Muszáj definiálni?

Küldetésnyilatkozat
Biztonságpolitika és szerkesztési elvek
ZHB levelezőlista
PERELJ BE minket - de előtte ezt olvasd el
  • Zaftosabbnál zaftosabb visszaélések leírását várjuk a zughekker(kukac)gmail.com címre!

    UTOLSÓ OKOSSÁGOK

    letöltenivaló

    Fejlesztőknek
    mind ingyenes, teljes verzió


    Eclipse 3.3.2 – a legfrissebb Eclipse SDK C++/C-re élesítve (63 MB)


    PHP for Eclipse SDK - a név magáért beszél: letöltöd, kibontod, bemásolod és megy (9 MB)


    Xinox Java Creator (2 MB) kicsi, gyors, de erős (2 MB)


    SciTe v. 1.76 (0,8 MB) – körülbelül 30 nyelv forráskódjának írásánál ad segítséget. Mert szép színes


    Mitől döglik a kém?


    mind ingyenes, teljes verzió Tudjuk, hogy mindenkinek "a sajátja" a legjobb víruskeresője, a legbiztonságosabb tűzfala, de azért mi ezeket ajánljuk Windows-ra az ingyenesek közül


     Spybot Search and Destroy


     Spyware Terminator

    Bemérés MSN-en keresztül

    2008.04.01. 14:19 | ZHB főszerk | 7 komment

    Címkék: msn magánszféra haladó felhasználói biztonság bemérés

    Társkeresős ismerőssel MSN-eztél? Felmerült benned a gyanú, hogy a másik vadakat hazudik a hollétével kapcsolatban MSN-en? Feltörték egy ismerősöd MSN-fiókját és más garázdálkodik a világ egyik legelterjedtebb instant üzenetküldő rendszerében az ismerősöd nevében? Mindegy, hogy melyik esetről van szó, jól jöhet, ha megnézed, hogy az MSN-partner helyileg honnan MSN-ezik! 



    Először is nézzétek el, hogy a címben a bemérés kifejezést használtam valami találóbb helyett. A "bemérés" kifejezés valójában egy sajtóban szajkózott, jól hangzó hülyeség, hiszen egy e-mail, telefonbeszélgetés, GSM-hívás vagy éppen MSN-beszélgetés kétes kilétű résztvevőjének azonosításához semmi köze sincs semmiféle méréshez. Szóval a beméréssel dobálózzon a Görényi. Meg a Szilvásy. Meg a Viktor vagy Fletó. Én meg belpolitika helyett a lényegre is térek.

    Amilyen sokan használják a Microsoft ál-ingyenes instant üzenetküldő programját és egyáltalán a .NET Passport rendszert, legalább annyira kevesen tudják, hogy milyen logika szerint is működik valójában. Nem ritka tévhit például, hogy az MSN-re csak hotmail.com-os vagy msn.com-os címmel lehet regisztrálni, ahogyan az sem, hogy az MSN-fiókhoz tartozó e-mail cím megváltoztatásával új identitást kap a felhasználó. Na ez az, ami momentán minket nem érdekel, ezekről a témákról talán majd később.

    Először dióhéjban leírást próbálok adni az MSN Messenger működéséről. Ugyan elvileg lehetséges számos más kliensprogram használata is, az MSN-felhasználók közel 100%-a a Microsoft által terített MSN Messenger vagy MSN Live! kliensek valamelyik verzióját használják, sejthető, hogy szinte mind windows-os rendszerrel, ezért most ennek a példáján keresztül mutatom be a módszert. Amikor elindítod az MSN Messenger alkalmazást, majd megkezded a néhány másodperces belépést, a Te géped és az MSN szervere közt megtörténnek az általános azonosítási-hitelesítési mechanizmusok, egyáltalán a kapcsolat felépítése, majd ha ez megtörtént, a szerver elküldi az alkalmazás által bekért adatokat, úgy mint a címjegyzéked, legutóbb használt nicknevedet, belső azonosítódat és még néhány további adatot.

    Fontos tudni, hogy amikor valakivel beszélgetést kezdeményezel, a kapcsolat az interneten keresztül nem közvetlenül a Te géped és a beszélgetőpartner gépe közt közvetlenül megy végbe, hanem az MSN szerverének közbeiktatásával. A szervernek viszont nyilván számon kell tartania a Te IP-címed és a beszélgetőtársad IP-címét is, hisz közvetít. Mivel behatóan sosem foglalkoztam azzal, hogy mi történik a kulisszák mögött MSN-ezés közben, ezért számomra totál tisztázatlan, hogy miért, de vannak olyan esetek, amikor az MSN-ezés közben közvetlen kapcsolat épül fel két gép közt és ez a lényeg! (Amennyiben kimerítően részletes ismeretekhez szeretnél jutni a Messenger működésével kapcsolatban, látogass el a http://www.amsn-project.net/ webhelyre, ahonnan letölthető egy teljes értékű, nyílt forráskódú MSN-kliensprogram. )

    Ha közvetlen kapcsolat épült fel két számítógép közt a neten, az értelemszerű, hogy az mindkét oldalon láthatóvá is tehető. A különböző szoftveres tűzfalak, tartalomszűrők, routerekhez mellékelt alkalmazások szinte mindegyikében található olyan lehetőség, ahol listázható portszámonként, protokollonként vagy akár alkalmazásonként az összes kapcsolat.


    Ha semmi ilyened nincs, az sem akadály a továbblépésben. Feltételezve, hogy a gépeden nem használja egyszerre iszonyúan sok alkalmazás az internetet.

    Az összes élő hálózati kapcsolat megjelenítésére a Windows XP parancssorában a netstat parancs szolgál. A parancssorba a Start menü Run… menüpontjából a cmd elindításával léphetsz. A Windows XP parancssora, "parancsértelmezője" formailag sokat örökölt a DOS-ból, így rögtön érezhető is az 90-es évek elejét-delét idéző DOS-os feeling. A parancssorban kiadva a netstat –a parancsot, az összes hálózati adapter összes kapcsolatát egyszerre listaként láthatjuk. Ezek közt lesznek teljesen egyértelműek, ha éppen egy jól ismert weblap van megnyitva a böngészőben közben, akkor látható annak egyértelmű hostneve. Hasonlóan, ha éppen a levelezőprogram a leveleinket küldi vagy fogadja, a listában látható, hogy a gép a levelezőszerver a 110-es (bejövő levelek) és 25-ös (kimenő levelek) portjához kapcsolódott, stb, stb, stb.

    Ha átlag felhasználó vagy, szinte biztos, hogy lesznek olyan sorok is, amiről nem tudod, hogy mihez is tartozik. Mindenesetre az olyan sorokat kell megnézni, ahol a helyi és távoli portszámok egyaránt 1024 (well known port numbers) fölöttiek, azaz egy internetet használó alkalmazás nyitotta meg nem szerverrel való kommunikációra és a távoli gép nevéből nyilván nem egy jól ismert szolgáltatás neve vehető ki.

    Szóval valami ilyesmi látható miután a cmd-vel elindított parancssorban kiadtad a

    netstat –a

    parancsot:














    A könnyebb kezelhetőség érdekében persze érdemes az egész listát egy fájlba írni egyszerűen úgy, hogy a netstat –a parancs kimenetét egy sima szöveges fájlba irányítjuk.

    netstat –a > kapcsolatok.bat

    Ahol a > jelet is szóköz választja el az előtte és utána lévő résztől. (Ha szemléletesen szeretnéd látni, vesd össze a harmadik ábrával, lejjebb. )

    Ha ez megvan, alapértelmezés szerint a fájl helye a parancsértelmező kiinduló munkakönyvtára lesz, azaz [rendszergyökér-meghajtó]/Documents and Settings/[aktuális felhasználó]/

    Ezt követően csipkerózsika-álmából felébreszthető a rövid és egyszerű szöveges fájlok szerkesztésére idomított "MS-DOS Editort"! (nem vicc, még Win XP-ben is ez a neve). Egyszerűen adjuk ki az edit parancsot majd a File menüből nyissuk meg az előbb létrehozott kapcsolatok.bat fájlunkat és gyomláljuk ki az egyértelműen fölösleges sorokat, azaz amik valamilyen webhellyel való kapcsolat vagy nem is valódi (echo, discard, stb.) kapcsolatokat tartalmaznak. Számunkra azok maradnak érdekesek, amiknél a hostnév valamelyik internetszolgáltató vagy szervezet nevét tartalmazza a végén, azaz például .t-online.hu, .bme.hu, semmire sem emlékeztető vagy éppen a példánkban az iroda.(kisatírozott).net a hostname (a konkrét információt tartalmazó részt mindenhol kisatíroztam, egy ismerősömet mértem be a cikk kedvéért a beleegyezése után).

    Mivel egy kötegelt parancsállományt szerkesztünk, szedjük ki a kérdéses hostname-ek előtti és utáni maszlagot, azaz a protokoll típusát, a saját gépnevünket, portszámainkat és a sorok végén a kapcsolat állapotának leírását.

    Azaz valami ilyesmi maradhat csak egy sorban:
    t8398-zsd98.t-online.hu

    Remélhetőleg ekkorra már leszűkítettük a kört és a hostname-ek elé adjuk meg a tracert parancsot, eredményként valami ilyet kellene hagyni a fájlunkban:

    tracert t8398-zsd98.t-online.hu




    Ha ez megvan és már mentes minden lomtól a fájl, el lehet menteni, ekkor lépj ki a DOS-editorból és egyszerűen indítsd el az általad írt apró programocskát (sokak a batch programot és a parancsnyelvi programokat nem tartják programnak, de nekik most kuss!). Azaz indítsd el a kapcsolat.bat –ot egyszerűen a nevének a kiadásával. Amint elkezd futni, a tracert utasítás azonnal elvégzi a hostname feloldását IP-címmé, ami meg is jelenik a képernyőn, majd hostname-enként látható, hogy milyen útvonalon haladnak át az adatcsomagok a Te géped és a vizsgált számítógép közt az éteren át.

    Általában minél nagyobb a földrajzi távolság a két gép közt, annál több csomóponton kell áthaladnia az adatcsomagoknak, de az összefüggés fordítottja már nem igaz. Azaz 4-5 lépés is lehet a távolság két, azonos egyetemhez tartozó gépek közt, ha az útválasztás úgy van beállítva és a helyi hálózat tele van biggyesztve routerrel, de ugyanígy tipikusan 4-5 lépés egy ismert webszerverig tartó út is.



    Lehetséges, hogy a tracerouting, azaz "nyomkövetés" egyszerűen elakad, de ettől még a kapott információ lehet hasznos.

    1.    ha a nyomkövetés eléggé közel ért a végpont irányába vagy elérte azt, akkor gyakran látható annak az csomópont számítógépnek a hostname-je, amihez a cél közvetlenül vagy mondjuk egy lépés közbeiktatásával kapcsolódik az internetre. Ezeknek a hostname-eknek a nevében nagyon gyakran benne van az internet szolgáltató vagy intézmény felismerhető neve (a példában ki van satírozva), sőt, sokszor az is, hogy földrajzilag hol helyezkednek el. Így Budapesten például sokszor kielégítően jó közelítést lehet adni az előfizető helyére vonatkozóan, mert a t-online-os előfizetőket olyan útválasztókon keresztül csatlakoztatják a netre, amiknek a nevében benne van a városrész, esetleg a kerület neve. Szintén értelemszerű az eset, ha intézménynevet kapunk.
    2.    ha a nyomkövetés nem ért közel a végponthoz vagy félrelőttél, azaz egy jól ismert webes szolgáltatás szerverének neve jelenik meg, a keresés nem járt eredménnyel
    3.    ha a nyomkövetés elég közel ért a végpont felé, viszont az utolsó elérhető pontok neve nem mond semmit vagy nem is a hostname, hanem az IP jelenik meg helyette, azon a nyomon szintén tovább lehet lépni

    Ha az utolsó felismerhető csomópont hostname-éből nem derül ki semmi értelmes, egyszerűen fel kell oldani IP-címmé, szintén a tracert paranccsal, valahogy így ni:

    tracert kf94l9flo4.ks93kart.hu

    Ekkor megvan ennek is az IP-je. Ezt követően már nem is kell mást tenni, csak megnyitni a böngészőben a www.ripe.net oldalt, majd a "whois search" vagy hasonlónak csúfolt mezőbe meg kell adni a kiderített IP-címeket, mire a ripe.net meg fogja mutatni, hogy azok melyik szolgáltatóhoz vagy intézményhez tartoznak. Ha a keresés nem hozott eredményt, lehet próbálkozni a www.iana.org –ról elérhető más keresőkkel, mint például az Arin, ami nem az európai, hanem az Észak-Amerikai területeken keres (pontosabban ennek adatbázisában).



    Na de mire jó ez az egész? Ha a másik nem írja, hogy hol van, esetleg rafináltak rá lehet kérdezni, de érdemes arra is gondolni, hogy általában honnan internetezik. Ha valaki mindig otthonról netezik és a szolgáltatója például a UPC, mégis azt látjuk, hogy t-online.hu –s a gépe hostname-je, erősen okot adhat a gyanúra. Pláne az, ha valaki azt írja, hogy iskolai gépteremből netezik (vagy az adott időben az iskolából szokott netezni), a hostname-ben mégis valami ennek teljesen ellentmondót látunk.

    A módszert persze csak indokolt esetben van értelme alkalmazni, szinte mindig működik, viszont a kapott eredmény biztossága nem 100%.

    Ha nagyon az alapoknál akadsz el, mondjuk a címfeloldást nem tudja végbevinni a rendszer, első lépésként ellenőrizni kell, hogy az ICMP üzenetek nincsenek-e letiltva, egyáltalán a parancssorból kiadott parancsok miként használhatják a netet. Egyébként pedig érdemes kérdezned informatikában jártasabb ismerősöd vagy itt kérdezni a kapcsolódó hozzászólásokkal. Ha kell, használd az alapozót, azaz az oldallécben lévő "értetlenkedési felület" helyen megjelölt linkeket!

    A bejegyzés trackback címe:

    https://zughekker.blog.hu/api/trackback/id/tr35406583

    Kommentek:

    A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

    tis 2008.04.01. 16:04:38

    azért ezt elárulhatnád, hogy miért egy batch fájlba irányítod át a szöveges kimenetet...?

    ez meg nagyon szép:
    "Ha nagyon az alapoknál akadsz el, ... első lépésként ellenőrizni kell, hogy az ICMP üzenetek...... Egyébként pedig érdemes kérdezned informatikában jártasabb ismerősöd .... "

    LOL az akinek szüksége vagy egy ilyen leírásra, annak azt is elmagyarázhatnád, hogy mi az az ICMP..

    movhu 2008.04.01. 16:27:12

    Szép, szép, de megfelelő szolgáltató kapcsolatok nélkül kevés lesz, hogy megtudod, az illető pl. Miskolcon vagy Debrecenben lakik.
    Adott esetben viszont előfordulhat, hogy az illető olyan IP címről netezik, ami nem poolból van, és akkor a RIPE adatbázis pontos adatokat mond.
    A leírás jó, de valahogy úgy érzem, hogy egy kicsit laikusabbra kellett volna írni. Nekem nem szól, mert tudom, akit meg ismerek, és szólna neki, ő belekérdezne, annak ellenére, hogy részletes és igen bő.
    Azért tetszik.

    Zughekker · http://zughekker.blog.hu 2008.04.01. 18:26:35

    tis! Természetesen mindenbe bele lehet kötni, mindennek van elegánsabb és kevésbé elegáns megoldása is. Arra nem gondoltál, hogy azért batch file-ba történik közvetlenül az átirányítás, hogy ezzel egy lépést meg lehessen spórolni? [nem kell még a textből egy másik, újonnan létrehozott batch-be betenni a szöveget, ennyi]

    A másik, hogy a módszer persze, hogy bizonyos esetekben nem működhet, de nem térhetek ki mindenre, lévén, hogy blogról van szó, egy itt megjelenő írás nem lehet ijesztően hosszú.

    Movhu!

    Persze hogy állandó kérdés az írás és a szerksztés folyamatában, hogy mennyit engedjünk a szakmai igényességből az érthetőség javára. A módszer nem 100%-os eredményt ígér, de ezt írtam is. Intenzív MSN-használóként pedig azt tudom mondani, hogy sokszor nagyon jó közelítést ad a leírt módszerem. És ne feledjétek el:

    1. ha ki lehet zárni azt, hogy ki NEM lehet, az is eredmény
    2. a módszer feltételezi, hogy van némi személyes többletinformációd a másikról

    Honolulu 2008.09.08. 09:54:00

    Szia!
    Nekem egy olyan kérdésem lenne hogy csak akkor tudja ezt valaki megcsináli-"bemérni" a másik személyt ha az online az msn-en(beszélget)?? vagy vissza menöleg is ki lehet deriteni a másik IP-cimét???(ha nem beszélgetek vele msn-en)Ha meg van az IP cim és le elenörzöm akkor
    Nevet-cimet stb-t mindent kidob-mindent meg tok az illetöröl???
    Elöre is nagyon köszönöm a válaszokat!!!!!!!

    Kamcsatka 2008.09.09. 08:00:18

    Honolulu, ne parázz. Utólag nem tudod felgönygölíteni az ip címet, és ha megvan a cím, azzal se mész általában sokra, dehát valamiről csak kell cikket írni.

    Zughekker · http://zughekker.blog.hu 2008.09.09. 16:29:22

    Honolulu!

    Nem egyszerű megválaszolni a kérdést, mert nem vagyok képben azzal kapcsolatban, hogy mennyire vagy jártas az informatikában. Azért próbálkozok valami épkézláb válasszal:

    1. ha az illető nem régen lépett ki, az operációs rendszer és az alkalmazás sajátosságaiból adódóan a kapcsolat a két gép között még hosszú percekig, extrém esetben sokkal tovább is fennmaradhat
    2. ha a beszélgetés jóval korábban történt, akkor érdemes a router/IDS/FW logját megnézni egybevetve ezt a beszélgetés idejével
    3. egy félreértést mindenképp szeretnék elhárítani: az IP-címek többsége nyilván dinamikus, azaz a szolgáltató egy bizonyos tartományból osztogatja őket kívülálló számára véletlenszerűen. Azaz a www.ripe.net –en beírva [Európa esetén] egy talált IP-címet csak azt lehet megnézni, hogy a cím melyik internetszolgáltatóhoz vagy intézményhez tartozik, azt, hogy melyik előfizetőhöz tartozott az adott időpontban, nyilván nem. [hacsak nem kened meg a szolgáltató egy, állását kockáztató, kellően korrupt adminját, ami erősen kontraindikált]

    Néhány megjegyzést azért még böknék ide. Amikor a cikket megírtam, nem tudtam, hogy az érdeklődés ekkora lesz rá, fórumokon idézték, néhány óra alatt több ezren olvasták és sokaknak segített. A cikk messze nem hibátlan, igazából ma már máshogy írnám meg. Egy szó, mint száz, azoknak az olvasóknak, akiknek van rálátásuk a dologra, a fikázást helyett írhatnának a másik olvasónak olyat, amiben választ próbálnak adni a másiknak.

    Azaz minden kommunikáció, így az IP-k is loggolhatóak időben a végtelenségig visszamenőleg, ez a mai gépek esetén már nem jelent többletterhelést. Csak erre előre gondolni kell. Tipp: www.wireshark.org/ - ha nem értesz hozzá, totál káosz, ha egy informatikában jártasabb ismerősöd segítségét kéred, aranybánya egy otthoni gép esetén is.