ОСТОРОЖНО! Jabber сервера WWH ведут полное логирование

Что-то я не вкурил, зашел с мобилы через IM+ в свою жабу @404.city, написал сообщение, вышел, зашел с PC через пидгин, сообщений не вижу. Вышел зашол обратно с мобилы - сообщения есть

Всю тему заархивировал. Жду непредвзятого вердикта, если же вердикт будет с целью слить тему, будет понятно, - рука руку моет Ну вы поняли. Сами понимаете признать очевидный факт логирования ВВХ джабберов - это сокрушительный удар по форумам ВВХ и Центр. Делайте выводы. Те, кто будут покрывать их - сами понимаете не чисты на руку. Моя тема - это лакмусовая бумажка

Все мои раследования как и это будут без предвзятости. Чистая правда как есть. Список серверов, которые ведут логи нарошно не весь выложил, не все как Таганрок пошли легким путем. Они думали, что если рут доступа к их серверу нету, то узнать как все настроенно - никто не узнает, чтобы узнать что стоит, уже давно не нужен рут-доступ, достаточно уверенных знаний в ПО и его функционале, всегда делаю видеофиксацию, чтобы если вдруг сменят настойки без перезагрузки - факт был на видео. И можно потом не сочинять.
Как в случае с Таганроком, на видео видно мод_мам, он с начала публикации темы отрицает это, что он включен, пытается убедить, что у меня вывод ответа от сервера - либо ошибка, либо фотошоп - нагло врет, после он удалил моего бота, - 2 дня назад и изменил настройки без перезагрузки (с 18 версии настройки можно перечитывать без перезагрузки), и выложил новый скрин, где модуль выключен, - включил дурачка, но он не ожидал, что не только я заметил это, заметили и другие, кто решил прочитать тему и проверить. Скрины выше - это не мои, а одного из тех, кто это тоже заметил, уверен его назовут моим мультом Любой кто в теме включил мозги - сразу становился моим мультом.

Добавлено через 10 минут 48 секунд

Пиджин/Пси и другие, которые о мод_мам не слыхали, они его не поддерживают, история пишется, но не читается, и весь прикол в том, что многие и сидят на этих клиентах, поэтому и не замечали очевидные вещи.
Кстати о 404. city :
Можно кстати разрешить запись логов, но запретить чтение.

[email protected] - вот конференция, тут буду принимать идеи, мысли, а также буду предупреждать о незапланированной проверке сервисов. Будет вестись видео-трансляция+видеофиксация. Когда? - когда я сочту что материала достаточно для очередного разоблачения и у меня будет свободное время для этого, я тоже человек и у меня есть свои дела.

Повторюсь:
Не рекомендую использовать эти сервера:
creep.im, default.rs, conversations.im, 404.city, *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im, hot-chilli.net и их вирт. хосты, sj.ms, draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org, jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk

Через поисковик не удалось найти информации о уязвимости OTR и ОМЕМО ни на русском, ни на английском. На calyxinstitute.org рекомендуют использовать OTR и также не упоминают об уязвимости.
Можно ссылки?

Эта тема не о том, как расшифровывать ОТР/ОМЕМО, те кому это нужно, у тех оно уже есть(кто успел). И я нигде не говорил, что это уязвимость. Если есть познания в криптографии, то думаю понимаете - то что шифруется, то можно и расшифровать.

Нет никакой уязвимости. Перехватить переписку можно только через MITM и подмену ключей. Поэтому при использовании OTR всегда сверяйте отпечаток ключа. Если сервер использует самоподписной сертификат, проверяйте его отпечаток или вовсе не пользуйтесь этим сервером.

Эта тема как раз об этом, т.к. без расшифровки логи ничего не дадут админам!
Если возможно расшифровать переписку, то это именно критическая уязвимость. Ты заявляешь, что она существует, но информацию об этом вычистили из интернета, так выложи тут все о ней.
А то, что большинство серверов ведут логи, это очевидно.

Что, даже зашифрованое методом шифроблокнотов можно? )
Расшифровать можно только если алгоритм случайно или намеренно имеет уязвимость, ну и через MITM и подмену ключей в случае OTR и его аналогов.

Это просто смешно, какой дурак поставит себе такой скрипт?
Мы тут наблюдаем просто конфликт двух спамеров за долю рынка.
К админам ВВХ я симпатии не испытываю, их сервер не использую, но и жабер 1vpn не вызывает доверия.
А проблема спама для пользователей искуственно раздута, кому он мешает ставят антиспам-плагины.

Это безусловно проблема, но вот отсылки на исчезнувшие из всего интернета истории про одновременный взлом шифрования и OTR и OMEMO - это как то несерьезно.
Оба метода шифрования проходили и успешно прошли аудит, и если бы такая мелочь как сбор зашифрованных сообщений по порядку приводила бы к раскрытию переписки - в сети явно было бы больше информации. Я вот, к примеру, нашел только два бага в OTR, но и то, это непосредственная реализация в клиентах, а не недостатки протокола.
CVE-2016-9107 - The OTR plugin for Gajim sends information in cleartext when using XHTML, which allows remote attackers to obtain sensitive information via unspecified vectors.
CVE-2015-8833 - Use-after-free vulnerability in the create_smp_dialog function in gtk-dialog.c in the Off-the-Record Messaging (OTR) pidgin-otr plugin before 4.0.2 for Pidgin allows remote attackers to execute arbitrary code via vectors related to the Authenticate buddy menu item.
Опять же, что именно, какие именно преимущества, заставляет использовать аккаунты на публичных XMPP-серверах, которые явно связаны с кардерскими и хакерскими форумами?
Ведь по умолчанию эти сервера будут привлекать больше внимания к своему трафику и так далее, а возможностей устроить MITM-атаку при s2s соединении будет гораздо больше, при этом конечный клиент про это будет знать ничего.
Какие они имеют преимущества по сравнению с обычными публичными серверами?
(Особенно не понимаю людей, регистрирующихся на кривом exploit.im, который толком не может работать с посторонними серверами и для которых надо специально держать аккаунт на этом сервере)
Для меня, к примеру, важнее, чтобы у сервера был .onion адрес в Tor, чем рассказы про то, что у нас сухо, комфортно и безопасно.
Ну и опять же, если вопросы безопасности сервера предельно важны, то, как мне кажется, сумма порядка 7$ в год - это ничего не значащий расход, а именно столько стоит VPS с выделенным IPV4 на lowendstock.com - берешь бесплатный домен на freenom.com, поднимаешь Prosody на купленном за битки боксе, конфигурируешь так как надо именно тебе - выходит и сухо и комфортно. А для гарантированного шифрования всех сообщений - использовать GnuPG. Для увеличения спокойствия можно даже ключ сгенерировать на смарткарте типа Yubikey Neo/Yubikey 5 NFC.
Как альтернатива джабберу мне вполне нравится Riot - есть и десктопный и мобильный клиент, шифруются в том числе и групповые чаты и тд.

Проверил exploit.im, securejabber.me и еще парочку менее популярных - ключи OTR не подменивают, по крайней мере у всех подряд. А то может топикстартер имел в виду, что выкладывали готовое решение для массовой подмены ключей.

Чем он лучше OTR?

Оффлайн сообщения

Еще раз повторюсь тема не об ОТР, и не нужно мне писать, что я что-то должен выложить еще, вам я ничего не должен, кто хотел, кому было интересно, тот все успел, из-за того что все все выкладывают в сеть - в сети становится некомфортно, потому я точно никому ничего не должен доказывать.
Мое дело было вас предупредить, а вы уже думайте дальше своей головой. На провокации я не ведусь - покажи как это работает и т.д..
Еще заметил вы не совсем понимаете слово - уязвимость. Ну это ваше дело.

Эта тема о логировании, кстати тему на эксплойт прикрыли, ждем вердикта администрации эксплойта, - станет ли он признавать факт логирования на безопасных серверах, или же они просто друзья, так как Таганрок во время дискусии в теме много соврал, и многие стали свидетелем этого. Мне просто интересно - дружба или правда. Тут уже многие смотрят как экспа себя покажет.
Относительно чтения ОТР/ОМЕМО - не питайте себя илюзиями.

Наконец то долгожданные новости для команды форума Club2CRD :



пообещал команде црд не заходить более туда и не трогать их. (с) TaganRock
Поправка на время (разве что с мульта, чтоб скрины сделать).

Так что, слава Богу и TaganRock, можно распрямить плечи. Нас пообещали более не трогать ...

В общем, посмотрев на эту тему, есть понимание того, что безопаснее заплатить 12$/год за домен и VPS и поднять свой с теми модулями, которые тебе нужны, чем пользоваться всякими ультраанонимными серверами. Как говориться, хочешь сделать дело хорошо - сделай его сам.

WWW,
Чем он так сумел напугать вашу команду в 2014 или 2015 году?
Я был тогда на форуме и такого персонажа здесь не помню.
Что за конфликт был между вами и был ли он публичным?

Правду наконец-то признали! Я признаюсь честно, до последнего я сомневался, что очевидную правду признают, что мир захочет ее услышать, и вот админ эксплойта сделал официальный вердикт-приговор:

Итак, настал момент подвести итоги этого многостраничного срача. Мне пришлось потратить кучу времени что бы найти квалифицированного в данной теме человека, который бы смог расставить все точки над и.

Начнем с фактов:

1. на видео мы отчетливо видим как подгружается история сообщений в разные клиенты (что свидетельствует о том, что сообщения на сервере сохраняются)
2. мы видим, что модуль mod_mam был активен, и исходя из комментариев разработчика данного модуля мы понимаем что данный модуль был установлен и включен специально
3. мы видим обман или увиливание или некомпетентность со стороны TaganRock в том, что модуль был поставлен из коробки под Debian, чего быть по факту не могло
4. мы прекрасно понимаем и осознаем, что jabber-сервера WWH не являются настроенными на максимальную анонимность, как это было заявлено TaganRock

Исходя из этого:

1. слова OptimusPrime в части логгирования сообщений на серверах WWH считаю обоснованными и подтвержденными разработчиком из ejabberd, который ко всеми прочему является разработчиком самого модуля mod_mam
2. не будем вдаваться в подробности, случайно или осознанно было включение модуля mod_mam и хранение сообщений на сервере, ответственность лежит целиком и полностью на TaganRock
3. статус Доверенный с TaganRock снимается, профиль уходит в статус Banned

Топик закрыт. Всем спасибо.
ссылка на оригинал

Ну что всё таки забанили Таганыча на експе. Эх думаю скоро будет жарко

делллл

Конфликтов никаких не было, без понятия вообще что он там брякает. Спайсуха безжалостно уничтожила его неокрепшую детскую психику.
По сути, все чем он запомнился, это: деаноном и ярко красным статусом RIPPER.

Это когда был его деанон ?

Просто он сегодня грозился что такое же видео про сервак exploit запишет

Всех сдаст

Если захочет пусть сам расскажет. Он здесь есть, скрины скидывал чата и форума на експу.