Kommentarer? Hjälp till att fylla på listan efterhand! Var hittar man dom bästa databaserna med colombianska knarksmugglare? Hur hittar man e-postadresser till folk som inte står i några e-postkataloger? Varför går det hål på H&M-kalsonger efter mindre än en vecka? / Leo
Använd länkarna i högerkant för att följa med texten. | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vem står bakom en sajt? | |||||||||||||||||
Sökning med WhoIs | |||||||||||||||||
Det finns oftast möjlighet att ta reda på vem som registrerat en domän. Börja med den WhoIs-tjänst som är kopplad till respektive domänadministratör. Den svenska .se-domänen sköts t.ex av IIS, Siftelsen för internetinfrastruktur och företaget Nic-se. En sökning på 'su.se' hos www.iis.se berättar att domänen registrerades av Stockholms Universitet (ta uppgiften om datum, 1987, med en nypa salt. Då fanns vare sig IIS eller deras företrädere ISOC-SE. Och universitetens nätverk, sunet, fanns redan i början av 1980-talet) samt att deras kontaktperson en gång i tiden hette Arne Nilsson och nåddes på telefon 08-16 13 11. Uppgifterna om kontaktperson uppdateras i allmänhet inte. | Lista över WhoIs-tjänster | ||||||||||||||||
|
IIS WhoIs-tjänsten för sajter i .se-domänen. | ||||||||||||||||
WhoIs hos RIR, Regional Internet Registry | |||||||||||||||||
www.info.ba heter en bosnisk sajt. Dessvärre känner vi inte till någon domännamnsspecifik WhoIs-tjänst för .ba-domänen, så vi får kliva upp ett steg. IANA (Internet Assigned Numbers Authority) har på uppdrag av ICANN (The Internet Corporation for Assigned Names and Numbers), till uppgift att fördela ip-nummer. De gör det med hjälp av underorganisationer som kallas RIR (Regional Internet Registry). För närvarande finns fyra RIR; APNIC, ARIN, LACNIC och RIPE/NCC som var och en har ett geografiskt område att täcka. Alla RIR för register över dem de fördelat ip-nummer till. Bosnien hör till RIPE/NCC, så vi söker hos dem.
RIPE har en avancerad och kraftfull sökmotor, men den kan inte översätta adresser till ip-nummer själv, så det får vi göra åt den. Webben är full av tjänster för att översätta värdnamn till ip-nummer, följ t.ex länken till höger. Där får vi veta att ip-nummret är 217.75.192.12. Vi söker med det hos RIPE, och får veta att domänen registrerats av: |
APNIC Asien och Oceanien ARIN Amerika och södra Afrika LACNIC Latinamerika och Västindien RIPE/NCC Europa, norra Afrika, Mellanöstern och centralasien Ip-nummer<->adresser | ||||||||||||||||
| |||||||||||||||||
Undersöka dns:er | |||||||||||||||||
På väg hem från skolan lade jag märke till reklamaffischer där jag uppmanades besöka www.karleksinfo.nu, för att lära mig mer om sex och kärlek. Hemsidan, som riktar sig till män, deras fruar, vänner, familj och läkare, berättar att erektionsproblem bör lösas med medicin, och inte förklaras bort som något stressrelaterat eller psykologiskt trams. Låt oss kolla vem som ligger bakom sidan! Vi gör en WhoIs-sökning hos .nu-domänens söktjänst. | |||||||||||||||||
Richard heter egentligen Richard Teroni och jobbar på data- och webbföretaget River Cresco AB, som finns på www.river.se. Tydligen har webbdesignern också tagit på sig ansvaret för att skaffa ett domännamn till sidan.
En väg vidare kan vara att titta närmare på sajtens dns (domain name server. Jag envisas med att skriva dns-server för att göra fungerande svenska av det. Får man skriva cd-skiva så...). Till dns-servern vänder sig den dator som vill ha ett begripligt ip-nummer att kontakta, men bara har ett otydbart namn, typ www.karleksinfo.nu. Internets dns-system är - mycket kort uttryckt - invecklat, barockt och förvirrat och kännetecknas av en till kosmiska proportioner gränsande obegriplighet. (Om någon kunde förklara det lite enkelt för mig vore jag hemskt tacksam.) Just nu behöver vi dock bara veta att: dns-servrar är ordnade i hierarkier där vissa servrar har rätt att uttala sig om vad de tror att andra servrar vet. Längst upp finns 13 rotservrar, de flesta i USA, några i Europa (en i Stockholm) och en i Japan. Med jämna mellanrum utbyter servrarna information. karleksinfo.nu bör ha en dns-server som kan tala om för andra dns-servrar och besökande datorer att det obegripliga kodnamnet www.karleksinfo.nu i själva verket står för adressen 40.253.22.84. I själva verket kan vi vänta oss att hitta flera dns-servrar, varav åtminstone en med viss sannolikhet rent fysiskt finns hos någon som underhåller sidan. Om nu webbföretaget River sköter all uppdatering av karleksinfo.nu helt själva, skulle de också kunna sköta dns-servern för sidan. Men man kan också tänka sig att förtaget som står bakom sajten någonstan har en egen dns-server som är överordnad deras sajter, för att ge dem själva kontroll över sina domännamn. Verktyget för att ta reda på vilka dns-servrar som är överordnade (har rätt att uttala sig om) en specifik server heter Dig och finns på alla Unix- och Linuxsystem. Vi som använder Windows får leta på nätet, se till exempel länken till höger. |
Nunames WhoIs-tjänst för sajter i .nu-domänen. Dig Information om dns-servrar. | ||||||||||||||||
Vi är intresserade av 'Authority section', där NS betyder Name Server. (Under 'Answer section' kan man se om ett domännamn är ett alias för ett annat. CNAME heter det. Prova t.ex. med www.jmk.su.se!). Vi har fyra servrar att välja på. uu.net är ett klassiskt nätverk inom internet, en "internetleverantör åt internetleverantörerna". Dom har knappast med innehållet på sidan att göra. ns1.iquest.net visar sig vara en amerikansk internetleverantör - inte särskilt intressant för oss. dns1i.xh1.lilly.com då? Bingo! En WhoIs-sökning hos ARIN ger oss följande information: | |||||||||||||||||
Dns-servern visar sig finnas hos läkemedelsföretaget Eli Lilly and Company. På deras hemsida, www.lilly.com, finns faktiskt också en länk till www.karleksinfo.nu. Klicka bara på 'global', 'sweden' och 'erektil dysfunktion'. Där säljs också Zyprexa, mot schizofreni och Fontex, mot tvångstankar. VD för Eli Lilly Sweden AB är Patrick Jönsson i Stockholm. | |||||||||||||||||
Den enkla vägen | |||||||||||||||||
Det finns nästan alltid en enklare väg. Längst ner på första sidan på sajten karleksinfo.nu står: Ansvarig utgivare: Eli Lilly Sweden AB.
Glöm inte att leta efter ledtrådar på hemsidan, alltså. Kolla också källkoden (view -> source, eller något liknande). Mellan <META> och </META>, på de allra första raderna kan det t.ex. finnas andra adresser till ställen där bilder eller andra filer lagras, eller rent av en e-postadress till den som gjort sidan. | |||||||||||||||||
Några exempel | |||||||||||||||||
Sajter som kan vara intressanta att titta närmare på:
| |||||||||||||||||
Att leta på Usenet | |||||||||||||||||
Förutsättningar | |||||||||||||||||
Evigt liv, någon? members.lycos.co.uk/RWnovhoi/ erbjuder en möjlig lösning! För blygsamma 28.000 dollar blir jag nedfryst av ett amerikanskt företag och bevarad i väntan på någon vagt definierad framtida dunderkur som skall, antar jag, bota mig från vad jag nu dött av. Tydligen vill personen bakom sidan väcka opinion för metoden i Sverige. På hemsidan finns en e-postadress, men inget personnamn. Själv tycker jag att det skulle vara skönt att känna till något om personen bakom hemsidan, innan jag bestämmer mig för att låta mig placeras i kylskåp. Med bara en e-postadress kan det vara svårt att gå vidare, men några tänkbara vägar är öppna e-postlistor (det finns en del sökbara arkiv för sådana), webben (sök t ex på förledet i e-postadressen och hoppas att det återkommer på fler ställen) och nyhetsgrupper i Usenet. Det här avsnittet kommer bara att beröra nyhetsgrupper. | |||||||||||||||||
| |||||||||||||||||
Det största enskilda arkivet med artiklar från Usenet finns hos Google (samma arkiv som såldes från Deja för en tid sedan). Kom dock ihåg att stora delar av Usenet antagligen saknas här. Nyhetsgrupper är en metod att skicka meddelanden mellan flera människor, precis som e-postlistor. Namnet Usenet till trots rör det sig inte om något sammanhängande nät. Alla nyhetsgrupper finns överhuvudtaget inte på internet, utan i andra, mer exklusiva nätverk. Google räcker ändå långt. Välj Groups och Advanced Groups Search. Under Author stoppar vi in e-postadressen, rqt138d@tninet.se, och söker. 29 träffar!
Alla träffar är från vintern 1998 och våren 1999. De är undertecknade Charlie, Thomas N, Thomas Nord eller Carl Thomas Nord. Härifrån kan vi givetvis gå vidare och söka på namnet snarare än adressen. Problemet är att en sökning på Thomas Nord ger en kolossal mängd träffar, där de senaste årens skörd handlar om honom. Själv använder han sedan några år tillbaka alltid psedonymer. För att hitta hans egna inlägg, och kanske spåra några av hans psedonymer, kan vi istället förflytta oss stegvis framåt i tiden, och leta efter den punkt där han bytte alias första gången. Prova att söka på "Thomas Nord", men sätt ett slutdatum för i sökningen och sortera reultaten efter datum. | Googles gruppsökning | ||||||||||||||||
Falsk avsändare? | |||||||||||||||||
Hur vet vi att samma Thomas Nord står bakom båda adresserna? Inte alls egentligen. Det går att kalla sig vad man vill och använda vilken e-postadress man vill när man postar till en nyhetsgrupp. Men det finns information som kräver mer arbete att förfalska. Klicka på Original Format i brevhuvudet. Där finns information om varifrån meddelandet postades, och med vilket program. I alla meddelanden vi stött på så långt står X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3. Det betyder att samma version av samma program använts, och det tyder på att vi har att göra med samma Thomas Nord, a.k.a. Charlie. Istället för X-MimeOLE kan det också stå X-Newsreader eller något liknande.Vi fortsätter med kavata steg och något äppelkäckt i blicken framåt, månad för månad. Maj: samma alias som tidigare. Juni: nu händer det saker! Ett nytt alias, Thomas Nord (Correct_address@text.in.my.first.posting.com) dyker upp. Antagligen har Thomas Nord upptäckt att e-postadresser i diskussionsgrupper ofta används för massutskick med e-post. Sin riktiga e-postadress skriver han i meddelandet - samma som förut. Återigen kan vi klicka på namnet och få upp en lista med alla meddelanden som skickats med hans nya alias - 45 stycken. I juli börjar mängden meddelanden och alias bli överväldigande. Alias Thomas Nord (Thomas.Nord.Tabort@2.sbbs.se) har skrivit 332 inlägg. Fortfarande från X-MimeOLE : Produced By Microsoft MimeOLE V5.00.2014.211 .
| |||||||||||||||||
Följ trådarna | |||||||||||||||||
Några gånger under juli 1999 har Thomas Nord bytt alias mitt i en tråd. Här fortsätter han en påbörjad debatt under namnet TN (Anti@spam.Men.kan.skickas.nu) , som skickat sammanlagt fyra meddelanden. Av samma anledning kan vi nog koppla samman honom med B Esserwisser (Anti@spam.Adress.finns.ev.i.text.nu) , 26 meddelanden. Det finns antagligen ännu fler alias att hitta bara den här månaden - jag förmådde mig faktiskt inte gå igenom alla. Att aktivt läsa igenom alla trådar där ett alias förekommer tar givetvis tid.
| |||||||||||||||||
ROT13 eller caesarkodning | |||||||||||||||||
Vi skall hoppa fram i handlingen en tid. Någon gång under år 2000 nämns adressen ibero@libertysurf.se i samband med Thomas Nords namn. Han själv använder inte adressen i något av sina meddelanden, men enligt uppgifter har han härjat på Fidonet under namnet Bertil Eriksson, ibero@libertysurf.se. När en adress inte ger några träffar i nyhetsgrupperna finns det en möjlighet till. Många användare kodar sina meddelande, delar av meddelandena eller sina e-postadresser med s k Caesarkodning, eller ROT13. Caesarkodning (ibland även kallad romersk kodning) är ett chiffer av enklast möjliga slag - alla bokstäver i det engelska alfabetet flyttas 13 steg framåt, så att a blir n och s blir f. Genom att flytta just 13 steg kan man använda samma algoritm för att koda som för att koda av texten (det engelska alfabetet innehåller ju 26 bokstäver). Caesarkodning används dels för att undvika spindelrobotar som samlar in e-postadresser till massutskick, och dels för att göra text oläsbar vid första ögonkastet. Det är vanligt att inlägg i filmdiskussionsgrupper chiffreras för att undvika att någon av misstag får reda på hur en film slutar... ibero@libertysurf.se blir voreb@yvoreglfhes.fr när vi caesarkodar det. En sökning ger 652 nya träffar, och här hittar vi nya alias, som t ex C, C T, CT, T och Ca. |
ROT13 Webbtjänst för automatisk konvertering | ||||||||||||||||
Hur säkra kan vi vara? Information i brevhuvudet | |||||||||||||||||
Thomas Nord blev känd på Usenet för att under alla sina alias (någon sammanställde en lista med över 700 stycken) förvandla grupper som swnet.politik till fora för rasistiska påhopp och personangrepp. Samtidigt föddes en ganska tragisk hatkult bland andra användare. Så skapades t ex gruppen alt.nuke.thomasnord. I några inlägg kallades hans hus i Stuvsta "nedbrännbart". Själv började han skicka meddelanden med sina meningsmotståndares alias - bland annat annonserade han i en holländsk grupp efter småpojkar i någons namn. Till sist använde alla inblandade regelmässigt varandras alias, ända till dess det effektivaste sättet att lura någon var att skriva ett meddelande i sitt eget namn.
Egentligen kan vi aldrig veta säkert vem som skickat ett meddelande, om vi inte känner någon som har hand om servern meddelandena postats via. Därmot kan vi skaffa oss en viss säkerhet genom att studera hela brevhuvudet ('Original format' på Google). Av Posting host, Message-ID, NTTP-host eller X-Trace (se vidare länken till höger) kan man oftast utläsa vilken server meddelandet postats genom. Det är normalt sett internetleverantören, eller i några fall någon webb-tjänst. Det finns dock öppna usenetservrar som vem som helst kan använda. Det är vanligt i grupper som många vanliga internetleverantörer valt att censurera, t ex alt.2600.*, som handlar om nyheter i hack-, phreak- och crackvärlden (för övrigt ett bra ställe om börja leta på om man vill få en hint om vem som står bakom ett dataintrång, t ex). Vad som finns i brevhuvudet kan variera, beroende på med vilket program meddelandet skickats, genom vilka servrar det vandrat, till vilken grupp, i vilket nät det postats och slutligen var det arkiverats. Är man nyfiken på ett meddelande gäller helt enkelt att gå igenom den information som finns i brevhuvudet (se guiden till höger). Mycket går enkelt att förfalska, men nästan alltid finns det någon uppgift som är sann. |
Brevhuvud En kort beskrivning av de olika delarna i brevhuvud till ett medelande i en nyhetsgrupp. | ||||||||||||||||
Några exempel | |||||||||||||||||
Saker som kan vara intressanta att titta närmare på:
| |||||||||||||||||
Vem har skickat e-brevet? | |||||||||||||||||
Att förfalska avsändaren på ett e-brev är gjort i en handvändning - att avslöja en falsk avsändare är lite klurigare och kräver fantasi och uppfinningsrikedom. Det har länge varit vanligt att avsändaren bakom massutskick fejkar sina brev på något sätt, men sedan en tid finns det lättanvända program som vem som helst - utan särskilda kunskaper - kan använda för att förfalska sina e-brev. Som e-postsystemet fungerar kommer det aldrig gå att hindra någon att skicka brev med falsk avsändare, och det kanske kan vara värt för journalister att veta hur man känner igen ett fejkat brev. | |||||||||||||||||
Brevhuvudet | |||||||||||||||||
Vi fick ett mejl till jmkstud-listan från Steven Wright förra onsdagen. Några tomrader är borttagna:
| |||||||||||||||||
Roligare än den om tomaterna som skulle gå över vägen, men ändå inte så att jag vek mig dubbel av skratt. Någon som är mer allmänbildad än jag visste kanske redan att Steven Wright är en amerikansk komiker, www.stevenwright.com. Vi är förstås nyfikna på om det är Steven Wright själv som skickat brevet (säkert...) och vem det annars skulle kunna vara. För enkelhets skull antar vi att all information i brevet (utom skribentens namn) är äkta. Hade det innehållit ett erbjudande om att köpa ivorianska pass för dollar borde vi kanske varit lite mer försiktiga. Låt oss se vilken information brevet innehåller! Först kan vi notera att där finns reklam för en webbmejltjänst, mail.com. (Det är samma företag som har de populära mejladresserna med yrkestitlar, t ex @journalist.com Nästa dag, på torsdagen, kom ett nytt brev från samma avsändare: | E-postsökning | ||||||||||||||||
| |||||||||||||||||
Av innehållet i brevet kan vi nog inte utläsa mer, däremot av brevhuvudet. Alla e-postprogram kan visa hela brevhuvudet på något sätt, se listan till höger. Däremot går det inte i alla webbmejltjänster. Hotmail har t ex tagit bort all extra information i inkommande brev, möjligen av snålhet - information kostar pengar att lagra. Så här såg brevhuvudet i fredagsbrevet ut när det kommit hem till mig (information kan läggas till av olika servrar längs vägen, som ett slags poststämplar. Eftersom den sista sträckan från jmk ser lite olika ut för oss, kan också några rader skilja sig en smula) | Hitta brevhuvudet i olika program | ||||||||||||||||
Received:
by ruth.jmk.su.se (mbox h-walleo) (with Cubic Circle's cucipop (v1.31 1998/05/13) Thu Mar 20 18:48:15 2003)
Många rader ser ut precis som dem i ett meddelande till en nyhetsgrupp (se avsnittet ovan), men några skiljer sig och några används lite annorlunda. En förteckning över alla delar i ett huvud kommer när jag får tid (typ 2008, lagom till min 30-årskris). Av raden ovan får vi alltså veta att ruth.jmk.su.se (Jmk:s e-postserver) tog emot meddelandet från av-in1.su.se (universitetets e-postserver) med ett protokoll som heter ESMTP, för jmkstud@jmk.su.se, klockan 18:37 på torsdagen i vår tidzon. Den sista Recieved-raden skall normalt vara inlagd av den första server som hanterade meddelandet, och alltså tala om vilken server meddelandet skickades från. Vår sista (tidigaste) rad ser ut så här:
I just det här meddelandet finns ytterligare två rader av intresse: X-Originating-Ip och X-Originating-Server. De skall egentligen inte säga någonting vi inte kan utläsa ur Recieved-raderna, men om de finns är de praktiska. Den första server som hade hand om vårt brev var sw1-2.us4.outblaze.com (som framgår av X-Originated-Server och den äldsta Recieved-raden). Outblaze (www.outblaze.com) är ett amerikanskt webbförtag som sköter e-postservrar. Bland annat har de hand som e-posten åt mail.com. I många fall kunde det ha varit stopp här; vi hade fått veta att meddelandet var skickat från ett mail.com-konto, på en server hos Outblaze med adress jmkstud@jmk.su.se, men inget mer (jo, att brevet gått via universitetet, förstås). Lyckligtvis är servern hos Outblaze av det meddelsammare slaget. Den talar om vilken ip-adress som bad den skicka meddelandet: 134.25.0.196 Vi kan översätta ip-nummret till ett namn (som vi gjorde när vi skulle använda WhoIs-tjänsterna hos någon RIR, fast åt andra hållet nu.), och söka med det i lämplig whois-tjänst. Vi får veta att meddelandet skickades från en dator hos: musk.SR.SE was returned from IP Address 134.25.0.196 *holder: Sveriges Radio AB *orgno: 556419-3232 *contact_info.coaddr: - *contact_info.address: Oxenstjärnsgatan 10 *contact_info.zipcode: 105 10 *contact_info.postal_town: Stockholm *contact_info.countrycode: SE *contact_info.phone_no: 08-784 00 00 *contact_info.fax: 08-784 15 00 *contact_info.contact: Roland Janvi *contact_info.email: anna.buren@vd.sr.se Torsdagens brev då? Det skickades från: ua-213-112-147-140.cust.bredbandsbolaget.se was returned from IP Address 213.112.147.140 role: Bredbandsbolaget Rouingregistry address: Stockholm, Sweden e-mail: noc@bredband.com Det är med andra ord inte Steven Wright själv som skickat brevet, såvitt han inte flyttat till Sverige, skaffat internetabonnemang hos Bredbandsbolaget och jobb på Sveriges Radio. Något namn på personen i fråga får vi dock knappast om vi inte lyckas flirta oss in hos någon på SR:s dataavdelning, eller lyckas lista ut vilken person med anknytning till JMK som stämmer in på beskrivningen.
Lördagens meddelande sedan, var postat från Bredbandsbolaget igen.
Ibland kan man faktiskt av ip-adressen avgöra exakt var en dator finns - i många studentbostäder ingår t.om rumsnummret i någon form. En del internetleverantörer tar reda på vilken användare som haft vilket ip-nummer vid en viss tid mot betalning. Det kostade 600- 700 kronor för ett par år sedan. | |||||||||||||||||
När vi tror att huvudet är fejkat | |||||||||||||||||
Om jag skulle skicka ut e-post till fyra miljoner människor och erbjuda dem billiga diamantsmycken och penisförlängare på postorder, så skulle jag undvika att skylta med mitt eget namn i avsändaren. Andra verkar tänka ungefär som jag. De flesta massutskick innehåller inte bara en förfalskad avsändare, utan också en mängd annan falsk information i brevhuvudet. I takt med att fler och fler internetleverantörer börjar stänga av kunder som gör massutskick med e-post, försöker masspostarna hitta nya sätt att gömma sig på. Att ta reda på exakt varifrån ett e-brev kommer kan vara svårt eller helt omöjligt. För att vara säker behöver man egentligen en bekräftelse från avsändarens internetleverantör. Däremot kan vi ofta se om ett brevhuvud är fejkat, och dessutom finns det nästan alltid någon information i huvudet som är sann, och som kan berätta något om varifrån brevet kommer. Utmaningen är att komma på vad som är sant och vad som är falskt. | |||||||||||||||||
För en gångs skull skall jag börja i den lättaste änden. Det finns nämligen flera nyhetsgrupper på Usenet dit man kan vända sig och få svar på varifrån ett brev kommer. En del av dem som svarar kan inte så mycket som de skulle önska, andra kan snabbt ta reda på mer än man önskar att de borde kunna. Har du kommit över ett e-brev och vill vara säker på att avsändaren är den du tror, så kan du alltid prova att posta en kopia av hela brevhuvudet till någon sådan grupp. Några grupper som används just nu är: | |||||||||||||||||
Att känna igen förfalskningar | |||||||||||||||||
blablablablablablablabla | |||||||||||||||||
| |||||||||||||||||