\u0161 tikr\u0173j\u0173 klauso j\u016bs\u0173 paslaugos. Apsilankykite https:\/\/search.censys.io\/hosts\/YOUR_IP<\/code> \u2014 pa\u017ei\u016br\u0117kite, k\u0105 Censys mato dabar pat. Patikrinkite crt.sh d\u0117l subdomen\u0173, kuriuos galb\u016bt pamir\u0161ote. Jei rezultatai j\u016bs\u0173 nenustebins \u2014 puiku. Jei nustebins \u2014 geriau tai su\u017einoti patiems, nei laukti, kol kas nors kitas para\u0161ys apie j\u016bs\u0173 infrastrukt\u016br\u0105.<\/p>\n","protected":false},"excerpt":{"rendered":"