Prometían anonimato, pero olvidaron ocultar las IP: el chat privado de DarkForums delató a sus usuarios al primer escáner
Se acabó el secretismo cuando comenzó la verificación más básica de la infraestructura.
Incluso los servicios diseñados para comunicación cerrada a veces se delatan no por el contenido de los mensajes, sino por la infraestructura de red habitual. Los analistas de Covert Security descubrieron que el servidor Jabber de la comunidad DarkForums no funciona como un servicio oculto de Tor, sino a través de una dirección IP pública normal, accesible con herramientas estándar de búsqueda de infraestructura en internet.
DarkForums promociona su propio servicio XMPP como canal privado para los miembros del foro. Al registrarse, a los usuarios se les ofrecen dos dominios, darked.im y darkforums.im, sin indicar que su infraestructura difiere. La verificación a través de Censys mostró que ambos dominios apuntan a la misma dirección 172.234.115.5.
El servidor opera sobre la infraestructura de Linode, parte de Akamai Connected Cloud, y su geolocalización apunta a Estocolmo. En esa misma dirección se detectan SSH, HTTP, HTTPS y varios puertos XMPP. La respuesta del servidor web por HTTPS indica el servicio Darked.IM para la comunidad DarkForums, por lo que se puede vincular la dirección con el servidor Jabber sin necesidad de intrusión ni sondeo activo del servicio.
El cifrado XMPP puede proteger el contenido de los mensajes, pero no oculta la infraestructura en sí. Un observador a nivel de red puede ver el hecho de la conexión al servidor, la frecuencia de las solicitudes, la duración de las sesiones y otros metadatos. Para un servicio que promete protección contra la vigilancia, esa brecha entre la afirmada anonimidad y la verdadera ubicación crea un riesgo serio para los usuarios.
La comprobación DNS también reveló en la misma IP un servicio XMPP público xmpp.sg, que externamente no está vinculado con DarkForums. Además, en la dirección aún apunta el subdominio jdrtyipau.er18.mobi. El dominio principal er18.mobi ya expiró y está a la venta en el registrador chino west.cn, y el registro DNS del subdominio al parecer quedó en la configuración antigua. Covert Security no extrae conclusiones sobre la naturaleza de la relación, pero considera el registro motivo para una vigilancia continuada.
Los autores subrayan que no se trata de una vulnerabilidad de XMPP ni de un fallo del cifrado. La dirección se halló mediante datos DNS públicos y Censys, sin intentos de intrusión al servidor. Reducir el riesgo en casos similares ayuda no solo cifrar la correspondencia, sino también ocultar la infraestructura, separar los servicios públicos, controlar los registros DNS y evitar alojar nodos de comunicaciones privadas en direcciones en la nube visibles para los escáneres.