Tor exit node что это
Дело об exit-ноде
Дмитрия Богатова обвиняют в совершении двух тяжких преступлений — ст. 205.2 УК (призывы к осуществлению террористической деятельности или оправдание терроризма с использованием интернета), ст. 212 УК (приготовление к организации массовых беспорядков). По версии следствия он под аккаунтом «Айрат Баширов» 29 марта на сайте sysadmins.ru разместил два сообщения экстремистского толка. Однако вся вина Богатова состоит лишь в том, что он содержал выходной сервер сети Tor, который позволял любому разместить информацию с его домашнего IP-адреса.
История задержания московского учителя математики Дмитрия Богатова по обвинению в двух тяжких преступлениях всколыхнула не только российскую IT-тусовку, но и многих зарубежных гиков и сторонников ПО с открытым кодом. По версии следствия, Дима под аккаунтом “Айрат Баширов” размещал на сайте sysadmins.ru сообщения с призывами к осуществлению террористической деятельности и направленные на организацию массовых беспорядков. Дима отрицает, что писал эти сообщения.
В настоящее время юристы Центра цифровых прав осуществляют его защиту на стадии предварительного следствия.
Дмитрий Богатов является последователем свободного ПО, в связи с чем он сначала стал мейнтенером (координатором) проекта Debian (операционной системы из семейства Linux) надеясь когда-нибудь стать и девелопером, а в 2015 году открыл собственное релей Tor, так называемую “выходную ноду” (exit-node). Именно выходная нода дает возможность пользователям сети Tor получать доступ в глобальную сеть после цепочки соединений между машинами внутри системы и является наиболее уязвимой, так как использует IP-адрес последней машины для получения доступа к конкретным сайтам и контенту в интернете.
Зачем «быть узлом Tor»?
После задержания Богатова многие спрашивают, зачем он вообще открыл выходной узел Tor у себя дома. Неужели он сам не понимал, что это опасно?
Дима объясняет это тем, что он всегда интересовался программированием и особо сильно его привлекла технология второго поколения лукового маршрутизатора. В один момент ему просто стало интересно, сможет ли он поднять собственный узел. И у него это получилось. В 2015 году его нода стала отражаться на карте “Атласа” (atlas.torproject.org) как постоянно работающий выходной узел. Вообще, по данным Tor сегодня в России работают 37 “выходных нод”. Можно, конечно, всех администраторов таких узлов подозревать либо в отсутствии критического мышления, либо в прямой вовлеченности в цепочку сомнительных цифровых транзакций, которые все чаще проводятся спецслужбами разных стран для компрометации сети. Но, естественно, всё работает не так.
Tor — это некоммерческий децентрализованный проект. Администрирование системы происходит самими участниками-волонтёрами, которые абсолютно бесплатно предоставляют свои вычислительные мощности для работы в сети всеми остальными пользователями Tor. Особенно, тем группам пользователей, которым он так необходим — в странах с репрессивными режимами и жесткой цензурой. По вкладу в работу Tor-сети Россия занимает 10-ое место в мире.
Конечно, Дима слышал о тех немногих случаях, когда в Америке и Европе, правоохранительные органы задавали вопросы владельцам exit-node в случаях, когда узлы использовались для совершения каких-то преступных деяний в сети. Однако, во всех таких случаях речь обычно шла либо о допросе владельца ноды в качестве свидетеля, либо о временном изъятии техники. Несомненно, Дима был бы готов предоставить информацию и свой компьютер, в случае соответствующего запроса от органов, осуществляющих оперативно-розыскную деятельность.
Но он никогда, как и любой из нас, не мог представить, что содержание “выходной ноды” Tor и чисто техническое участие его компьютера в цепочке информационного обмена в интернете может привести к реальному аресту и обвинению в совершении столь тяжких преступлений, как организация массовых беспорядков и призывы к терроризму.
Обвинение по IP
Изначально математика обвиняли в призывах к массовым беспорядкам (часть 3 статья 212 УК РФ). После переквалификации преступления следствие обвиняет Диму Богатова в попытке организовать массовые беспорядки (часть 1 статьи 30, часть 1 статьи 212 УК РФ) и публичных призывах к терроризму (часть 2 статьи 205.2 УК РФ).
Всё обвинение строится лишь на том, что, согласно логам, полученным от владельца сайта, в день публикации “опасных” сообщений, которые были размещены через учётную запись “Айрата Баширова” (ID135558), вход в эту учётную запись был осуществлён с IP-адреса, принадлежащего Диме. На основании этих данных следствие делает вывод, что, раз однажды вход осуществлялся с этого IP-адреса, то и другие публикации “Айрата Баширова” сделал Дима Богатов.
При этом следствие полностью игнорирует тот факт, что вход на сайт в этот день “Айрат Баширов” осуществлял не только с московского IP-адреса Димы, а из пяти разных мест, в том числе из Владивостока, Японии, Голландии, Великобритании и подмосковного Подольска, а сам Дима обладает железным алиби. В момент публикации он находился вместе со своей женой в спортзале, что подтверждается видеозаписью, предоставленной охраной фитнес-центра.
В настоящее время продолжается предварительное следствие по делу в составе следственной группы из трех человек при Главном следственном управлении СК РФ по г.Москве во главе со следователем по особо важным делам Феликсом Сабановым.
После ареста Димы человек, скрывающийся под ником “Айрат Баширов” (в честь одноименного системного администратора из Уфы) продолжил постить на сайте sysadmins.ru, где и были размещены спорные публикации. Журналистам уже удалось поговорить с ним и узнать кое-какие подробности. В комментарии Медиазоне он подтвердил, что действительно использовал Tor и что готов помочь защите вытащить Диму из уголовного дела.
В частной беседе “Айрат Баширов” признается, что сожалеет о том, что из-за его виртуального «дурачества» реально пострадал невиновный человек. Поэтому обещает, что изо всех сил постарается помочь. Конечно лучшей помощью в данном случае была бы явка с повинной в порядке ст.142 УПК РФ, но на это пока собеседник не готов. В настоящее время мы ведем с ним переговоры, чтобы понять, какую реальную помощь в представлении письменных доказательств невиновности Богатова он может предоставить.
Во вторник, 25 апреля в Мосгорсуде будет слушаться апелляция по мере пресечения в виде взятия под стражу.
Саркис Дарбинян, адвокат Димы Богатова, ведущий юрист «Роскомсвободы«, глава «Центра цифровых прав«:
“Основания предъявления обвинения так же нелепы, как и сами причины ареста Димы Богатова на время осуществления предварительного следствия. Всё обвинение строится лишь на том, что один из IP-адресов, с которого некий “Айрат Баширов” получал доступ к аккаунту на сайте, где по мнению следствия были размещены призывы к терроризму, принадлежал Диме. Действительно, у Богатова два года работал “выходной узел” Tor (exit-node), и он никогда этого не скрывал. Иметь Tor exit-node дома — это законно. Следователи упорно игнорируют факт того, что вход на сайт в этот день осуществлялся не только с IP, принадлежащего Диме, но и из пяти разных мест, от Японии до Подольска. Следователей также не смущает ни 100% алиби, ни то, что после ареста Димы Богатова, “Айрат Баширов” продолжал размещать публикации на сайте.
Мы надеемся, что апелляционный суд проявит большее внимание к деталям и увидит, что Дима Богатов не представляет никакой общественной угрозы и никогда не собирался уезжать из родного города. Взятие Димы под стражу — это явно несоразмерная мера пресечения. Мы также будем требовать полного прекращения дела в отношении Димы по реабилитирующим основаниям ввиду непричастности нашего подзащитного к совершению вменяемых преступлений. И мы это непременно докажем”.
Если Диму Богатова осудят, это будет означать, что против любого владельца незапароленного или взломанного Wi-Fi можно будет возбудить уголовное дело за совершение киберпреступлений, а также преступлений, связанных с распространением информации в интернете. Это будет означать, что к ответственности может быть привлечено даже лицо, чей компьютер оказался зараженным и использовался в преступных ботнетах без ведома владельца компьютера.
В настоящее время мы делаем всё возможное, чтобы это не произошло и Дмитрий поскорее вышел на свободу.
Снифаем выходную ноду Tor’а и анализируем получившийся контент
Концепция «сеть поверх сети» появилась далеко не вчера. Еще в середине прошлого десятилетия «Хакер» писал о луковой и чесночной маршрутизации в лице Tor и I2P и даже публиковал обзоры соответствующего софта в рубрике «Шароwarez», но настоящий интерес к ним в обществе появился на волне известных инфоповодов и громких разоблачений последнего времени. Что же представляют собой даркнеты? Кто там живет? Чем они интересуются, чем дышат, что покупают и что продают? Попробуем разобраться с этим по-хакерски: с помощью снифера и прямого погружения.
WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Система мониторинга onion-доменов
Каждый резидент сети может предоставить свои вычислительные ресурсы для организации Node-сервера — узлового элемента сети, который выполняет функцию посредника в информационном обмене клиента сети. Существует два типа узлов в данном даркнете: промежуточные и выходные (так называемые exit node). Последние являются крайним звеном в операции расшифровки трафика, а значит, представляют собой конечную точку, которая может стать каналом утечки интересной информации.
Наша задача весьма специфична: необходимо собрать существующие и, что самое главное, актуальные onion-ресурсы. При этом нельзя полностью доверяться внутренним поисковикам и каталогам сайтов, ведь актуальность содержащейся в них информации, а также ее полнота оставляет желать лучшего.
Однако решение задачи агрегации актуальных сайтов лежит на поверхности. Для того чтобы составить список недавно посещенных onion-ресурсов, необходимо отслеживать факт обращения к ним. Как мы уже говорили, exite node является конечной точкой на пути следования зашифрованных пактов, а значит, мы можем свободно перехватывать пакеты HTTP/HTTPS-протоколов Tor-пользователя, который занимается серфингом в «традиционном вебе».
Известно, что HTTP-пакет может содержать информацию о посещенных ранее ресурсах. Данные находятся в заголовке запроса Referer, который может содержать URL источника запроса. В «традиционном вебе» данная информация помогает веб-мастерам определить, по каким запросам в поисковых системах и с каких сайтов переходят пользователи подконтрольного веб-ресурса.
В нашем случае достаточно пробежаться по дампу перехваченного трафика регулярным выражением, содержащим строку onion.
Пассивная система мониторинга
О конфигурировании exit node написано огромное количество доступных статей, поэтому здесь мы не будем заострять внимание на процессе конфигурации выходного узла, а отметим лишь самое важное.
Во-первых, в конфигурационном файле torrc необходимо задать политику Exit Policy, разрешающую передачу трафика по всем портам. Данная настройка не является какой-то магической манипуляцией и всего лишь дает надежду «увидеть» что-нибудь интересное на нетривиальном порту.
Поле Nickname не несет никакой смысловой нагрузки, поэтому единственная рекомендация в данном случае — не использовать компрометирующие названия ноды (например, WeAreCapturingYourTraffic) и не использовать цифр, которые могут натолкнуть на мысль о целой сети подобных нод (например, NodeNumber3).
После запуска Tor-сервера необходимо дождаться завершения процедуры загрузки своих координат на сервер директорий — это поможет нашей ноде «заявить» о себе всем участникам даркнета.
После того как мы подняли выходной узел и уже начали пропускать через себя трафик Tor-юзеров, необходимо запустить снифер пакетов и ловить проходящий трафик. В нашем случае в роли снифера выступает tshark, который слушает интерфейс #1 (на нем висит Tor) и любезно складывает дамп в файл dump.pcap:
Все описанные действия следует провести для как можно большего количества серверов, чтобы собрать больше интересной информации. Стоит отметить, что дамп растет довольно быстро и его необходимо периодически забирать для анализа.
Малварь и даркнет
Все больше вредоносного ПО (мобильных и десктопных троянцев) умеет работать со своими C&C-серверами, расположенными в Tor. Преимущества по сравнению с классическим подходом в управлении ботнетом налицо: не нужно заботиться о попадании домена в блек-листы провайдеров, практически нецелесообразно (нецелесообразно — это не синоним «невозможно») идентифицировать ботмастера, а также, в силу архитектуры даркнета, нельзя «выключить» сервер.
Так, одним из первых работать с Tor начал банковский троян ZeuS, разработчики которого тянули вместе со своим зловредом утилиту tor.exe. Внедряя ее в процесс svchost.exe, злодеи тем самым инициировали защищенное соединение своего детища с командным сервером. Причины понятны — вряд ли кто-то прибежит и обесточит твой сервер или того хуже — возьмет под колпак.
Спустя полгода после появления Tor-ботнетов функционал работы с onion-доменами начинает внедряться в мобильные трояны, причем теперь вирусописатели перестали использовать полностью готовые Tor-клиенты, а внедряют свои реализации и изменяют уже имеющиеся решения.
Таким образом, многие onion-домены на настоящий момент представляют собой не что иное, как средство администрирования того или иного ботнета.
Административная панель одного из ботнетов
Фрагмент исходного кода одного из мобильных зловредов
Активная система
Прежде чем перейти к результатам, полученным в процессе функционирования пассивной системы мониторинга, расскажем о концепции активной системы. До текущего момента в воздухе витала идея перехвата проходящих данных через выходные узлы Tor. В этом случае система имеет пассивную концепцию сбора информации, и ее операторы вынуждены довольствоваться теми результатами, которые попадут в их «сети». Однако о внутренних ресурсах даркнета можно получить куда больше информации, если для ее сбора использовать концепцию активной системы мониторинга.
Обязательным условием для нормального обмена информацией с внешними интернет-ресурсами через exit node является наличие ответа от веб-сервера, который наша выходная нода должна в обязательном порядке доставить до Tor-пользователя. В противном случае, если через ноду идут только запросы к веб-серверам, остающиеся без ответа, мы можем сделать вывод, что имеет место DDoS-атака.
Основная суть активной системы заключается в возможности организации MITM-атаки: мы можем перенаправлять пользователя на подконтрольный нам веб-ресурс или добавлять свой код в содержимое ответа с целью спровоцировать утечку какой-либо информации из браузера клиента.
Тема деанонимизации пользователя и описание ее техник требуют отдельной статьи, но можно сделать вывод, что ряд ее техник могут помочь в получении информации об актуальных ресурсах. Задача нетривиальная, и подойти к ее решению можно разными способами.
В данном случае все зависит от фантазии владельца exit node. Например, можно использовать техники социальной инженерии и спровоцировать (от имени администрации запрашиваемого ресурса) резидента даркнета отправить какую-либо информацию о себе и посещенных ресурсах. В качестве альтернативного средства можно попытаться загрузить на сторону жертвы какую-либо «полезную нагрузку».
Exit node в процессе своего функционирования
Tshark ловит пакеты, которые проходят через exit node в открытом виде
Традиционные веб-технологии также могут помочь в решении данной задачи. Например, cookies, которые владельцы веб-сайтов используют для получения статистической информации о посетителях. Необходимо отметить, что cookies обладают ограниченным временем жизни и, кроме того, пользователь может удалить их в любой момент. По этой причине разработчики идут на различные уловки, чтобы повысить время жизни и объем информации, хранимой в cookie-файлах.
Одним из способов является использование хранилища Flash, в таком случае информация хранится в LSO-файлах (local shared objects), которые схожи с cookie-файлами и тоже хранятся локально на компьютере пользователя. Кроме того, существует еще более мощный инструмент для работы с cookies — JavaScript-библиотека evercookie. Данная библиотека предоставляет возможность создавать трудноудаляемые cookies путем использования одновременно обычных HTTP-cookie, LSO-файлов и тегов HTML5. И всю эту информацию можно извлечь активной системой мониторинга.
Герои даркнета
Пауки темных сетей
Итак, получив в свое распоряжение огромный дамп, следует заняться его анализом на предмет onion-ресурсов. Беглое чтение дампа «по диагонали» позволило составить категории веб-приложений даркнета и вывести психологический портрет типичного Tor-пользователя.
Пример попавшего в логи onion-ресурса
Стоит отметить, что за сутки (будний день) непрерывного перехвата трафика дамп одной ноды вырастает до 3 Гб. А значит, просто открыть его Wireshark’ом не получится — программа просто подавится таким большим файлом. Для анализа дампа необходимо разбить его на файлы размером не более 200 Мб (определено эмпирическим путем). Для этого вместе с Wireshark идет утилита editcap:
В данном случае значение 200 000 — число пакетов в одном файле.
При анализе дампа наша задача заключается в поиске строк, содержащих подстроку «.onion». С большой долей вероятности мы будем находить внутренние ресурсы Tor.
Пример содержательного заголовка Referer
Итак, чем же интересуются пользователи даркнетов? Из попавших в наши сети onion-ресурсов мы составили небольшой список.
Адалт, интимные услуги.
Порнографии, ресурсов с девушками легкого поведения и всевозможных форумов по увеличению «физических» характеристик много как во внешней сети, так и внутри даркнета. Как говорится, без комментариев.
Ресурс, предлагающий услуги интимного характера
Политика.
Оказывается, здесь тоже интересуются политикой! В нашем дампе обнаружилось достаточно большое количество украинских веб-ресурсов, расположенных во внешней сети.
Запрещенный контент.
Активно посещались всевозможные материалы о конструкции запрещенных девайсов (бомба), описание психотропных веществ с возможностью их приобретения. Логично: редкий индивид серфит посредством даркнета классические внешние веб-ресурсы.
Маркеты
Каталог товаров типичного дарк-маркета
Эти ресурсы предлагают не только различного вида химические соединения, но и материал для поклонников сериала «Во все тяжкие» — тех, кто любит «мастерить» наркотики своими руками. Причем создатели подобных площадок предоставляют своим клиентам сервис не хуже, чем какой-нибудь AliExpress, — существует система скидок для постоянных клиентов и возврат денежных средств за некачественный товар. Также здесь есть некое подобие транзакционных кодов для отслеживания статуса заказа.
Попробуем посетить классический рынок даркнета. После недолгой процедуры регистрации, где у нас запрашивают исключительно логин и пароль, мы попадаем в панель управления своим «криптовалютным» счетом. Интерфейс маркета устроен таким образом, чтобы пользователь не отвлекался на посторонние элементы управления и наслаждался обилием предложений всевозможных «ништяков».
Осторожно Big Data
В течение 24 часов непрерывного перехвата трафика на выходной ноде образуется дамп размером 3 Гб.
Калькуляция:
10 нод × 3 Гб × 7 дней = = 210 Гб. Если хочешь поучаствовать в процессе разбора накопленной информации — пиши мне на электронную почту.
Наибольшее количество позиций наблюдается в категориях с наркотическими веществами, рецептами и некими абстрактными «Digital Goods» — заглянем сюда. Сортируем по убыванию цены и видим, что самыми дорогими товарами в этой категории выступают украденные базы аккаунтов. Тут есть из чего выбрать: от дорогих банковских учетных записей (стоимость базы около тысячи долларов) до недавно утекших баз от онлайн-сервисов.
Кстати говоря, на «утекшие» аккаунты Yahoo и Google имеются весьма положительные отзывы — а это значит, что народ, который их приобретает, некомпетентен в вопросах информационной безопасности. Инвайты на другие ресурсы, сомнительные и «секретные методики заработка в интернете» — все это довольно неплохо монетизируется.
Дорогостоящие представители Digital Goods
Другой маркет встретил нас сомнительным интерфейсом и все той же категорией Digital Goods, где обнаружилась подкатегория с интересным названием 0day, в которой… оказались те же самые «новые секретные рецепты». Вывод: в традиционных даркет-маркетах практически отсутствуют актуальные киберкриминальные предложения.
Такие вот «зиродеи»…
Примечателен тот факт, что на некоторых крупных площадках есть программы вознаграждения за найденные уязвимости (bug bounty).
Правда, качество репортов никакое — в основном «баги» носят скорее визуальный характер. Кроме того, форумы магазинов переполнены сообщениями: «Анонимен ли я, если покупаю у вас drugs со своего iPad?»
Среди мусора и флуда встречаются предложения по отмыванию денег. Как гласит описание сервисов, пользователь переводит свои биткоины и за небольшой процент владельцы сервиса распределяют эти деньги на множество подконтрольных кошельков, инициируя тем самым множество транзакций.
Фидбек для «Цифровых товаров»: осторожно, кидалы!
Для тех, кто желает поднять свой собственный маркет в даркнете, но при этом ничего не понимает в процессе разработки веб-приложений, на просторах интернета формируются группы разработчиков, которые специализируются как раз на подобных услугах.
Стоимость разработки ресурса для даркнета не сильно отличается от рыночных цен на типовые интернет-магазины, однако тут есть своя специфика. Например, оплата этим разработчикам происходит исключительно посредством криптовалюты.
Услуги разработчиков веб-приложений для даркнета
Закрытые ресурсы
Довольно часто нам попадались различные закрытые для глаз обычного посетителя ресурсы. Можно только гадать о контенте, спрятанном за ними: возможно, это очередной форум или маркет, возможно, это админка какого-нибудь ботнета. Очень редко закрытый ресурс спрашивал имя и пароль — чаще мы просто наталкивались на ошибку 404, но при этом в логах фиксировались недавние переходы по скриптам веб-ресурса.
Эксплойты, трояны
«Даркнеты вообще и Tor в частности не привнесли никаких изменений в стандартные киберкриминальные бизнес-процессы. Площадки, на которых продается малварь, эксплойты к уязвимостям, сплоит-паки и т. п. по-прежнему остались во внешней сети. Попросту незачем уходить в даркнеты — это отсекает платежеспособную аудиторию и клиентов, усложняет сервис. Разработчики вредоносного ПО желают максимально упростить свою коммуникацию с заказчиками, и в этом процессе Tor — неудобный и сомнительный инструмент. Только с точки зрения функционирования малвари даркнет выступает хорошим средством сохранения админки ботнета. Что касается кардинг-площадок, то кардеры — люди очень жадные и ленивые. Зачем уходить в даркнет, если достаточно ограничить доступ к контенту стандартными средствами веб-движков? Или ввести членский взнос за участие в форуме? Уязвимости нулевого дня уже трудно найти не только в даркнете, но и на закрытых площадках в традиционном вебе. Эксплойтостроители теперь работают в командах и напрямую с конкретными заказчиками, так что им теперь вряд ли нужны форумы и уж тем более даркнеты».
Пример закрытой площадки
Процесс «гугления» внутри торовских onion-ресурсов дал несколько ссылок на продавцов банковского трояна ZeuS, однако все эти ссылки находились внутри крупного маркета, который, наряду с троянцем, продает наркотики и тому подобный стафф.
Не Tor’ом единым
Технологическая суть даркнета сводится к организации дополнительного сетевого уровня, который работает поверх IP-протокола. Все это дает возможность осуществлять анонимную передачу данных (Tor) и в ряде случаев анонимно размещать свое веб-приложение (I2P).
Стоит отметить, что Tor больше ориентирован на сохранение анонимности участника информационного обмена, в то время как I2P и Freenet больше подходят для реализации анонимного хостинга. «Диггерам» контента в даркнетах нельзя оставлять без внимания I2P и небольшую анонимную пиринговую сеть Freenet, ведь это настоящий «тихий омут».
После установки Java-клиента I2P на странице 127.0.0.1:7658 появляется «заглушка» для локального сайта. Для того чтобы данный сайт стал виден всем участникам этого даркнета, нужно настроить туннель. Для адресации внутри сети используются идентификаторы, представляющие собой Base64-строки. Для сопоставления трудночитаемого идентификатора с уникальным именем нашего проекта (например, project.i2p) необходимо зарегистрировать для данного идентификатора доменное имя. Пусть тебя не смущает отсутствие системы доменных имен — ее попросту нет, так как она сама по себе была бы «узким горлышком» в работе сети, то есть создавала бы угрозу для сохраненности передаваемой информации.
DNS здесь реализован в виде распределенной системы хранения хеш-таблиц. После того как будет создан уникальный адрес (в его уникальности позволяет убедиться внутренний сервис), можно активировать проект. Информация о проекте должна быть внесена в распределенные адресные хранилища, после чего она распространится между всеми пользователями сети. Именно данный факт упрощает сбор информации о внутренних ресурсах.
Выход на свет
Не принимай близко к сердцу утверждения об абсолютной анонимности в даркнете: все больше исследований доказывают, что анонимность в Tor и ему подобных сетях — это просто альтернатива другим средствам уберечься от внимания «соседа». Даркнет в настоящее время лишь надежда для анархистов (и желающих увеличить свой «девайс»), рынок для наркоманов и поле для исследований.
С помощью пассивной системы мониторинга мы смогли определить целевую аудиторию даркнета, немного покопались в актуальном контенте и нашли отправную точку для активной системы мониторинга, которая, в свою очередь, имеет шансы твердо ответить на вопрос, существует ли анонимность в даркнете.
Благодарность
Спасибо Амирану Гебенову за помощь в конфигурировании и администрировании описанной системы мониторинга.
Впервые опубликовано в журнале «Хакер» от 09/2014.