Gall Internet Anonim

Niekiedy jesteśmy zobligowani do zdobycia informacji o określonym użytkowniku Internetu. Informacje te mogą być różnego rodzaju - położenie geograficzne, dostawca usług internetowych, system operacyjny itp. Mając tylko adres IP, możemy spróbować bliżej poznać internetowego ''sąsiada''. Uzyskiwanie danych nie jest trudne. Czasem jednak jest to niemożliwe.


Niekiedy jesteśmy zobligowani do zdobycia informacji o określonym użytkowniku Internetu. Informacje te mogą być różnego rodzaju - położenie geograficzne, dostawca usług internetowych, system operacyjny itp. Mając tylko adres IP, możemy spróbować bliżej poznać internetowego ''sąsiada''. Uzyskiwanie danych nie jest trudne. Czasem jednak jest to niemożliwe.

Jak znaleźć adres IP kogoś, kto przysłał nam obraźliwy lub zawierający wirusa e-mail? W jaki sposób uzyskać adres IP naszego rozmówcy w Gadu-Gadu lub IRC?

Sherlock Holmes w tej sytuacji musiałby zamienić lupę na komputer oraz uzbroić się w cierpliwość.

Początek śledztwa - przesłuchanie

Gall Internet Anonim

Rys. 1. Weryfikacja stanu opcji Używaj połączeń bezpośrednich w programie Gadu-Gadu.

Gall Internet Anonim

Rys. 2. Połączenie z rozmówcą jest charakterystyczne, gdyż wykorzystuje port 1550. Jest on otwierany u nadawcy bądź u odbiorcy pliku.

Immanentną cechą każdego komputera podłączonego do Internetu jest niepowtarzalny adres IP. Dzięki temu w komunikacji między użytkownikami globalnej sieci komputerowej panuje ład i porządek. Unikatowość adresu IP komputera gwarantuje, że uzyskane informację mają charakter indywidualny, czyli dotyczą tylko wybranego komputera.

Adres IP z Gadu-Gadu

Uzyskanie adresu IP rozmówcy jest mało skomplikowane, zależy jednak od wielu czynników: rozmówca oraz my musimy mieć włączoną opcję Używaj połączeń bezpośrednich, musimy znajdować się na Liście kontaktów rozmówcy. Zdobycie adresu IP będzie niemożliwe, gdy rozmówca jest niedostępny (lub Niewidoczny) albo gdy połączenie jest blokowane przez serwer (bramkę) rozmówcy.

Kiedy wszystkie warunki są spełnione, przystępujemy do uzyskiwania adresu IP. W oknie, w którym prowadzona jest rozmowa, klikamy Menu, a następnie opcję Wyślij plik. Nie wyślemy żadnego pliku, jedynie symulujemy taki zamiar. Teraz należy sprawdzić aktualne połączenia internetowe. Skorzystamy z polecenia systemowego netstat.

Entuzjaści interfejsu graficznego mogą skorzystać z programu TCPView, który kojarzy każde połączenie internetowe z uruchomionym programem.

Gall Internet Anonim

Rys. 3. Po klinięciu Wyślij plik nawiązujemy bezpośrednie połączenie z naszym rozmówcą, jak pokazano na rysunku.

Gall Internet Anonim

Rys. 4. Po odznaczeniu opcji Resolve Addresses program będzie wyświetlał wszystkie wyniki w liczbach.

Adres naszego rozmówcy to cka108.neoplus.adsl.tpnet.pl. Posługując się nadal programem TCPView, uzyskamy adres IP. Należy kliknąć na pasku zadań Options, a następnie Resolve Addresses. Szukany adres IP znajduje się w kolumnie Remote Address.

Na rysunku 4 jest widoczne tylko jedno połączenie korzystające z portu 1550.

Kto woli tryb tekstowy, może skorzystać z polecenia systemowego, które odnajdzie adres IP przypisany do cka108.neoplus.adsl.tpnet.pl.

Wykonamy teraz polecenie nslookup cka108.neoplus.adsl.tpnet.pl.

W obu przypadkach wskazany jest ten sam adres IP, 83.31.76.108.

Program do pobrania:http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Adres IP z IRC

Uzyskanie adresu IP rozmówcy IRC jest bardzo proste, nie trzeba żadnych specjalnych operacji, jak w przypadku Gadu-Gadu. Do omówienia tego zagadnienia wykorzystamy powszechnie znany komunikator mIRC.

Chcąc sprawdzić adres rozmówcy, wystarczy zaznaczyć go na liście osób i kliknąć prawym przyciskiem myszy. Wybieramy opcję Info.

Gall Internet Anonim

Rys. 5. Wykonanie polecenia nslookup cka108.neoplus.adsl.tpnet.pl.

Gall Internet Anonim

Rys. 6. Adres wybranego rozmówcy znajduje się w polu Address.

Niestety, bardzo często uzyskany w ten sposób adres nie ma nic wspólnego z położeniem geograficznym rozmówcy. Dlaczego? Rozmówca do połączenia z serwerem IRC może wykorzystać zdalne konto (tzw. konto shell).

Adres IP z e-mailu

Pierwsza czynność to bliższe zapoznanie się z otrzymanym e-mailem. Interesować nas będą nagłówki (ang. headers). Są to jakby odciski palców dzięki, którym można spróbować określić:

  • adres IP nadawcy (ta informacja jest najistotniejsza i warunkuje dalsze "śledztwo"),
  • program pocztowy, którym się posłużono,
  • system operacyjny.
Jak odnaleźć nagłówki otrzymanego e-mailu? W tym celu należy zajrzeć do źródła listu.

W Outlook Expressie dostęp do źródła jest bardzo łatwy. Najpierw należy otworzyć e-mail, a następnie kliknąć Plik i właściwości. W nowo otwartym oknie należy wybrać kartę Szczegóły, a następnie kliknąć przycisk Źródło wiadomości. W ten sposób dotrzemy do szczegółowych informacji na temat otrzymanego e-mailu.

Jak widać na rysunku 8, list zawiera dużo informacji oprócz treści. Przystąpmy do analizy odcisków palców. W pierwszym wierszu znajduje się adres e-mail, na który nadawca chciałby otrzymać odpowiedź. Adres może być całkowicie zmyślony, więc nie będziemy przywiązywać do niego wagi. Z nagłówków możemy się również dowiedzieć, że nadawca posłużył się programem Outlook Express w wersji 6.0. Można przypuszczać, że korzysta z systemu Windows XP lub Windows 2000. Jednak to są tylko przypuszczenia, gdyż może to być np. Windows Me z wersją Outlook Expressu 5.5 uaktualnioną do wersji 6.0. Najbardziej interesuje nas adres IP nadawcy. Ku naszemu zadowoleniu, odnajdujemy go bez problemu. Jest to 212.186.148.70. Mając adres IP, możemy przystąpić do kolejnych działań śledczych.

Skąd jesteś?

Gall Internet Anonim

Rys. 7. Otwieranie okna Źródło wiadomości.

Gall Internet Anonim

Rys. 8. Okno Źródło wiadomości. Jeżeli dopisze nam szczęście, dowiemy się bardzo dużo o nadawcy.

Teraz prześledzimy drogę, którą pokonuje pakiet między nami a wybranym komputerem (adresem IP). Śledzenie drogi pakietu nosi nazwę trace route. Na podstawie uzyskanych informacji będziemy mogli określić położenie geograficzne badanego komputera.

Standardowym narzędziem do śledzenia pakietów jest w Windows tracert (w Linuksie traceroute). Wykonanie polecenia tracert [adres IP] lub tracert [adres-nazwa] pozwoli nam uzyskać listę routerów, które biorą udział w komunikacji między nami a badanym adresem IP. Wykonamy polecenie tracert 212.186.148.70 i przyjrzymy się otrzymanym wynikom.

Na podstawie otrzymanych wyników (rys. 9) możemy stwierdzić, że adres należy do polskiej części Internetu (domena .pl). Dzięki "czytelnym" nazwom routerów łatwo określimy region Polski - jest to Warszawa. Można zaryzykować stwierdzenie, że nadawca korzysta z usług Chello.

Jednak zostawmy na chwilę analizę tego adresu i rozważmy przykład, w którym adres brzmi warsaw.com. Określenie kraju na podstawie domeny .com jest niemożliwie. Chcąc określić położenie geograficzne tego adresu, możemy się posłużyć wspomnianym wcześniej poleceniem tracert.

Podczas analizy otrzymanych wyników można się trochę pogubić. Jest "Warsaw", czyli Warszawa, jest Frankfurt i jest "London", czyli Londyn. Czy nie ma narzędzi, które dają podobne wyniki, ale w bardziej przejrzysty sposób? Są. Narzędziem takim jest np. VisualRoute.

Program ten pokaże nam "palcem" drogę, którą pokonują pakiety między nami a danym internetowym adresem. Wykorzystajmy VisualRoute do poszukiwań warsaw.com.

Gall Internet Anonim

Rys. 9. Wykonanie polecenia tracert 212.186.148.70.

Gall Internet Anonim

Rys. 10. Wykonanie polecenia tracert warsaw.com.

Spoglądając na rysunek 11, jednoznacznie można stwierdzić, że droga między nami a warsaw.com kończy się w Anglii (niekoniecznie w Londynie). Program przy graficznej interpretacji uzyskanych wyników zaznacza tylko główne routery w poszczególnych krajach.

Program do pobrania:http://www.pcworld.pl/ftp/pc/programy/2577/VisualRoute.8.0b.html

Wróćmy do analizowanego wcześniej adresu 212.186.148.70. Wiarygodność informacji otrzymanych za pomocą tracert należy zweryfikować. W jaki sposób?

Kto to jest

Spróbujmy dowiedzieć się czegoś więcej, posługując się usługą whois. Dobrym narzędziem jest strona internetowa RIPE (Réseaux IP Européens). W wyszukiwarce, znajdującej się na stroniehttp://www.ripe.net/perl/whois , wpiszemy znany nam adres IP. W ten sposób zostaną sprawdzone europejskie zasoby whois w poszukiwaniu podanej informacji. Jak można zobaczyć na rysunku 12, poszukiwania zakończyły się pomyślnie.

Analizując wyniki (rys.12) możemy potwierdzić uzyskane wcześniej informacje oraz precyzyjnie określić, kto jest dostawcą nadawcy. Bez cienia wątpliwości pochodzi z Warszawy.

Gall Internet Anonim

Rys. 11. Użycie programu VisualRoute.

Gall Internet Anonim

Rys. 12. Wyniki poszukiwania 212.186.148.70 w zasobach whois.

Niestety, zwykle w tym momencie śledztwo dobiega końca. Uzyskanie danych personalnych udaje się niezwykle rzadko. Ostatnią czynnością, jaką możemy wykonać, jest wysłanie e-mailu do dostawcy usług internetowych nadawcy, informując go o zdarzeniu oraz przekazując mu wyniki naszego śledztwa. Adres e-mail, z którego należy skorzystać, jest zazwyczaj podany przez dostawcę. W naszym przypadku to [email protected]

Takie same "czynności śledcze" możemy przeprowadzić w stosunku do każdego znanego nam adresu IP. Możemy dowiedzieć się czegoś więcej o osobie, która włamała się do systemu lub o naszym rozmówcy z IRC czy Gadu-Gadu.

Nie anonimowy, nie bezkarny

Bardzo często internetową anonimowość utożsamia się z bezkarnością. Jako przestrogę przedstawię autentyczne śledztwo, które zakończyło się odnalezieniem konkretnej osoby. A dystans geograficzny około 400 km okazał się marnym powodem do poczucia bezkarności.

Bliżej nieokreślony łobuz na lekcji informatyki wysłał wulgarny i obraźliwy e-mail do pewnej warszawskiej firmy. Jego zadowolenie nie trwało dłużej niż piętnaście minut. Dlaczego?

Adresat postanowił odnaleźć nadawcę listu. Śledztwo przebiegło niezwykle sprawnie. Odnaleziony w nagłówkach adres jednoznacznie określał zespół szkół w pewnej miejscowości oraz numer komputera w pracowni informatycznej. W informacji telefonicznej adresat dowiedział się, że w owej miejscowości jest tylko jeden zespół szkół. Kolejną rozmowę przeprowadził z sekretariatem tego zespołu szkół. Okazało się, że są tylko dwie pracownie, a podany numer komputera pozwolił zidentyfikować winowajcę. Nietrudno sobie wyobrazić jego zdziwienie, gdy został ujawniony.