Zabawa w detektywa. Jak zidentyfikować kogoś w
internecie cz. 1
Anonimowość w internecie to mit. Każdego można zidentyfikować, problem sprowadza się
tylko do dwóch kwestii: ile ty chcesz zapłacić za znalezienie kogoś w sieci oraz ile ktoś jest
w stanie zapłacić za to, żebyś go nie znalazł.
Autor: Zenon Michalski
Powszechna informatyzacja sprawiła, że dane osobowe oraz informacje o przyzwyczajeniach,
poglądach i potrzebach ludzi stanowiących cyberspołeczność stały się łakomym kąskiem dla
biznesu, firm konsultingowych, marketingowców, analityków oraz spamerów. Na obraz
internauty składają się nie tylko informacje o tym, jakie witryny przegląda, ale również jakie
ma poglądy, zainteresowania, przyjaciół i przeciwników. Takie dossier może być potencjalnie
dość niebezpieczne dla zainteresowanego, jeśli znajdzie się w niepowołanych rękach.
Z drugiej strony internet jest (a raczej wydaje się być) rajem dla ludzi, którzy chcą
upubliczniać swoje nie zawsze poprawne politycznie oraz moralnie poglądy, licząc na brak
możliwości identyfikacji i wyciągnięcia konsekwencji. Podobnie rzecz ma się z przestępcami,
którzy już dawno odkryli, że "cyferkowe" pieniądze i dane są tak samo wartościowe jak te
papierowe, a często znacznie łatwiej je zdobyć.
Pośrednio odpowiedzialność za działania użytkowników spoczywa na dostawcy internetu
oraz administratorach sieci lokalnych. Pomimo regulaminu, do przestrzegania którego zwykle
użytkownicy są zobowiązani, dobrze jest wiedzieć, jak "namierzyć" ich aktywność w
internecie.
ABC gromadzenia "wirtualnych teczek"
Pozostawmy udowadnianie i ściganie przestępstw komputerowych zawodowcom i
spróbujmy się przyjrzeć, jak w dość prosty sposób, przy wykorzystaniu powszechnie
dostępnych metod i oprogramowania, można zidentyfikować ślady na internetowych
ścieżkach. Raczej nie będziemy w ten sposób ustalać, kto włamał się do NASA, natomiast
pozwoli nam to stwierdzić, kto i skąd odwiedza nasz serwer WWW albo pisze do nas maile
Analiza nagłówków e-mail
Mechanizm działania poczty elektronicznej jest bardzo podobny do dostarczania
tradycyjnych listów. W jej obsługę może być zaangażowanych od kilku do kilkunastu
serwerów, nieraz rozsianych po całym świecie, ponieważ standardy poczty elektronicznej
definiują tylko pewną część tego, co powinno znalez
ć się w dodanych do listu nagłówkach.
Każde oprogramowanie pocztowe, czy to klient czy serwer, dodaje do nagłówka wiadomości
własne, specyficzne dla siebie pola. Ich ilość sprawia, że nagłówek może być mało
zrozumiały.
Umiejętność prawidłowego przeanalizowania nagłówka wiadomości umożliwi określenie
rzeczywistego nadawcy listu, programu pocztowego i serwera, z którego skorzystał nadawca
oraz drogi jaką wiadomość przebyła od nadawcy do adresata.
Większość programów-klientów do obsługi poczty wyświetla tylko podstawowe dane o
przychodzącym mailu, takie jak nadawcę, temat i datę otrzymania wiadomości. Aby uzyskać
więcej szczegółów, musimy poprosić program pocztowy o pokazanie nam z
ródła wiadomości
lub wszystkich nagłówków. W przypadku programu Thunderbird procedura ta wygląda
następująco: zaznaczamy interesującą nas wiadomość, klikamy menu Widok, wybieramy
opcję Pokaż nagłówki, a następnie wybieramy opcję Wszystkie. W ten sposób w oknie
podglądu wiadomości zobaczymy wszystkie nagłówki badanej wiadomości (rys. 1).
Rys. 1. Wyświetlenie wszystkich
nagłówków wiadomości
Alternatywnie możemy wyświetlić całe z
ródło wiadomości w osobnym oknie. W tym celu
zaznaczamy interesującą nas wiadomość i klikamy menu Widok, a następnie wybieramy
opcjÄ™ y
ródło wiadomości (lub wciskamy kombinację klawiszy Ctrl+U) (rys. 2).
Rys. 2. Wyświetlanie z
ródła wiadomości
Jako królika doświadczalnego do analizy wybrałem typowy spam...
y
ródło wiadomości po usunięciu z niej adresu hosta docelowego i zastąpienia go przez [...]
wyglÄ…da tak:
Przykład nagłówka typowego spamu
Return-Path:
X-Original-To: webmaster@[...]
Delivered-To: admin _ www@[...]
Received: from localhost (localhost [127.0.0.1])
By [...].com.pl (Postfix) with ESMTP id 13A801500DA
for ; Mon, 24 Dec 2007 12:05:09 +0100(CET)
X-Virus-Scanned: Debian amavisd-new at[...].com.pl
Received: from[...].com.pl ([127.0.0.1])
by localhost ([...].com.pl [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id gSA3-2mUcNQL for ;
Mon, 24 Dec 2007 12:05:05 +0100 (CET)
Received: from travelocity.com (unknown [122.168.30.13])
by [...].com.pl (Postfix) with SMTP id 766B21500D3
for ; Mon, 24 Dec 2007 12:04:40 +0100 (CET)
Received: from 193.164.156.40 (HELO smtpa1.tf1.fr)
by [...].com.pl with esmtp (BOICFZVVWWW PINKOE)
id 01Dext-Nbd50A-AF
for webmaster@[...].com.pl; Mon, 24 Dec 2007 16:35:07 +0530
Message-ID: <121401c8461c$d7f02f90$7aa81e0d@Malcolm>
From: "Malcolm F. Norris"
To: "Simon M. Hardy"
Subject: Make your gf happy in New Year 2008!
Date: Mon, 24 Dec 2007 16:35:07 +0530
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1158
Rozpoczynając analizowanie nagłówka otrzymanego e-maila przyjrzymy się standardowym
polom wiadomości:
·ð Nagłówek Return-Path - zawiera (teoretycznie) adres nadawcy, który jest używany do
powiadomienia osoby wysyłającej e-maila w przypadku problemów z jego
dostarczeniem. W przypadku spamu jest on zwykle fałszywy, tak samo jak nagłówek
From. W przypadku innych wiadomości bywa, że wskazuje na prawdziwego nadawcę,
mimo że w nagłówku From umieszczono inne dane.
·ð Delivered-To - nagłówek wskazuje na jakÄ… fizycznÄ… skrzynkÄ™ na serwerze dostarczono
wiadomość. Jest to istotne w przypadku, gdy w nagłówku To umieszczono adres
będący aliasem właściwej skrzynki. W badanym przypadku alias pocztowy
webmaster@ jest skonfigurowany do przekazywania na fizyczne konto
admin_www@.
·ð Nagłówek Received - każdy serwer, przez który przechodziÅ‚a wiadomość zwykle
zostawia tu informację o sobie (podając swój adres, rodzaj oprogramowania oraz
identyfikator wiadomości). Reguła ta nie dotyczy specjalnie spreparowanych
serwerów, tzw. remailerów, które służą właśnie do zachowania anonimowości przez
nadawcę. Może się również zdarzyć, że lista serwerów w nagłówkach Received jest
celowo zafałszowana, żeby trudniej było przeanalizować drogę przesyłki.
·ð Message-ID - nagłówek ten jest niepowtarzalnym identyfikatorem wiadomoÅ›ci e-mail
lub postu na grupie dyskusyjnej. Wykorzystywany raczej w przypadku grup
dyskusyjnych w celu szybkiego odnalezienia wiadomości.
·ð Nagłówki From, To i Subject - standardowe nagłówki każdego listu, tak naprawdÄ™ nie
mające jednak większego wpływu na poprawne dostarczenie listu. Ich zawartość,
zwłaszcza w przypadku spamu, jest często przypadkowa. Jak widać w powyższym
przykładzie, w nagłówku From jest podana jakaś osoba (fikcyjna), natomiast w polu
To została podana również fikcyjna osoba, jednak z adresem wskazującym na nasze
konto.
·ð Nagłówek Content-Type - zawiera informacjÄ™ o typie przesyÅ‚ki - jest to wiadomość
składająca się z różnego typu danych (czysty tekst i HTML).
Dodatkowo interesujące mogą być wszelkie nagłówki X znajdujące się w wiadomości. W
badanym przez nas mailu mamy następujące nagłówki X:
X-Original-To: webmaster@[...]
X-Virus-Scanned: Debian amavisd-new at[& ].com.pl
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1158
Możemy z nich odczytać jaki adres był podany jako odbiorcy (X-Original-To), zanim nasz
lokalny serwer pocztowy przekazał go do skrzynki fizycznej. Będzie to jeden z aliasów
pocztowych skojarzonych z naszym fizycznym kontem na serwerze.
Kolejną informacją jest, jaki program antywirusowy na serwerze skanował pocztę (X-Virus-
Scanned) pod kątem wirusów i na którym serwerze (nagłówek X-Virus-Scanned) znajduje się
bezpośrednio. Następna informacja to priorytet wiadomości (X-Priority i X-MSMail-Priority).
Ponadto dowiemy się (albo nie) jakiego programu używał nadawca (X-Mailer oraz X-
MimeOLE). Pamiętać jednak należy, że często oprogramowanie do generowania spamu
podszywa siÄ™ pod najpopularniejsze programy pocztowe.
W naszym przypadku widzimy, że w kroku 1 wiadomość została wysłana przez serwer, który
przedstawił się jako travelocity.com z adresem IP 122.168.30.13. Szybko sprawdzamy za
pomocÄ… polecenia nslookup, czy adres IP pasuje do adresu domenowego.
C:\Documents and Settings\ZM>nslookup 122.168.30.13
Name: ABTS-mp-dynamic-013.30.168.122.
airtelbroadband.in
Address: 122.168.30.13
Prawdziwy adres travelocity.com sprawdzamy identycznie:
C:\Documents and Settings\ZM>nslookup travelocity.com
Non-authoritative answer:
Name: travelocity.com
Address: 151.193.224.81
Jak widzimy, nazwa domeny nie pasuje do adresu IP. Wstępne oględziny wskazują, że adres
IP należy do dostawcy internetowego, który przydziela adresy w swojej sieci dynamicznie, za
pomocą DHCP. Możemy spróbować sprawdzić, kto jest odpowiedzialny za to IP. W tym celu
wykorzystamy bazę RIPE, dostępną pod adresem http://www.ripe.net.
I tu czeka nas rozczarowanie. Adres, którego szukamy, nie został oficjalnie przypisany
żadnemu dostawcy. Spróbujmy więc poszukać po nazwie domenowej. Niestety, baza RIPE
nic nie wie o takiej domenie.
Kolejnym krokiem może być prześledzenie za pomocą programu tracert (dla Windows) lub
traceroute (dla Linuksa), gdzie znajduje siÄ™ host nadawcy:
Gdzie jest host nadawcy?
Wynik działania programu traceroute (lub tracert)
Tracing route to ABTS-mp-dynamic-013.30.168.122.airtelbroadband.in [122.168.30.13]
over a maximum of 30 hops:
[...]
4 * 15 ms 5 ms pl-waw01a-rd1-g-2-0-0.aorta.net [213.46.178.13]
5 35 ms 38 ms 36 ms uk-lon01a-rd2-stm64-pos0-0.aorta.net [213.46.160.137]
6 108 ms 107 ms 109 ms us-nyc01b-rd1-pos-12-0.aorta.net [213.46.160.126]
7 108 ms 107 ms 107 ms 213.46.190.85
8 112 ms 113 ms 113 ms 213.46.190.50
9 113 ms 113 ms 115 ms us-was02a-ri1-10ge-1-0-0-0.aorta.net [213.46.190.194]
10 117 ms 114 ms 112 ms te-4-1.car3.Washington1.Level3.net [4.79.168.201]
11 122 ms 113 ms 122 ms vlan79.csw2.Washington1.Level3.net [4.68.17.126]
12 113 ms 124 ms 125 ms ae-71-71.ebr1.Washington1.Level3.net [4.69.134.133]
13 127 ms 127 ms 127 ms ae-2.ebr3.Atlanta2.Level3.net [4.69.132.85]
14 155 ms 147 ms 158 ms ae-7.ebr3.Dallas1.Level3.net [4.69.134.21]
15 185 ms 183 ms 194 ms ae-3.ebr2.LosAngeles1.Level3.net [4.69.132.77]
16 183 ms 184 ms 183 ms ge-9-2.core1.LosAngeles1.Level3.net [4.68.102.167]
17 433 ms 311 ms 311 ms BHARTI-INFO.c1.LosAngeles1.Level3.net [4.78.196.22]
18 313 ms 307 ms 308 ms 59.145.7.134
19 331 ms 326 ms 324 ms 125.17.96.242
20 * * * Request timed out.
21 373 ms 442 ms 372 ms ABTS-mp-dynamic-013.30.168.122.airtelbroadband.in
[122.168.30.13] Trace complete.
Tym razem dowiedzieliśmy się trochę więcej. Aktualnie komputer, na który wskazuje adres IP
z wiadomości, znajduje się w USA, najprawdopodobniej gdzieś w Los Angeles. Niestety brak
szczegółowych danych dostawców powoduje, że ustalenie faktycznego nadawcy będzie
bardzo problematyczne. W przypadku spamerów jest to, niestety, bardzo częsty przypadek.
Sprawdz
my, co działo się z otrzymaną wiadomością po tym, jak opuściła sieć spamera.
W kroku 2 wiadomość trafiła do komputera o IP 193.164.156.40 i adresie domenowym
smtpa1.tf1.fr. Tym razem IP pasuje do adresu domenowego. Po dokładnym zbadaniu tego
adresu za pomocą zwykłego polecenia telnet na port 25 (SMTP) okazuje się, że jest to tzw.
open relay, nie weryfikujący hasłem wprowadzanego adresu nadawcy. Wiemy już, jakim
sposobem spam z USA przedstawia się jako wysłany z Francji. Spamer bez problemu mógł
podać dowolną nazwę użytkownika i wysłać w jego imieniu swoją wiadomość.
Analiza nagłówków wiadomości grup dyskusyjnych
Grupy dyskusyjne (Usenet) to, mimo zwiększającej się popularności wszelkiej maści forów
dyskusyjnych opartych o WWW, ciÄ…gle jedna z najpopularniejszych metod wymiany
poglądów w internecie. Mają strukturę hierarchiczną, podobnie jak domeny internetowe, i
rządzą się swoimi zasadami (netykietą) opisywanymi w tzw. FAQ. Szczegółowe opisywanie
reguł rządzących grupami dyskusyjnymi wykracza poza tematykę tego tekstu, dlatego
zainteresowanych odsyłam do innych publikacji.
Grupy dyskusyjne można podzielić na moderowane (kontrolowane przez operatora-
moderatora, do którego trafia każda wiadomość wysłana na grupę i który ją dopuszcza do
publikacji lub odrzuca) i niemoderowane (gdzie wiadomość wysłana na grupę pojawia się od
razu, bez żadnej kontroli). Jak widać, ten pierwszy przypadek gwarantuje "czystość
wypowiedzi", jednak ręczna kontrola sprawia, że wiadomości pojawiają się często z dużym
opóz
nieniem. Nas interesować będą te drugie, z racji tego, że to właśnie na nich dochodzi do
naruszania netykiety. Tak samo jak w przypadku poczty elektronicznej, problemem jest
wysyłanie wiadomości niezwiązanych z treściami poruszanymi na danej grupie (spam) oraz
wulgaryzmy i inne zachowania naruszajÄ…ce kulturÄ™ publicznej wypowiedzi.
Osoby łamiące zasady grup nazywane są trollami (a ich działalność trollingiem). Najprościej
takie wiadomości ignorować, używając do tego filtrów wiadomości. Możemy się jednak
pokusić o zlokalizowanie trolla i interwencję u jego dostawcy internetowego. W tym celu
przyjrzyjmy się bliżej nagłówkowi usenetowego postu. Aby wyświetlić wszystkie nagłówki,
postępujemy analogicznie jak w przypadku e-maila.
Trolling w Usenecie
Trolling to wysyłanie wrogich, obraz
liwych lub kontrowersyjnych wiadomości na jedno z
publicznych miejsc w internecie w celu wzniecenia kłótni. Nazwa trolling pochodzi od ang.
trolling for fish (metoda łowienia ryb), ponieważ troll "zarzuca haczyk" poruszając
kontrowersyjny temat, często niepotrzebnie, aby wywołać kłótnię. Poprzez wsteczną
etymologię uprawiających trolling nazwano trollami (od legendarno-baśniowych stworów z
mitologii nordyckich). Typowe cele ataków trolla to grupy i listy dyskusyjne, fora internetowe,
czaty itp. Trolling jest złamaniem jednej z podstawowych zasad netykiety.
Najskuteczniejszą obroną przed trollingiem jest całkowite zignorowanie wszelkich zaczepek
trolla, w momencie gdy się zorientujemy, że mamy z nim do czynienia. O ile istnieje taka
możliwość, administratorzy lub moderatorzy powinni blokować możliwość publikowania
wiadomości, które można uznać za trolling i odpowiadania na nie. Kasowanie wiadomości już
opublikowanych zwykle roznieca kłótnię, gdyż dostarcza zarzutu cenzurowania wypowiedzi
jako dodatkowego argumentu. W slangu internetowym często mówi się, że trolla nie należy
"karmić" - czyli że nie należy z nim w ogóle wchodzić w jakąkolwiek polemikę.
(z
ródło: Wikipedia)
Nagłówki wiadomości z grup dyskusyjnych mają składnię podobną do nagłówków e-mail.
Występują w nich dodatkowe pola specyficzne dla protokołu NNTP. W ramce Nagłówek
przykładowego posta z grup dyskusyjnych mamy rozebraną na czynniki pierwsze wiadomość
wysłaną na grupę pl.listerv.chomor-l (część danych została zastąpiona przez [...] w celu
ochrony prywatności autora).
Nagłówek przykładowego posta z grup dyskusyjnych
From: "xxx" xxx@[...]>
Newsgroups: pl.listserv.chomor-l
Subject: =?iso-8859-2?Q?=AFarcik _ :=29?=
Date: Wed, 2 Jan 2008 16:36:21 +0100
Organization: tp.internet - http://www.tpi.pl/
Message-ID: <[...]@nemesis.news.tpi.pl>
NNTP-Posting-Host: [...].internetdsl.tpnet.pl
X-Trace: nemesis.news.tpi.pl 1199288541 6567 83.3.249.98 (2 Jan 2008 15:42:21 GMT)
X-Complaints-To: usenet@tpi.pl
NNTP-Posting-Date: Wed, 2 Jan 2008 15:42:21 +0000 (UTC)
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Xref: news.onet.pl pl.listserv.chomor-l:250735
Jak widać, nagłówek zawiera większość poprzednio omówionych pól. Dodatkowo pojawia się
nagłówek NNTP-Posting-Host, który zawiera nazwę komputera, z którego została wysłana
wiadomość.
Ta wiadomość była jak najbardziej poprawna i zgodna z netykietą. Przyjrzyjmy się teraz
wiadomości wysłanej na tę samą grupę przez jednego z wyżej wspomnianych trolli:
Nagłówek przykładowego posta wysłanego przez trolla
From: =?ISO-8859-2?Q?=22! _ GINEK=D3LOK _ ! _ AMAT=D3R _ !=22?=
Newsgroups: pl.listserv.chomor-l
Subject: =?ISO-8859-2?Q?Spu=BCnione _ Novoroczne _ =BFyczenia _ !?=
Date: Thu, 03 Jan 2008 22:12:08 +0100
Organization: albasani.net
Message-ID:
X-Trace: news.albasani.net +yNbi0zRT6acE9p18LVQIKC6JMUTiQjOhwbHwh76l
+dH3sb9TIIRE7D7VmbN4KJu+jnlqaNz+BRkvCrq BpVQWcnc6
X-Complaints-To: abuse@albasani.net
NNTP-Posting-Date: Thu, 3 Jan 2008 21:12:07 +0000 (UTC)
X-User-ID: 3PFXuUV9MJF356xuzHfQmcXY+NnHFlV7l0Del4w5fJc=
Cancel-Lock: sha1:pB9iATN0ZgbW/Eq2MRupIrf5wFY=
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; PL; rv:1.8.1.2pre) Gecko/20070111
SeaMonkey/1.1
X-NNTP-Posting-Host: oIhNcqAAjBz0gb1RKpm3r67PM8itDM1TWk2wQWzTm4Q=
Xref: news.onet.pl pl.listserv.chomor-l:250738
Jak widać na podstawie wytłuszczonych nagłówków, troll próbuje ukrywać swoją tożsamość
przed resztą świata. Wartości są zaszyfrowane. Spróbujmy teraz dowiedzieć się trochę
więcej. Na początek mamy nazwę serwera NNTP, z którego została wysłana wiadomość.
Przyjrzyjmy mu się bliżej.
W tym momencie mamy bardzo niewielkie pole do manewru, ponieważ aby zdekodować
tożsamość użytkownika, musielibyśmy zdobyć i złamać szyfr lub zdobyć klucz szyfrujący
(regularnie zmieniany). Właściciele serwera deklarują, że udostępniają dane o użytkownikach
służbom porządkowym, ale do tego potrzebny jest nakaz sądowy.
Tego typu serwery są w świetle prawa legalne i nie pozostaje nic innego, jak tylko filtrować
wiadomości z nich pochodzące.
http://www.trochetechniki.pl/Zabawa-w-detektywa.-Jak-zidentyfikowac-kogos-w-
internecie-cz.-1,t,566.html