Sledenje IP naslova

Kot v zborniku Cybercrime: Security and Surveillance in the Information Age (izdanem leta 2000) navajata Douglas Thomas in Brian D. Loader, pri kiberkriminalu ne gre zgolj samo za uporabo informacijsko-komunikacijske tehnologije v kriminalne namene, pač pa je bistveni element kiberkriminala v tem, da ta kriminal ne bi bil mogoč brez uporabe tehnologije, vsaj ne v takem obsegu. Reitinger pa v istem zborniku v prispevku “Encryption, anonymity and markets” (str. 132-152) navaja še tri pomembne značilnosti kiberkriminala: lahko je izveden na daljavo, identiteto osebe, ki kaznivo dejanje izvede je mogoče razmeroma enostavno zakriti ali ponarediti, sledenje izvornemu komunikacijskemu sredstvu, preko katerega se je nekdo povezal v kiberprostor pa ni vedno mogoče.

Slednje – sledenje izvornemu komunikacjskemu sredstvu – pa ni težavno samo v primeru sledenja storilca, pač pa tudi v primeru sledenja lokacije strežnikov z nezakonitimi vsebinami. In to ne samo v primeru, ko so strežniki z nezakonitimi vsebinami skriti za različnimi posredniškimi strežniki (tim. proxy) ali za celim omrežjem posredniških strežnikov (tim. fast flux omrežje), pač pa celo v primerih, ko je nezakonita vsebina locirana na znanem IP naslovu.

V nadaljevanju si bomo ogledali konkreten primer analize IP naslova strežnika, na katerem se je pred časom nahajala otroška pornografija. Spletni strežnik z nezakonito vsebino je bil prijavljen prijavni točki Spletno oko, ki je prijavo posredovala slovenski policiji.

Analiza domene

Preiskava se torej začne s spletnim naslovom, ki vsebuje podatke o domeni in domenski končnici. Najbolj znane domenske končnice so .com (gre za tim poslovne oz. komercialne domene), .net (v osnovi naj bi bile to domene različnih omrežij), .org (v osnovi naj bi bila to domena neprofitnih organizacij), .info, .biz, .tv, itd. Svoje domenske končnice imajo tudi posamezne države (npr. .si za Slovenijo, .de za Nemčijo, .it za Italijo, itd.).

Za zgled si za začetek oglejmo nekaj spletnih naslovov: http://www.ubuntu.com, http://www.ubuntu.si in http://www.indiaevm.org. Domenske končnice so v vseh treh primerih različne – prva .com nakazuje, da gre za strežnik podjetja ali druge komercialne organizacije, končnica .si nakazuje, da gre za strežnik slovenske pravne ali fizične osebe, končnica .org pa da gre za strežnik neprofitne organizacije.

Vendar pa stvari niso tako preproste. Domene .com, .org in še številne druge lahko registrira kdorkoli. Podobno velja tudi za domene posameznih držav. Nekatere, npr. Slovenija, imajo glede registracije razmeroma natančna pravila. Druge omogočajo prodajo domene komurkoli. Vse domene morajo biti vpisane v poseben register, tim. WHOIS imenik. V WHOIS imeniku so zapisani podatki o registrarju (podjetju oziroma organizaciji, preko katere domeno registriramo in ki skrbi za pravilnost in ažurnost vpisov v WHOIS registru) ter lastniku domene. Poleg administrativnega kontakta mora biti v WHOIS imeniku naveden še tim. tehnični kontakt, torej kontakt osebe, ki skrbi za reševanje tehničnih težav povezanih z domeno – zlasti je pomemben veljaven elektronski naslov te osebe.

Vendar pa nekateri registrarji (pravzaprav večina komercialnih registrarjev) identitete lastnikov domen ne preverjajo. Praviloma sicer velja, da so podatki v evropskih registrih bolj točni, saj je v evropskih državah zasebnost registranta praviloma zaščitena z zakonodajo in zato po skrivanju ni take potrebe kot pri komercialnih domenah. Poleg tega splošni pogoji registrarjev določajo, da lastnik domene ne sme dajati zavajajočih podatkov, tega pa se v kupci evropskih domen praviloma bolj držijo kot kupci ostalih domen. Pri prodaji komercialnih domen pa za nakup jim večinoma zadostuje zgolj plačilo s kreditno kartico (ki je lahko tudi ukradena). Nekateri pa podatke o pravem lastniku domene prikrijejo; v tem primeru jih je mogoče izvedeti preko registrarja, niso pa javno dostopni. Dejstvo namreč je, da je WHOIS imenik javno dostopen – tako pošiljateljem nezaželene elektronske pošte in spletnim goljufom, kot tudi državnim organom totalitarnih režimov. Zato nekateri registrarji s prikrivanjem identitete lastnikov domen skušajo le-te zaščititi pred tem,da postanejo žrtev goljufije, viktimizacije ali političnega preganjanja.

Če kljub temu želimo preveriti lastnika domene, to lahko storimo z orodjem whois, ki je del paketa omrežnih orodij vsake distribucije Linux operacijskega sistema. Gre za orodje, ki se poveže v WHOIS imenik iz katerega pridobi podatke o lastniku domene (obstaja dve različici orodja, eno lahko poganjamo iz ukazne vrstice, eno pa upravljamo preko grafičnega vmesnika). Mimogrede, vpogled v WHOIS imenik ne razkrije preteklih lastnikov domene. Za zgled si najprej oglejmo lastnika domene ubuntu.com:

Registrant:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -

Domain Name: ubuntu.com

Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -
 Technical Contact, Zone Contact:
 James Troup
 Canonical, Ltd.
 One Circular Road
 Douglas Isle of Man IM1 1AF
 GB
 hostmaster@canonical.com +44.1624643643 Fax: -

Created on..............: 2004-05-29.
Expires on..............: 2014-05-29.
Record last updated on..: 2010-04-16.

Domain servers in listed order:

ns2.canonical.com
ns3.canonical.com
ns1.canonical.com

Iz izpisa je razvidno, da je lastnik domene James Troup iz podjetja Canonical (ista oseba je tudi tim. administrativni in tehnični kontakt), naveden pa je tudi naslov podjetja in telefonski in e-poštni kontakt. V WHOIS imeniku je sicer še nekaj drugih, bolj tehničnih podatkov, npr. kdaj je bila domena registrirana in kdaj poteče, katere domenske strežnike uporablja (včasih nam ti podatki lahko služijo za namig katere organizacije so povezane z lastnikom domene), kdaj so bili podatki o domeni posodobljeni, itd. Podobno lahko ugotovimo za domeno ubuntu.si. Izpis je nekoliko drugačen, vidimo pa lahko, da je bila domena registrirana pri podjetju (registrarju) Gigaspark, lastnik domene pa je podjetje Vigred s.p. iz Mežice (opomba: telefonsko številko lastnika domene smo pred objavo članka izbrisali).

organization:		Vigred s.p.
 nic-hdl:		G97656
 email:			blaz@vigred.com
 phone:			+386.41******
 fax-no:		+386.41******
 address:		Celovska 17
 address:		2392 Mezica
 address:		SI
 source:		ARNES

Tretji primer pa je že nekoliko drugačen. Domena indiaevm.org je namreč registrirana pri registrarju DreamHost oz. New Dream Network, ki skrbi za zasebnost svojih strank. Zato v WHOIS imeniku niso navedeni kontaktni podatki pravega lastnika domene, pač pa piše zgolj, da je lastnik domene “A Happy DreamHost Customer“. Prav tako so navedeni telefonski kontakti registrarja domene (torej podjetja, ki domene zgolj “prodaja”), pravega lastnika domene pa je mogoče kontaktirati preko elektronske pošte indiaevm.org@proxy.dreamhost.com, kjer pa spet vidimo, da ne gre za “pravi” oz. neposreden elektronski naslov, pač pa za elektronski naslov, ki se preko registrarja DreamHost posreduje na pravi e-naslov lastnika domene.

Admin ID:ndn-1051570
 Admin Name:indiaevm.org Private Registrant
 Admin Organization:A Happy DreamHost Customer
 Admin Street1:417 Associated Rd #324
 Admin Street2:
 Admin Street3:
 Admin City:Brea
 Admin State/Province:CA
 Admin Postal Code:92821
 Admin Country:US
 Admin Phone:+1.2139471032
 Admin Phone Ext.:
 Admin FAX:
 Admin FAX Ext.:
 Admin Email:indiaevm.org@proxy.dreamhost.com

Če se torej vrnemo k našemu primeru strežnika z nezakonito vsebino (konkretnega URL naslova strežnika ne bomo navajali) – strežnik je bil registriran na domenski končnici .cc, ki je v upravljanju Kokosovih otokov (gre za tim. zunanji teritorij Avstralije). Vendar pa podatki iz WHOIS imenika kažejo, da je lastnik domene nekdo iz Južne Koreje. V tem primeru torej iz samega WHOIS imenika ne pridobimo kaj dosti uporabnih podatkov kje točno naj bi se lastnik domene in strežnika oziroma sam strežnik v resnici nahajal (kar je seveda pričakovano). Treba se je torej lotiti naslednjega koraka – ugotavljanja IP naslova.

Ugotavljanje IP naslova

Imena strežnikov se v IP naslove pretvarjajo s pomočjo DNS sistema. Gre za nekakšen “telefonski imenik” internetnih strežnikov v katerem se imena domen pretvarjajo v IP naslove, podobno kot se v mobilnih telefonih imena oseb iz internega imenika povezujejo s telefonskimi številkami teh oseb. Pomembno je razumeti razliko med domeno in strežnikom oz. domeno in poddomeno. Poddomena je namreč tisti del internetnega naslova, ki se nahaja pred domeno – v primeru www.ubuntu.com je to www. V primeru wiki.ubuntu.com je to wiki. Domena oz. poddomene se lahko nahajajo na enem ali več strežnikih oziroma enem ali več IP naslovih. Prav tako se na enem IP naslovu lahko nahaja več spletnih strežnikov oz. več domen. Mogoča pa je tudi situacija, da je domena zgolj registrirana (vpisana v WHOIS imenik), ni pa “povezana” z IP naslovom. Seveda pa v takem primeru domena ni aktivna (npr. spletna stran domene ne obstaja).

IP naslov posameznega internetnega strežnika sicer naš računalnik samodejno pridobi vsakič, ko npr. s spletnim brskalnikom obiščemo spletno stran na tem strežniku, IP naslov pa “ročno” lahko pridobimo tudi z ukazom ping, ki je prav tako del paketa omrežnih orodij operacijskega sistema. Mimogrede, IP spletnega strežnika si lahko ogledamo tudi z dodatkom za brskalnik Firefox, ShowIP.

Primer grafičnega izpisa upaza ping za strežnik www.ubuntu.si izgleda takole:

Enake informacije dobimo z zagonom ukaza ping iz ukazne vrstice, tokrat za strežnik www.ubuntu.com:

ping www.ubuntu.com
 PING www.ubuntu.com (91.189.89.88) 56(84) bytes of data.
 64 bytes from privet.canonical.com (91.189.89.88): icmp_seq=1 ttl=48 time=49.5 ms

Iz izpisa je razvidno, da se spletni strežnik www.ubuntu.com nahaja na IP naslovu 91.189.89.88. Kot smo že omenili, se različne poddomene lahko nahajajo na različnih IP naslovih. Tako je npr. IP naslov spletnega mesta wiki.ubuntu.com enak 91.189.90.19.

Nekateri posebni primeri

Kot smo omenili, se neka poddomena lahko nahaja na več IP naslovih, primer za to je že omenjeno fast flux omrežje. V tem primeru bo večkratno zaporedno ugotavljanje IP naslova ciljnega strežnika vsakič vrnilo drug IP naslov, saj bo vsak nov zahtevek za npr. ogled spletne strani, ki ga pošlje naš spletni brskalnik, poslan na drugo točko fast flux omrežja. Ni pa to nujno. Upravitelj fast flux omrežja namreč lahko zamenjavo IP naslova izvede v določenih časovnih intervali in/ali ga pogojuje z geografsko lokacijo iz katere je prišel zahtevek za dostop do npr. spletne strani. Tako bodo npr. uporabniki iz Evrope preusmerjeni samo na določene IP naslove v fast flux omrežju, uporabniki iz ZDA pa na druge. V tem primeru je iskanje vseh IP naslovov fast flux omrežja precej bolj zahtevno, pomagamo si lahko z različnimi posredniškimi strežniki, VPN storitvijo ali omrežjem Tor.

Mogoča pa je tudi situacija, ko se pravi strežnik z npr. nezakonitimi vsebinami v resnici ne nahaja na ugotovljenem IP naslovu, pač pa se tam nahaja samo posredniški strežnik, ki spletne zahtevke za npr. ogled spletne strani posreduje dalje. V tem primeru pravega IP naslova ciljnega strežnika seveda ne moremo odkriti z internetnimi orodji, pač pa je treba zaseči in analizirati posredniški strežnik. (Sicer obstajajo določene statistične tehnike za ugotavljanje omrežja v katerem se IP naslov ciljnega strežnika v resnici nahaja, vendar je njihova uporaba zelo zahtevna in nezanesljiva.)

Ugotavljanje lokacije strežnika v Tor omrežju (tim. hidden service) je izedno težko, vendar ne povsem nemogoče. Skrite strežnike poznamo po (psevdo)domenski končnici .onion, treba pa je podariti so pa izredno redki in brez posebne programske opreme (tim. odjemalca za omrežje Tor) uporabnikom nedostopni.

Ugotavljanje fizične lokacije IP naslova

Pri ugotavljanju fizične lokacije IP naslova si lahko pomagamo z dvema storitvama. Prva storitev omogoča vpogled v geolokacijsko bazo IP naslovov. GeoIP baza je dostopna preko različnih spletnih vmesnikov, v operacijskem sistemu Ubuntu Linux pa si lahko namestimo zbirko orodij za iskanje po GeoIP bazi z imenom geoip-database. (Za iskanje po bazi IP naslovov omrežja Tor pa je na voljo programski paket tor-geoipdb.)

Gre za bazo (pravzaprav je takih baz več; nekatere so tudi komercialne) IP naslovov za katere so znane geografske lokacije – države, regije in celo kraji, kjer se nahaja določen IP naslov. Težava je seveda v tem, da podatki v geolokacijskih bazah niso vedno ažurni in točni. GeoIP baza podjetja MaxMind (ki jo uporabljajo tudi omenjena geoip-database orodja) je trenutno 99,8% točna na nivoju države, na nivoju regij in mest pa je ta točnost precej nižja. Podatki za IP naslov strežnika www.ubuntu.com tako kažejo, da se strežnik nahaja v Veliki Britaniji in sicer v regiji South Lanarkshire.

Druga, veliko bolj zanesljiva možnost lociranja (vendar največ na ravni države) pa je ugotavljanje v katerem omrežju se dani IP naslov nahaja. To lahko storimo z vpogledom v tim. ASN številke, ki se uporabljajo pri usmerjanju prometa z BGP protokolom (ang. Border Gateway Protocol). Gre za identifikatorje lastnikov omrežij (ponudnikov dostopa do interneta ali drugih večjih organizacij, ki se povezujejo v internet), s pomočjo katerih lahko ugotovimo kateremu omrežju oziroma kateri organizaciji pripada določeni IP naslov. Seveda tudi za podatke o ASN številkah velja, da so neko vodilo, ki z neko verjetnostjo (ne pa popolno gotovostjo) ustreza dejanskemu stanju. CERT organizacije (organizacije za ukrepanje ob omrežnih incidentih) te podatke praviloma vedno preverijo in skušajo ugotoviti ali nek blok IP naslovov, ki je recimo registriran za ponudnika v neki državi dejansko uporabljajo v tej državi ali pa so jih morda dodelili svoji podružnici nekje drugje na svetu. Pri ugotavljanju ASN številk lahko uporabimo storitev IP to ASN lookup organizacije Team Cymru.

Če v obrazec vnesemo IP naslov 91.189.89.88 in označimo, da želimo dobiti kodo države (cc – country code), dobimo podatek, da se dani IP naslov nahaja v Veliki Britaniji. Spletni strežnik www.ubuntu.si se nahaja v Sloveniji, www.indiaevm.com pa na Nizozemskem.

[Querying v4.whois.cymru.com]
 [v4.whois.cymru.com]
 AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
 41231   | 91.189.89.88     | 91.189.88.0/21      | GB | ripencc  | 2007-01-25 | CANONICAL-AS Canonical Ltd AS Number

Pri “običajnih” domenah in strežnikih se podatki iz obeh baz praviloma ujemajo. Povsem drugače pa je, ko naletimo na strežnike z nelegalno vsebino.

Analiza posebnega primera

Za v začetku omenjeni strežnik z nelegalno vsebino poizvedba pokaže, da se nahaja na IP naslovu 77.67.81.xxx (zadnji del IP naslova je namenoma zakrit). Pogled v GeoIP bazo pokaže, da se strežnik nahaja v ZDA, pogled v storitev IP to ASN lookup pa pokaže, da se strežnik nahaja v Evropski uniji. Podatka se seveda precej razlikujeta, zato se omenjeni IP naslov splača nekoliko podrobneje preučiti.

Storitev IP to ASN Lookup kaže, da se omenjeni IP nahaja v hrbteničnem omrežju ponudnika Tinet (kot “AS name” je navedeno TINET-BACKBONE Tinet SpA), ki poseduje IP naslove od 77.67.0.1 do 77.67.127.254. Gre za veliko mednarodno organizacijo, ki združuje številne ponudnike dostopa do interneta. Vendar pa vpogled v WHOIS imenik z orodjem whois za dotični IP naslov kaže, da se le-ta nahaja v omrežju Serverel Corporation iz ZDA (ki poseduje IP naslove od 77.67.80.0 do 77.67.81.255). Enako pokaže tudi vpogled v tim. reverzni DNS. Pri tem je zanimiv tudi podatek, da ima Tinet v WHOIS imeniku zabeleženi dve različni državi lastnika in administratorja omrežja:

owner-country: IT
admin-country: DE

Nekaj iskanja po internetu pokaže, da je podjetje Tinet SpA nastalo z združitvijo italijanskega Tiscali Intl Network in nemškega Nacamar Data Communications. Kot kaže, del svojih IP naslovov prodajajo tudi ameriškemu podjetju Serverel Corporation, ki pa ima podružnico tudi v Evropi. Natančneje, v Pragi, na Češkem. Najverjetneje je podjetje Serverel svoj “evropski” blok IP naslovov kupilo od nemškega podjetja Nacamar Data Communications (Nemčija in Češka sta sosedi), z združitvijo pa je nato ta bazen IP naslovov “pripadel” podjetju Tinet.

S tem je lokacija strežnika z nelegalno vsebino najverjetneje razkrita, oziroma je postalo jasno, da je potrebno preiskavo usmeriti na Češko. Seveda je na omenjeni lokaciji mogočih več scenarijev – na ugotovljenem IP naslovu se lahko nahaja posredniški spletni strežnik, na strežnik je morda nekdo vdrl in podtaknil nelegalne vsebine ali kaj tretjega. Morda pa preiskava s pomočjo plačila za najem strežnika odkrije pravega lastnika nelegalnih vsebin.

In še za konec: nekaj tednov po tem, ko je prijavo začela obravnavati slovenska policija je bila sporna domena preusmerjena na nek drug IP naslov – tokrat v Južni Koreji v omrežju Hanaro Telecoma.