Jdi na obsah Jdi na menu
 

Vzkazník | Aktualitky (RSS) | Ke stažení | Návštěvnost | Výměna ikonek | Přidat článek |

Co vyčteme z e-mailu / ICQ

8. 11. 2009
Postupy uvedené v tomto článku umožní někdy získat více informací o někom či jeho počítači, než je obvyklé (a leckdy i dotyčnému milé). Nicméně nezaručuji, že tyto postupy budou fungovat vždy – většině z nich nebo všem lze zabránit vhodným nastavením počítače nebo firewallu. Software použitý jako příklad v těchto článcích je zpravidla součástí operačního systému (Windows NT), a nebo je volně dostupný na Internetu. Odmítám tedy nést jakoukoliv zodpovědnost za případné škody způsobené užitím zde uvedených postupů a nezaručuji jejich funkčnost a použitelnost. V textu jsou použita značná zjednodušení a zobecnění, za což se omlouvám všem, kdo do dané problematiky více vidí.



E-mailové zprávy
Z e-mailu je možno vyčíst podstatně více než jenom adresu odesílatele. Pojďme se společně podívat na jeden e-mail, který jsem nedávno dostal. Nejprve je nutno zobrazit hlavičku e-mailové zprávy. Hlavička je část, která se běžně nezobrazuje a obsahuje „systémové“ informace nutné pro doručení zprávy.


V programu Microsoft Outlook 98 ji zobrazíte tak, že otevřete došlou zprávu a klepnete v menu na View -> Options (Zobrazit -> Možnosti). V poli Internet headers uvidíte text ne nepodobný tomuto:

Return-Path: <rider@volny.cz>
Received: from smtp2.vol.cz ([195.250.128.42]) by pet.asp.cz
(Post.Office MTA v3.5.2 release 221 ID# 0-40517U100L2S100)
with ESMTP id cz for <altair@altair2000.net>;
Fri, 25 Feb 2000 12:14:46 +0100
Received: from ponygirl (brnob-216.vol.cz [212.20.109.216])
by smtp2.vol.cz (8.9.3/8.9.3) with SMTP id MAA69838
for <altair@altair2000.net>; Fri, 25 Feb 2000 12:08:10 +0100 (CET)
Message-ID: <000301bf7f80$71a2cf60$d86d14d4@rider>
From: "Rider"<rider@volny.cz>
To: "Altair" <altair@altair2000.net>
Subject: Testovaci zprava
Date: Fri, 25 Feb 2000 11:14:40 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-2"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 4.72.3110.5
X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3
Content-Transfer-Encoding: quoted-printable
X-MIME-Autoconverted: from 8bit to quoted-printable by smtp2.vol.cz id MAA69838

Pro nás, rádoby-hackery, je v něm důležitých hned několik řádek. V řádce X-Mailer je uveden program, který byl pro odeslání použit – v daném případě Microsoft Outlook Express. Podle maileru je možno odhadnout, jaký OS uživatel používá, zda Windows nebo třeba UNIX.

Ve většině případů můžeme zjistit, z jakého počítače byl e-mail odeslán a kudy Internetem putoval. To lze zjistit podle řádků Received. Každý počítač, přes který zpráva projde, přidá do hlavičky svoje vlastní „razítko“ v podobě jednoho řádku Received. Můžeme vysledovat, kudy zpráva šla. Řádky je třeba číst odspoda nahoru, poslední počítač je uveden jako první a první počítač je uveden jako poslední.

Jako poslední (tedy vlastně první) je zde tento záznam: Received: from ponygirl (brnob-216.vol.cz [212.20.109.216]) by smtp2.vol.cz. Z toho vyčteme, že mail byl původně odeslán z počítače s IP adresou 212.20.109.216 a DNS jménem brnob-216.vol.cz. Počítač sám sebe identifikoval jako ponygirl, takže tak ho jeho majitel pojmenoval ve Windows.

Později byla zpráva převzata strojem pet.asp.cz od smtp2.vol.cz (jak je možno vyčíst z dalšího řádku Received a zde její pouť končí, neboť to je můj mailserver, ze kterého jsem si ji stáhnul přes POP3.

Známe tedy IP adresu, ze které byl e-mail odeslán. Co s ní, to si povíme později.

Tento postup platí, když je zpráva odeslána z běžného e-mailového klienta. Ale co když uživatel použije některý z freemailových serverů? Použijeme stejný postup, tedy šmírování v hlavičce. Takhle vypadá jeden z mailů, jaké po světě posílá hotmail.com:

Return-Path: <xxxxxx_xxxxxxxx@hotmail.com>
Received: from hotmail.com ([216.33.241.91]) by pet.asp.cz
(Post.Office MTA v3.5.2 release 221 ID# 0-40517U100L2S100)
with SMTP id cz for <rider@bdsm.cz>;
Wed, 23 Feb 2000 18:19:45 +0100
Received: (qmail 23751 invoked by uid 0); 23 Feb 2000 17:13:27 -0000
Message-ID: <20000223171327.23750.qmail@hotmail.com>
Received: from 194.228.57.27 by www.hotmail.com with HTTP;
Wed, 23 Feb 2000 09:13:27 PST
X-Originating-IP: [194.228.57.27]
From: "Xxxxxx Xxxxxxxx" <xxxxxx_xxxxxxxx@hotmail.com>
To: rider@bdsm.cz
Subject: Xxxxxxxxxx xxxxxx xx
Date: Wed, 23 Feb 2000 17:13:27 GMT
Mime-Version: 1.0
Content-Type: text/plain; format=flowed

Hotmail píše do hlavičky Received i prvotní případ, kdy byla zpráva přijata od uživatele přes prohlížeč: Received: from 194.228.57.27 by www.hotmail.com with HTTP; Zpráva byla tedy odeslána z počítače s IP 194.228.57.27.

V případě, že freemailer neuvádí tuto hlavičku Received, je ještě dobré podívat se po hlavičce X-Originating-IP, která většinou uvádí IP adresu počítače, jenž odeslání zprávy způsobil (třeba v případě odeslání WWW formuláře a podobně).

Známe tedy dva parametry – e-mailovou adresu a IP adresu uživatele. E-mail můžeme využít hned několika způsoby. Můžeme například zadat hledání této adresy na Internetu – pokud zadáte e-mailovou adresu třeba do AltaVisty, vypadne na vás seznam stránek, kde se vyskytuje.

Další možností je použít služby Lidé (www.lide.cz) nebo Bigfoot (www.bigfoot.com), kde se uživatelé registrují jako do „telefonního seznamu Internetu“.



Další způsoby zjištění IP adresy
E-mail není jediný způsob, jak zjistit něčí IP adresu. Je dokonce jedním z těch méně vhodných. Nicméně dá se použít třeba ke zjištění, zda ta kráska, která se s vámi bohužel nemůže sejít, protože je momentálně v Austrálii, nesedí dejme tomu v Holešovicích.


Zneužíváme ICQ
Vděčným způsobem, jak zjistit něčí IP, je program ICQ. Stačí se jenom podívat do User‘s details – řada lidí tam svoji IP publikuje. A co když ne? Máte v zásadě dvě možnosti: Buď si seženete hacknutou verzi ICQ, která zobrazuje IP i u uživatelů, kteří to mají zakázáno, a nebo můžete využít funkcí operačního systému.
Pokud má tu možnost (a nestojí mu v cestě například firewall nebo proxy), ICQ posílá zprávy přímo na stroj příjemce. Windows obsahují příkaz, který vypíše aktivní TCP spojení: netstat.

Napište do příkazového řádku netstat –n a odešlete ENTER. Systém vypíše něco podobného jako následující text:

[administrator@gateway.altair2000.net] C:\>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 10.0.0.1:80 10.0.0.3:2611 ESTABLISHED
TCP 10.0.0.1:1083 10.0.0.2:445 ESTABLISHED
TCP 212.20.105.90:2043 195.98.10.24:80 CLOSE_WAIT
TCP 212.20.105.90:2097 147.32.110.2:80 CLOSE_WAIT
TCP 212.20.105.90:2106 193.85.233.106:80 CLOSE_WAIT
TCP 212.20.105.90:2107 193.85.233.106:80 CLOSE_WAIT
TCP 212.20.105.90:2110 194.228.3.17:80 ESTABLISHED
TCP 212.20.105.90:2113 194.108.145.136:80 CLOSE_WAIT
TCP 212.20.105.90:2124 194.228.3.17:110 TIME_WAIT
TCP 212.20.105.90:2127 212.65.220.69:80 ESTABLISHED
TCP 212.20.105.90:2129 194.149.103.101:80 CLOSE_WAIT

Toto jsou všechna aktivní TCP spojení z vašeho počítače. První sloupec obsahuje protokol (TCP nebo UDP), druhý vaši IP adresu (já mám v tomto výpisu dvě, jednu 10.0.0.1 pro privátní síť a druhou 212.20.105.90 pro Internet) a třetí IP adresu počítače, s nímž jste ve spojení. Číslo za dvojtečkou obsahuje port, na kterém je připojení realizováno.

Nyní odešlete zprávu uživateli, jehož IP chcete zjistit. V průběhu odesílání zprávy odešlete znovu příkaz netstat –n:

[administrator@gateway.altair2000.net] C:\>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 10.0.0.1:1083 10.0.0.2:445 ESTABLISHED
TCP 212.20.105.90:2043 195.98.10.24:80 CLOSE_WAIT
TCP 212.20.105.90:2097 147.32.110.2:80 CLOSE_WAIT
TCP 212.20.105.90:2106 193.85.233.106:80 CLOSE_WAIT
TCP 212.20.105.90:2107 193.85.233.106:80 CLOSE_WAIT
TCP 212.20.105.90:2110 194.228.3.17:80 ESTABLISHED
TCP 212.20.105.90:2113 194.108.145.136:80 CLOSE_WAIT
TCP 212.20.105.90:2127 212.65.220.69:80 ESTABLISHED
TCP 212.20.105.90:2129 194.149.103.101:80 CLOSE_WAIT
TCP 212.20.105.90:2130 212.65.194.96:8084 ESTABLISHED

Za tu chvilku se nám tabulka poněkud změnila. Nicméně pro nás je důležitý poslední řádek, který ukazuje, že můj počítač je v aktivním spojení se strojem 212.65.194.96 na port 8084. A právě to je IP adresa hledaného nešťastníka.

Varování: Tato metoda není stoprocentně spolehlivá, musíte mít jisté základní vědomosti o tom, co a jak běhá po TCP/IP a na jakých portech. Nezapomeňte si též ověřit, jestli zjištěná IP neodpovídá adrese některého z ICQ serverů – to se stane v případě, že komunikace z nějakého důvodu neprobíhá přímo.



WWW stránky
Pokud jste správci WWW serveru, můžete ho zneužít i ke špionážním účelům. Vystavte na svém serveru nějaký soubor a sledovaného uživatele nějakým způsobem donuťte, aby si ho stáhl. V logu svého serveru najdete jeho IP adresu.
Pokud máte možnost na serveru spouštět ASP, PHP, CGI nebo jakékoliv jiné aktivní skripty, není problém napsat jednoduchou aplikaci, která zjistí obsah všech serverových proměnných (obsahují mj. IP adresu klienta, použitý prohlížeč, případně informace o proxy serveru atd.) a pošle je e-mailem.

Jakým způsobem přinutíte oběť, aby si příslušnou stránku načetla, to nechávám na vaší fantazii. Na chatech typu Mageo je osvědčenou metodou poslat uživateli ve zprávě „obrázek“ o rozměru 1x1 pixel, který je umístěn na vašem serveru – pokud má zapnuté zobrazování obrázků, automaticky se stáhne.

Pokud nemáte vlastní WWW server, můžete si zřídit stránky na nějakém freewebu a využít služeb, jako je TopList – ty vám též sdělí IP adresu návštěvníka.



Co s IP adresou?
Postupy uvedenými výše nebo nějakým jiným trikem jsme zjistili IP adresu zamýšlené oběti. Nyní nastal čas zjistit o dané IP adrese co možná nejvíce informací.
Whois databáze Nejprve zjistíme, ke kterému providerovi příslušná IP patří. K tomu lze použít WHOIS. Pokud předpokládáme, že se daná IP adresa nachází v Evropě, musíme využít databázi RIPE. Případně lze použít samostatného WHOIS klienta. V obou případech bude položeným dotazem zjištěná IP adresa a whois serverem stroj whois.ripe.net.

Podívejme se, co nám RIPE databáze řekne o vlastníkovi IP adresy 212.65.194.96, kterou jsme zjistili v předchozím kroku:



[administrator@gateway.altair2000.net] C:\>whois -h whois.ripe.net 212.65.194.96

% Rights restricted by copyright. See http://www.ripe.net/ripencc/pub-services/d
b/copyright.html

inetnum: 212.65.192.0 - 212.65.206.255
netname: CONTACTELNET
descr: Contactel s.r.o.
descr: Vaclavske nam. 66
descr: 110 00 Praha 1
country: CZ
admin-c: ZL96-RIPE
tech-c: ZL96-RIPE
status: ASSIGNED PA
notify: zlinhart@atlas.cz
changed: hostmaster@ripe.net 19990601
source: RIPE

route: 212.65.192.0/19
descr: Contactel
origin: AS12461
mnt-by: AS12461-MNT
changed: zbynek.linhart@contactel.cz 19990630
source: RIPE

person: Zbynek Linhart
address: Contactel
address: Vinohradska 174
address: Prague 3
address: Czech Republic
phone: +420 2 330 11 602
fax-no: +420 2 330 11 600
e-mail: zbynek.linhart@contactel.cz
nic-hdl: ZL96-RIPE
changed: zbynek.linhart@contactel.cz 19990629
source: RIPE

Zjistili jsme, že sledovaný uživatel je připojen přes ISP Contactel, což se může hodit.

Pokud máme podezření, že sledovaný uživatel se nenachází v Evropě (tj. RIPE vypíše No entries found for the selected source(s).), můžeme vyzkoušet pro Severní Ameriku WHOIS-server whois.arin.net nebo pro Asii a Pacifik whois.apnic.net.



Traceroute a DNS
Prostřednictvím WHOIS zjistíme zpravidla jenom providera, nikoliv fyzické místo, kde je uživatel připojen. To lze většinou zjistit prostřednictvím DNS nebo traceroute, protože většina providerů dává počítačům dialupových klientů příhodná jména jako například prahad-30.vol.cz. Že se volaný přístupový bod nachází v Praze, je celkem zjevné.
Příkaz traceroute (tracert.exe) umožní sledovat cestu, kterou tečou data z vašeho počítače na nějaký jiný – vypíše všechny routery, firewally a podobně. Podle názvů počítačů lze zjistit, kde se nachází cílový počítač. Výstup programu Traceroute může vypadat například takto:

[administrator@gateway.altair2000.net] C:\>tracert 194.228.150.62

Tracing route to as3-62.praha.iol.cz [194.228.150.62]
over a maximum of 30 hops:

1 120 ms 110 ms 131 ms prahad.vol.cz [195.250.155.56]
2 431 ms 791 ms 530 ms praha-fast-1-0-1.vol.cz [195.250.155.1]
3 120 ms 191 ms 110 ms 194.50.100.161
4 110 ms 150 ms 111 ms 194.228.255.254
5 321 ms 791 ms 711 ms 194.228.176.3
6 290 ms 320 ms 321 ms as3-62.praha.iol.cz [194.228.150.62]

Trace complete.

Data z mého počítače tečou na 194.228.150.62 přes šest počítačů, jejichž adresy jsou vidět v předchozím výpisu. Cílový počítač se jmenuje as3-62.praha.iol.cz, z čehož snadno zjistíme, že oběť je připojena přes Internet OnLine na přístupový bod v Praze.

V řadě případů lze podle IP adresy zjistit i více informací – například telefonní číslo, na které dotyčný uživatel volá. Nicméně tyto údaje se celkem často mění a navíc jsou provideři na jejich zveřejňování dosti citliví, protože nemají rádi, když někdo veřejně rozkrývá strukturu jejich sítě.



Přímé spojení
Všechny dosud použité postupy jsou relativně neškodné a nezjistitelné – pouze se ptáme různých zdrojů, co vědí o té které IP adrese, aniž bychom se na počítač oběti přímo napojili. Ta tak nemůže zjistit, že se o ni zajímáme.
Následující postupy už počítají s přímým kontaktem s počítačem oběti. Jsou už méně čisté, takže pokud má oběť nainstalován nějaký hlídací software, tento software může reagovat poněkud paranoidně. Pokud se rozhodnete jít dál, činíte tak na vlastní nebezpečí.



Ověřte si, zda je on-line
První, co musíte udělat, je ověřit, zda daný počítač je připojen. To lze učinit pomocí příkazu PING:

[administrator@gateway.altair2000.net] C:\>ping 212.20.105.90

Pinging 212.20.105.90 with 32 bytes of data:

Reply from 212.20.105.90: bytes=32 time<10ms TTL=128
Reply from 212.20.105.90: bytes=32 time<10ms TTL=128
Reply from 212.20.105.90: bytes=32 time<10ms TTL=128
Reply from 212.20.105.90: bytes=32 time<10ms TTL=128

Ping statistics for 212.20.105.90:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Pokud se vám ukáže něco podobného jako v následujícím případě (Reply from …), pak počítač odpovídá na požadavky a je tedy připojen. V případě, že na požadavky neodpovídá (vypíše se timeout nebo unreachable), pak patrně není připojen, nebo je připojen přes nějaký paranoidní firewall či cosi v tom duchu.

Varování: Jestliže sledujete někoho na dial-upu, může se stát, že na dané IP adrese je už přihlášen někdo jiný! Pokud sledujete někoho, kdo nemá pevnou linku, musíte tak činit ihned po zjištění IP adresy!



Port scan
Na jeden počítač může být současně kladeno mnoho požadavků na různé jeho služby. Každá služba (jako například WWW, FTP…) pracuje na tzv. portu. Portů je celkem 65535. Některá čísla portů jsou rezervována pro určité služby. Pár základních uvádím v následující tabulce, seznam dalších můžete najít například v souboru %SystemRoot%\drivers\etc\services.
Port Služba
7 Echo
13 Daytime
17 QOTD (quote of the day)
19 Character generator
21 FTP
23 Telnet
25 SMTP (odesílání pošty)
43 WHOIS
53 DNS
79 Finger
80 WWW (HTTP)
110 POP3 (výběr pošty)
119 NNTP (news)
443 WWW (HTTPS)
1433 MS SQL Server (data)
1434 MS SQL Server (monitor)


Existují programy (říká se jim různě, například port sniffer), které projdou na daném počítači zadaný počet portů a zjišťují, na kterých portech jim počítač odpoví, tj. jaké služby tam běží.

Já ke snifování portů používám program HakTek pro Windows. Jeho výstup vypadá zhruba následovně:



Scanning host 212.20.105.90, ports 0 to 2000

Port 21 found. Desc='ftp'
Port 25 found. Desc='smtp'
Port 79 found. Desc='finger'
Port 80 found. Desc='www'
Port 110 found. Desc='pop3'
Port 135 found.
Port 1433 found.

Done!

Je vidět, že na cílovém počítači jede spousta služeb, mezi jinými i HTTP. Takže se můžete zkusit připojit přes WWW browser a FTP klienta.

Další triky: V případě, že je mezi vámi čistá linka, můžete se pokusit připojit pomocí Windows sdílení. Pokud má uživatel zapnuté sdílení přes TCP/IP a Windows 9x, dostanete se mu na harddisk – o tomto problému už Živě psalo.
Pokud najdete na počítači živý SQL server (port 1433), můžete se zkusit připojit jako uživatel ‚sa‘ s prázdným heslem. SQLko nechává účet administrátora nezaheslovaný.
 
 
 

© Panickov.tk 2006 - 2012 | Běží na systému eStránky.cz | Tisk | Nahoru ↑