Sporing af placeringen af en mobil IP fra en e-mail

Problemet med dette scenario er, at e-mails typisk ikke sendes fra selve enheden, men fra en central tjeneste.

For at gøre hvad du vil, skal efterforskerne lave et par humle:

1. til e-mail-tjenesten (får brugeroplysningerne, inklusive IP-adressen, bruger bruges til at oprette forbindelse til)
2. til internetudbyderen den enhed, der blev brugt på afsendelsestidspunktet (får den generelle placering af den tilsluttende IP, eller hvis den er heldig, den kendte IP i brugerens hjem)

I bedste fald bruger 3G / 4G efterforskere muligvis den klynge af tårne, som brugeren var midt i. Ingen nøjagtig placering.

MEN med al den information, det kan være muligt for efterforskere at bryde telefonens data eller brugerens andre konti og bestemme enhedens placering ved hjælp af de mange lokalitetstjenester, som moderne enheder har (Find min telefon, Facebook, Instagram osv.) (Indsæt en lang række juridiske problemer i øjeblikket i nyhederne, f.eks. Stingray).

Rediger:

Du angiver ikke det land (eller virkeligheden), du har at gøre med. Der er nogle lande, der har oprettet massive detektionsnet, så hver mobil enhed fysisk spores, uanset hvor den går. På den måde kan efterforskere til enhver tid have et nøjagtigt kort i realtid af en bestemt enhed.

Kommentarer

• Hvilke lande har sådanne net?
• Jeg er interesseret i at ” massive detektionsnet ” du taler om. Kunne du give mere reference?
• @MaxMurphy Rusland er et sted, hvor detektionsnet bruges: arstechnica.com/tech-policy/2013/07/ …
• @schroeder Mange gange logger den centrale server i din første erklæring og registrerer, hvilken IP-adresse der stammer fra e-mail-anmodningen. En e-mail, jeg modtog i morges fra en person, der sendte fra en AWS EC2-forekomst via Gmail, havde denne i overskriften: Received: from sender.com (ec2-1-2-3-4.us-west-2.compute.amazonaws.com. [1.2.3.4]) by smtp.gmail.com with ESMTPSA id b64123456789abcd.2016.05.26.14.51.25 for <[email protected]>
• Rusland, USA, Kina.

Hvis politiet har en e-mail, sendt af en mistænkt over et 3G- eller 4G-netværk, kunne de bruge IP-adressen (da de ved, hvornår den blev sendt) til at finde ud af – fra tjenesteudbyderen – den nøjagtige placering, e-mailen blev sendt fra?

Ja, dette er meget let. Men … nøgleordet her er “præcis placering.” Ikke nøjagtigt. Ikke medmindre telefonen er hacket.

Regeringsmuligheder

Hvis du leder efter beviser for regeringer, der hjælper retshåndhævelse med at finde enheder, ville du lede efter NSAs s Treasure Map -programmet. Dette er tilgængeligt for ryddet retshåndhævende personale, hovedsagelig FBI / DEA, men jeg vil ikke blive overrasket, hvis de også hjælper lokal lov håndhævelse.

NSA deler efterretningsdata med lokal retshåndhævelse og hjælper dem med at bruge parallel konstruktion for at gøre deres sager.

ISP & Normal lovhåndhævelsesmuligheder

Schroeder dækkede dette ret godt, men lad mig tilføje til det:

Da du skriver til tv, føler jeg, at du skal kende denne del for at få den til at virke mere realistisk. Alle kan gå ind i Walmart og købe en smidbar smartphone eller dumbphone. Derfra kan de gå til nærmeste åbne wifi og registrer dig under falske legitimationsoplysninger. Falske navn, falske adresse, falske alt andet. Og de kan bruge et forudbetalt kreditkort, som de købte kontant, til at registrere enheden / enhederne.

Så du vinder ikke være i stand til at finde deres aktuelle adresse eller endda vide, hvem de er, medmindre du hacker telefonen (normalt en smartphone).

Men hvis du kender den generelle tidsramme, som nogen købte og oprettede kontoen , kan du anmode om beviser fra Walmart, og de er normalt næsten altid glade for at hjælpe retshåndhævelse. De kan gennemgå sikkerhedsoptagelserne for at se, hvem der har købt enheden, og hvornår.

Men hvordan finder de tidsrammen? Walmart og andre større detailhandlere holder styr på, hvornår tingene sælges helt ned til det øjeblik. Ved du, hvornår du returnerer en vare? De ved det, fordi informationen er gemt i deres databaser, og det er muligt at slå op på stregkoden på kvitteringen. Det viser, hvornår købene skete.

At undersøge lidt vil sandsynligvis afsløre, at kontoen til den telefon blev registreret på et bestemt tidspunkt. Hvis telefonen blev registreret på et bestemt tidspunkt, kan det være sandsynligt, at den perp, der købte den telefon i en nærliggende butik.

Åbner en liste over butikker i nærheden af det åbne wifi, hvor du registrerede telefonen afslører muligvis, hvor perpen købte enheden. Du kan derefter gå ind og anmode om sikkerhedsoptagelser for at se efter alle, der køber telefonen (e) i elektronikafdelingen. Bedre endnu, stedet med åben Wi-Fi kan have dig på kameraet på det tidspunkt, du registrerede dig.

Andre perp-lokaliseringsmuligheder

Og så er der “s Stingray , en IMSI-Catcher .

Da du kender perp “s IP, kan du sandsynligvis finde perp” s operatør. Med perp “s operatør giver telefonnummeret bruges af den IP-adresse på deres netværk, er det ikke svært at hente dit faktiske mobiltelefonnummer. Faktisk, hvis du kender et område, som perpen har hængt på, kan du bruge en Stingray-enhed til at udføre et mand-i-midten-angreb på den mistænkte uden at han indså det.

Enhver mobiltelefon har kravet om at optimere modtagelsen. Hvis der er mere end én basisstation for den abonnerede netværksoperatør tilgængelig, vælger den altid den med det stærkeste signal. En IMSI-catcher skjuler sig som en basestation og får hver enkelt mobiltelefon til den simulerede netværksoperatør inden for en defineret radius til at logge ind. Ved hjælp af en særlig identitetsanmodning er den i stand til at tvinge transmission af IMSI. >

En IMSI-catcher er en utrolig nem at bruge, one-button-fatality-man-in- the-Middle-attack-in-a-box . Det giver retshåndhævende og efterretningsbureauer mulighed for at fungere som et tårn for at fange kommunikation. Når jeg personligt har set en i brug, kan jeg bevidne deres effektivitet.

Ved hjælp af normale værktøjer, selv dem der ikke behøver hjælp fra NSA, kan udbydere generelt hjælpe dig med at finde placeringen af en given telefon til enhver tid. Det kender det tætteste tårn, du har forbindelse til på det tidspunkt.

Hvis du er i stand til at tvinge placeringsfunktionen til at tænde, hvilket retshåndhævende personale kan gøre … hvordan gør tror du 911 finder dig, når du ikke kan fortælle dem, hvor du er, fordi du ikke ved det? De kan kende det generelle område, du befinder dig inden for få hundrede meter.

IP-adresse Geo-placering i USA og Kina. ALDRIG stole på dette!

Selvom det bestemt er muligt at geolokalisere en telefons IP-adresse, skal du ikke stole på dette, fordi de returnerede oplysninger kan være vildt ukorrekt. Din tildelte IP-adresse, selvom du er et andet sted i øjeblikket, kunne vises som andre steder.

Faktisk, når jeg rejser overalt og forsøgte at geolokalisere min IP-adresse, var det altid placeret i den by, hvor jeg registrerede mig. Jeg har testet dette både i Kina og i USA. Jeg kunne være 2000 miles væk, men telefonens IP-adresse geografisk placeres i en anden stat / provins.

Kommentarer

• Kan normale borgere købe det enhed, da den enhed også kan bruges til at udføre en slags bedrageri.Lad os sige, at vi installerer den enhed, nu vil telefoner omkring den enhed (falsk basestation) forsøge at logge ind med den enhed, og loginoplysningerne kan gemmes på computeren, og senere kan der oprettes en enhed og SIM-kort med disse data (som fiske på nettet)
• Jeg tror ikke ‘ Tænker ikke at ting som Stigray og IMSI-catcher kan arbejde baglæns i tid, kan de?
• Treasuremap , xkeyscore og prisme gør. Men det er sådan, du ‘ fanger en perp i realtid.
• Stingrays er kontroversielle og hemmelige nok til, at FBI har i det mindste overvejet at droppe en sag i stedet for at fortælle dommeren om den.
• Relevant (for IP Geolocation er vildt forkert): Hvordan en internetkortlægningsfejl forvandlede en tilfældig gård i Kansas til et digitalt helvede

Der er en anden almindelig måde, hvorpå e-mail lækker placeringsoplysninger. Hvis e-mailen indeholder et fotografi, der er taget på en smartphone, vil fotografiet normalt have placeringsoplysninger indlejret. Da du skriver historien, kan du tænke dig at have afsenderens e-mail et billede af en eller anden grund.

JPEG-standarden (bruges til stort set alle mobiltelefonfotos) indeholder som standard EXIF-data . Dette er for det meste teknisk information om billedet, men det inkluderer alle former for retsmedicinsk relevante detaljer, herunder kameraets mærke, model og serienummer, brugerens navn, f-stop, lukkerhastighed og den nøjagtige tid billedet blev taget. Når billedet sendes eller uploades til en fotodelingstjeneste, rejser alle EXIF-data usynligt med billedet.

De fleste telefoner med kameraer og GPS-enheder, inklusive alle iPhones og Android-telefoner, kan indeholde den nøjagtige lat / lon-koordinater for, hvor billedet blev taget. Dette kaldes geotagging, og dataene indsættes sammen med resten af EXIF-dataene. Denne mulighed er muligvis slået til som standard eller indstillet, når nogen opsætter deres telefon, og de fleste mennesker er ikke klar over, at den endda eksisterer.

At have telefonen med placeringsdata sammen med billedet er en mulighed, der kan drejes slukket, og EXIF-data fjernes let . Men jeg har fundet ud af, at de fleste mennesker foretrækker bekvemmeligheden ved at have deres fotos geotagget, eller de bryr sig ikke om det og glemmer derefter, at de findes.

At se EXIF-data er også meget let, da der er bogstaveligt talt hundredvis af telefonapps og seere til rådighed, mange gratis. Ikke-tekniske personer er i stand til at bruge dem, så det kræver ikke, at en retsmedicinsk videnskabsmand eller computernerd er den, der “knækker sagen”.

Kommentarer

• Bemærk: Nogle mailudbydere (læs som: ‘ alt for meget ‘) fjern exif-data og rediger (komprimér) vedhæftede filer, især billeder. Ved et af mine job sendte vi billeder med indlejrede data inde i dem, men fandt hurtigt ud af, at mange brugere oplevede problemer, fordi mailudbydere komprimerede billeder fra indgående mails.
• @Rolf ツ, sikker , men dette er til et tv-script. Efterforskeren skal kun springe over forhindringerne, som manuskriptforfatteren lægger på hans eller hendes måde. 🙂 Det afhænger også af, om billedet er integreret eller en vedhæftet fil. De fleste vedhæftede filer er ikke “459c4a4b2a”>

Ud over hvad @schroeder skrev, ville jeg kan lide at påpege et par ting om geolokalisering.

Blandt andet indeholder en CDR (Call Detail Record) oplysninger om celletårnet, der blev brugt af mobiltelefonen på det tidspunkt. Bemærk, at et celletårn kan dække et område på cirka en kvadratkilometer eller mere.

I nogle lande kan mobiloperatører altid være i stand til at gemme (i andre lande er dette muligvis kun muligt med en garanti ) styrken af signalet modtaget af de nærmeste celletårne. Under visse omstændigheder kan de bruge triangulering for at opnå en højere nøjagtighed på det sted, hvorfra e-mailen blev sendt. I andre lande, som jeg allerede har sagt, kan mobiloperatører muligvis kun triangulere en bruger efter en warrant.I dette tilfælde kan politiet få telefonens aktuelle position som følger:

1 – Politiet får IP-adresse fra e-mail-serverne;

2 – ved hjælp af IP-adressen identificerer de mobiltelefonen;

3 – politiet får en kendelse, sender den til operatøren og hvis telefonen stadig er på kan de triangulere det til dets nuværende position.

En anden ting, der er teoretisk mulig, fungerer som denne. Hver enhed, der kan tilsluttes internettet, inklusive en smartphone, har en MAC-adresse.

Nu, hvis du opretter forbindelse til et offentligt Wi-Fi-netværk, er adgangspunktet (dybest set den enhed, der forbinder brugere til en ADSL-forbindelse eller hvad som helst der bruges af Wi-Fi-ejeren) kan vælge at logge MAC-adresserne på sine brugere og gemme dem i nogen tid.

Hvis dette er lovligt (ingen idé), og loggen er lagret i en tilstrækkelig lang periode, og hvis mobiltelefonen brugte det Wi-Fi-netværk, kan politiet finde den celle, der bruges af mobiltelefonen, spørg MAC-adresseloggen til adgangspunktets ejer (dette kan kræve en kendelse, jeg ved det virkelig ikke) og bekræfte, at brugeren faktisk brugte det trådløse netværk. Da et typisk adgangspunkt har en rækkevidde på 100 meter eller deromkring, kan dette indsnævre området. Hvis politiet er virkelig heldige, de er måske endda i stand til at identificere dig ser (som muligvis bruger en telefon, hvis ejer er en anden person, f.eks. lånt eller stjålet) ved at kontrollere optagelserne fra omkringliggende CCTV-kameraer.

Bemærk, at disse undersøgelser i de fleste tilfælde kræver et betydeligt held , tid og / eller warrants. Derudover kan mange af disse teknikker besejres af en dygtig kriminel, så hvis den mistænkte er en “hacker”, kan han / hun yderligere komplicere processen.

Kommentarer

• men nogen kan også spoofe mac-adressen let .. da android er opensource, kan vi hårdkode en bestemt falsk mac-adresse på enheden (samme måde IMEI og anden info også)
• @ Ravinder Payal Jeg ved, at ‘ derfor jeg skrev den sidste sætning. Det afhænger virkelig af den mistænktes dygtighed. Hvis han bare er en kriminel på et lavt niveau uden tekniske færdigheder, kan disse teknikker fungere, ellers kan de modvirkes, og chancen for at finde den mistænkte falder næsten til nul.

Tidligere svar beskriver allerede processen med at bruge triangulering til at lokalisere placeringen af en bestemt telefon bedre end jeg kunne beskrive den. Der er dog meget lidt sagt om, hvorvidt efterforskerne kan finde ud af, hvilken nøjagtig telefon mailen blev sendt fra.

I traditionelle posttjenester, hvor brugeren kører en e-mail-klient på deres enhed og bruger SMTP til at sende e-mailen til serveren inkluderer serveren normalt klientens IP-adresse i mailoverskrifterne.

I cloudtjenester, hvor brugeren får adgang til e-mail via en webbrowser eller en leverandørspecifik e-mail-app og bruger HTTP eller HTTPS for at sende e-mailen til serveren inkluderer serveren normalt ikke klientens IP-adresse i mailoverskrifterne.

I det senere tilfælde er det meget sandsynligt, at efterforskeren kunne få IPen adresse via cloud-tjenesteudbyderen.

Men der er et andet spørgsmål om IP-adressen, der er opnået på en af de to måder, der er nævnt ovenfor, vil finde den nøjagtige telefon.

Hvis din historie er et sted mellem 2010 og 2020, er det meget sandsynligt, at internetudbyderen bruger carrier grade NAT på grund af mangel på IP-adresser. Og dette kan komme i vejen for at finde ud af, hvilken telefon der var forbundet til serveren.

Den eventuelle mangel på IP-adresser blev anerkendt af netværksingeniører i de tidlige 90ere. I 1998 var en løsning klar i den nye IPv6-standard, der skulle erstatte den gamle IPv4-standard. Men i stedet for at arbejde på opgraderingen har de fleste internetudbydere valgt at installere NAT i luftfartsselskabskvalitet, hvilket giver dem mulighed for at dele en enkelt IPv4-adresse mellem hundreder eller tusinder af brugere, selvom det fra brugerperspektivet vil være lidt mindre pålideligt. / p>

Hvis internetudbyderen, som telefonen har forbindelse til, allerede er opgraderet til den nye IPv6-protokol, men posttjenesten kun understøtter IPv4, bruger internetudbyderen sandsynligvis NAT64. Det er en slags bærerkvalitet NAT, som tilfældigvis også oversætter pakker mellem IPv4 og IPv6.

Med hensyn til din historie, ville NAT64 ikke være forskellig fra bærerklasse NAT. Selvom der kunne være nogle interessante argumenter mellem efterforsker, mailudbyder og internetudbyder om, hvem der er ansvarlig for manglende evne til at finde ud af, hvilken nøjagtig telefon e-mailen stammer fra. Internetudbyderen kunne fremføre et sundt teknisk argument om, at ansvaret ligger hos mailudbyderen for ikke at opgradere til IPv6.Mailudbyderen hævder, at de planlægger at gøre det et par måneder efter, at alle andre har gjort det.

Hvis du vil have specifikke IP-adresser vist i dit script, er der tre intervaller af IPv4-adresser. og en række IPv6-adresser, du kan bruge uden at bekymre dig om adresserne, der tilhører især nogen.

• 192.0.2.0 – 192.0.2.255
• 198.51.100.0 – 198.51.100.255
• 203.0.113.0 – 203.0.113.255
• 2001:db8:: – 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff

Kommentarer

• +1 til IPv6-argumentet mellem parterne
• Det er IP-ækvivalenter af 555 telefonnumre 🙂
• @HagenvonEitzen Så vidt jeg ved, ja. Men jeg ved ‘ ikke, om 555-numrene officielt er forbeholdt et sådant formål.
• Det ville være sjovt at også bruge en 10. * adresse. Computerens folk ville få en god latter ud af det. Can bruger også 0100-0199, der slutter telefonnumre, tror jeg, xxx-867-5309 og andre berømte numre. Jeg tror.
• 555 eller KLondike 5 har været et officielt fiktivt præfiks i den nordamerikanske nummerplan i årtier. Men siden 1990erne er det ‘ kun 555-0100 til 555-0199, der er reserveret.

Når vi taler som en professionel trådløs telekom, afhænger svaret på dit spørgsmål af, hvor præcist du forventer, at placeringen skal være.

• Med minimal indsats (og en juridisk forpligtelse til at gøre det), kan jeg fortælle nøjagtigt, hvilke celler der blev brugt, hvilket indsnævrer din placering ned til et bestemt geografisk område. Og vi behøver ikke engang at kende IP-adressen, vi behøver bare mobilnummeret. Hvis telefonen var tændt og aktivt kommunikerede med netværket, skulle udbyderen være i stand til at bestemme din generelle placering. Dækningen af et specifikt sted kan varierer fra en radius på mindre end 0,2 miles midt i en by til mere end 16 km i meget landdistrikter (flere landdistrikter vil have færre steder, så hvert sted får et stort dækningsaftryk).
• Hvis du har brug for en mere nøjagtig placering, kan din kilometertal variere
  • Med nogle yderligere oplysninger kan udbyderen muligvis estimere, hvor langt du var fra webstedet (dette afhænger af den teknologi, udbyderen bruger).
  • Mere specifikke placeringer er vanskelige. I USA kan nødopkald (911) lokaliseres med rimelig nøjagtighed (normalt < 50m), dog placeringer med denne nøjagtighed kan kun genereres, hvis du ringer til 911. Hvis du ikke har informationen, er den ikke tilgængelig.
  • Yderligere værktøjer bruges af trådløse udbydere til at hjælpe med trafikanalyse kan undertiden lokalisere en bestemt enhed inden for 50 til 100 m , men det er ikke en garanteret placering, kun et skøn, der bruges til planlægningsformål.

For at afslutte det er ideen om, at du kan være nøjagtigt lokaliseret sandsynligvis en opfindelse af tv og film. Trådløse netværksudbydere er begrænset i, hvilken info der kan fås på grund af privatlivets begrænsning og generel begrænsning af selve netværket.

Du skal kunne være placeret i en bestemt by (medmindre du er i et meget landligt område, når et bestemt sted dækker flere byer). I mere byområder kan du muligvis placere dig inden for et område med 2 eller 3 blokke, men for at bestemme en bestemt adresse er det ikke rigtig muligt (undtagen under et nødopkald i realtid, når din enhed eksplicit giver din specifikke placering via GPS) .

For at afklare antager ovenstående, at enheden ikke tidligere blev overvåget af retshåndhævelse baseret på min fortolkning af spørgsmålet (at brugeren ikke specifikt blev overvåget på forhånd).

Generelt leveres detaljerede placeringsoplysninger ikke til netværket og lagres ikke, så de kan ikke opnås efter det faktum af retshåndhævelse.

Hvis en bestemt enhed blev overvåget specifikt af retshåndhævelse (med en begrundelse eller juridisk ret til at gøre det), kan yderligere oplysninger udvindes i realtid. Hvor nøjagtig denne placering stadig er relateret til tætheden af netværket. I et tæt byområde, hvor du er inden for rækkevidde af flere cellesites, kan placeres inden for en rimelig afstand (< 50 meter), men jo mindre tætte netværket er, desto færre mobilsites kan se din mobile enhed, og placeringen bliver mindre og mindre præcis.

Men begrebet nøjagtighed (GPS-niveau) nøjagtighed i realtid er stadig ikke realistisk og kan ikke opnås på traditionelle måder.

Kommentarer

• Selv telefoner uden GPS kræves ifølge loven nøjagtigt lokaliserbare. Så det meste af tiden er de. Bevis: forbruger.com / 2007/09/12 / …
• @MatthewElvey, der kun kræves til 911 formål på grund af amerikanske regler. Jeg kan fortælle dig, at hvis du ikke ‘ t ringer 911, kender netværksoperatøren ikke ” ” hvor du er. Hvis de gjorde det, ville mit job uendeligt lettere (og hvis du ringede op til 911, er det kun 911 callcenteret, der virkelig har den nøjagtige info)
• Men spørgsmålet er ikke ‘ t hvilken info en TelCo Project Manager kan få. Det ‘ er, hvilken placeringsinformation en LEO kan få. Bestemt OS ved de vigtigste mobile platforme ved normalt ret præcist, hvor en given mobil er.
• @MatthewElvey afhænger af din definition af præcis. Præcis med hensyn til GPS-nøjagtighed, nej. Kun telefonen ved det, og telefonen giver ikke ‘ den information på grund af privatlivets fred. Ud over det afhænger det meget af den mobile teknologi. I et CDMA-netværk kan du være godt placeret i et tæt område med mange steder. Men i noget i 3GPP-familien (GSM / UMTS / LTE) er der ‘ ikke meget info, der kan udvindes i realtid uden en masse efterbehandling og gætterier.
• @MatthewElvey Jeg afklarede mit svar lidt, da mit originale svar antog, at enheden ikke tidligere blev overvåget af retshåndhævelse. Hvis retshåndhævelse havde en beføjelse til at overvåge enheden, kunne den placeres i realtid med samme nøjagtighed som et 911-opkald. Men ville stadig ikke være GPS-nøjagtighed

Nå, hvis han allerede var mistænkt, du behøver ikke e-mailen til at begynde med. Efterforskerne kunne have set deres mobiltelefon vandre hele tiden (eller et andet bureau har allerede sat denne fyr på vagt, og dermed har mobilen flere data om det).

Den anden mulighed er, at du har en e-mail, men ingen anelse om, hvem kriminellen er (for eksempel “De kidnappede mit barn, og nu modtog jeg denne løsesum-e-mail fra [email protected], der sagde, at de holder ham inde i Eastasia … ”).

Forudsat at e-mailen blev sendt via SMTP og ikke via webmail, ville IP-adressen, hvorfra den blev sendt, være direkte tilgængelig til efterforskerne (vis nogle Received: linjer her).

Derudover kunne de indsamle flere oplysninger fra e-mailudbyderen (Google her), som kunne give mere information ud over andre IP-adresser fra m, som han har oprettet forbindelse, f.eks. et telefonnummer, der bruges til kontogendannelse (hvis de har været dumme), registreringsdatoen (dagen før, ganske uinteressant), at det sprog, der blev brugt i tilmeldingen, var tysk (dette ville være nyttigt) , måske søger de endda Google Maps efter et isoleret sted, der ville være ideelt til at skjule nogen (få dem til at modtage dette, når fyren er ved at dræbe den stakkels dreng ) …

Som sagde før , er geolocation upålidelig til at bestemme, hvor den mistænkte er (omend øjeblikkelig, så jeg forventer, at de spørger om det alligevel), men det kan bruges til at vide, hvor det ikke er . Hvis IP-adressen er geolokaliseret til den by, hvor forbrydelsen blev begået, betyder det, at kriminellen sendte den derfra, ikke fra Eastasia! Det var sandsynligvis en bluff.

Når de først har IP-adresserne, spørger de internetudbyderen (med en retskendelse), hvem der brugte adressen på det tidspunkt. Hvis der var adgang til det via 3G / 4G, kunne de bede om placeringen af en sådan telefon på afsendelsestidspunktet og finde ud af, hvilket tårn der betjenes (de spurgte også, hvor det var nu , men det ” er i øjeblikket slukket).

Det er dog også muligt, at han ikke oprettede forbindelse via 3G, men via Wi-Fi (eller at nogle af de mange IP-adresser de fik fra Gmail / flere udvekslede e-mails). Måske viser det sig at tilhøre Starbucks . De kan så helt sikkert antage – noget de kunne kontrollere ved at forbinde sig derfra – at det blev sendt fra det eneste Starbucks-sted i byen (senere finder de ud af, at telefonkortet blev købt i et nærliggende supermarked). Eller det kan være en lokal kaffebar, der tilfældigvis er vært for deres websted på den samme IP-adresse, der blev brugt til at tilslutte forbindelserne på deres gratis Wi-Fi (ikke en god opsætning, men den blev installeret af ejeren “nevøen, og de har kun en IP-adresse). Så ved at indtaste IP-adressen i en browser vil de lære det præcise sted, hvorfra den blev sendt. Uden forsinkelser ved lovlige returrejser.

At kende butikken “fra”, som e-mailen blev sendt, kan måske ikke være for nyttig. Der kunne være interessante optagelser fra sikkerhedskameraer. Måske gik han kun der en gang. Måske bor han i nærheden eller endda i stand til at oprette forbindelse fra sit hjem.

Hvis forbryderen opretter forbindelse gentagne gange derfra, kan de naturligvis lægge den under overvågning samt straks gå derhen, så snart en ny e-mail modtages.

For omkring ti år siden var det mere sandsynligt. Dengang tilføjede mange gratis webstedsbaserede e-mail-udbydere (inklusive Yahoo) maskinens IP-adresse, som e-mailen blev sendt fra, til e-mail-overskriften. Jeg tjekkede ikke, hvad hver udbyder gør nu, men jeg vil gætte, at de fleste udbydere nu sætter IP-adressen på deres server i stedet for afsenderens maskine i overskriften. hvis jeg ikke husker rigtigt, var gmail blandt de første web-mails, der gjorde det.

Dette betyder, at hvis afsenderen ikke er meget teknologisk kyndig og ikke aktivt prøver at skjule (ved hjælp af proxyer eller hvad som helst), og ved hjælp af en gratis webbaseret service af relativt lav kvalitet kan det ske, at afsendermaskinens IP-adresse føjes til e-mail-overskriften. Og afhængigt af internetudbyderen kan det være en statisk IP-adresse, der let kan linkes til en bestemt husstand. Meget mere sandsynligt, at der vil ske i begyndelsen af 2000erne end nu.

Kommentarer

• gmail inkluderer i øjeblikket afsenderens IP til smtp-forbindelser, men ikke til webmail

Der er virkelig et par ting involveret her, som sandsynligvis involverer forskellige virksomheder.

For det første er der den oprindelige IP-adresse, som regel ikke et hårdt problem (i det mindste så langt som at finde den oprindelige mailserver).

De fleste af de servere, der fungerer bedre, afhænger af disse oplysninger i e-mail-overskriften, før de sender e-mails videre (der er måder at omgå dette på). Start din e-mail, og vælg at se overskrifter eller se hele meddelelsen for at få en smag af, hvad der er derinde.

Nu var tiden inde, folk kørte deres egne mailklienter, og overskrifterne ville fortælle dig deres IP-adresse mere eller mindre let (NAT er det lille problem), men i disse dage sendes mest mail fra en af de store webmailfirmaer, gmail, windows live, uanset hvad, så faktisk at få IP-adressen til afsenderens terminalenhed er et andet niveau af smerte, hvilket muligvis involverer at bede et webmailfirma om at hoste det op.

Så, en IP, som vi (muligvis) kan få fra en e-mail, hvis de pågældende virksomheder enten samarbejder eller kan blive slået med en advokat.

Så slår du den IP-adresse op i whois-databasen og finder den er i et mobiltelefonselskab adresserer plads, så du kontakter telefonselskabet, det er her tingene bliver interessante:

En mobiltelefon kan findes (nogenlunde) givet sit IMSI-nummer (og der er måder at få det fra et telefonnummer) enten fra mobilnetværkslogfilerne eller i realtid, hvis du har adgang til det SS7-netværk, som telefonselskaberne bruger til uden for båndet ll management (Der er endda en kommando i SS7-udvidelser til håndtering af mobilopkald, der stort set findes for at gøre efterretningsindsamling lettere).

At gøre dette for historiske data kræver logfiler fra telefonselskaberne eller kræver, at du er den slags skuespiller, der kan få gearet ved telefonafbryderne til at gemme SS7-data direkte. At gøre dette live kræver bare, at du er på SS7-netværket, og at du har peering på plads, og det kan bare bringes (der er virksomheder, der tilbyder mobiltelefonsporing som en tjeneste).

Nøjagtighed afhænger af muligheden for at triangulere i det grundlæggende tilfælde, men GPS kan hjælpe (911 og sådan), som faktisk kan udnyttes fra SS7-netværket, fordi sikkerheden på de relevante forespørgsler stort set er brudt (anmodningen har et felt, som du kontrollerer for den bemyndigende part, men dataene kan leveres andetsteds …..).

Så telefonnummer eller IMSI -> placering er dybest set enten en juridisk anmodning til cellefirmaet eller noget arbejde på SS7-netværket.

Nu er IP-adressen -> IMSI sandsynligvis også et spørgsmål om telefonselskab, så det er igen lovligt papirarbejde, men og dette er et stort, men oddsene er ret gode, at telefonselskabet har mange, mange brugere, der deler den adresse, så du får ikke en IMSI men mange, og værre er der en fremragende ændring, de vil være geografisk grupperet!

Nu kan du muligvis få en liste over alle disse IMSIer og derefter prøve at matche den, der er forbundet med gmail eller den, nøjagtigt kl. 09:56:24, men dommeren (hvis de gør der job) kan føle, at det er for bredt at få hele listen!

Så, konceptuelt ja, men du har brug for et kooperativt telefonselskab, der fører de relevante logfiler, en oprindelig mailtjeneste, der vil samarbejde og sandsynligvis en dommer der underskriver papirarbejdet uden at læse det.

Der er en sjov video, der demonstrerer nogle SS7-shenanigans her (fra kaoscomputerklubkonferencen for nogle år tilbage): https://www.youtube.com/watch?v=lQ0I5tl0YLY

Jeg advarer dog mod at forsøge at falske samtalen om denne slags ting, den kommer ALTID ud som lidt “forkert” for enhver, der faktisk ved hvad de laver ( Dette er blandt andet grundene til, at CSI ikke kan ses, og Clancy skurrende at læse).

HTH.

Hilsen, Dan.

Alle tidligere svar er gode med masser af tekniske detaljer. Alligevel nævner ingen sandsynligheden for, at den mistænkte kan bruge Anonym remailer .

Selvom selve tjenesten er en myte på Internettet (jeg bruger aldrig det selv), det er principielt muligt. Og der er tidligere sager mod det . I den ideelle situation kan den mistænkte konstruere en postkæde af anonyme videresendere fra flere lande.

Som nævnt i tidligere svar er juridiske spørgsmål de største problemer. Tænk over, at du er nødt til at knække, ikke kun et bestemt e-mail-firma, men et dusin af dem, i lande med forskellige regler og forskrifter om datasikkerhed. Det kunne være næsten umuligt at hente alle relevante data:

Tilfælde af Penet remailer:

I september 1996 var en anonym bruger udsendte de fortrolige skrifter fra Scientology Kirken gennem Penet-remaileren. Kirken krævede endnu en gang, at Julf overgav identiteten af en af sine brugere og hævdede, at plakaten havde krænket Kirkens ophavsret til det fortrolige materiale. Det lykkedes kirken at finde den oprindelige e-mail-adresse på indlægget før Penet sendte det igen, men det viste sig at være en anden anonym remailer: alpha.c2.org nymserveren, en mere avanceret og mere sikker remailer, der ikke holdt en kortlægning af e-mail-adresser, der kunne tilkaldes.

Alligevel kommer den med en pris: mindre pålidelig levering og (måske) mistet 2-vejs kommunikation. Men i visse tilfælde er denne begrænsning måske ikke så vigtig.

Kommentarer

• Fordi spørgsmålet blev stillet om at skrive en historie til et tv-script, er chancerne af den mistænkte ved hjælp af en anonym remailer er nøjagtigt hvad manuskriptforfatteren vælger. Hvis manuskriptforfatteren har brug for at skjule den mistænkte mere, kan han få den mistænkte til at bruge en anonym remailer til at hjælpe ham med at skjule sig. Hvis han har brug for at afsløre den mistænkte ‘ s placering, ville han ikke tilføje en sådan enhed.
• Jeg antager ikke forfatterens hensigt, da han ikke ‘ t siger klart, at han vil følge hvilken vej. Fra min forståelse er forfatteren her for at forstå, hvordan teknologi fungerer, så hans arbejde ikke er urealistisk teknisk set. Jeg repræsenterer en anden grund til, at ” placeringsdetektering ” muligvis ikke fungerer.
• Og selvfølgelig ” umuligt i teorien ” betyder ikke ‘ t umuligt i virkeligheden. Du kan tjekke @JohnDeters ‘ s svar (godt, dit svar, lige indså det …) som har en fremragende brug af billede til at identificere placeringen. Brug af avanceret værktøj som remailer kan give den mistænkte en falsk følelse af sikkerhed, som også kunne bruges i plottet

Forsinket svar : Ja. DROPOUTJEEP, MONKEYCALENDAR, PICASSO, TOTEGHOSTLY, WATERWITCH, WARRIOR PRIDE, TRACKER SMURF osv. Er NSA-udviklede værktøjer, hvis eksistens Edward Snowden og andre har afsløret.

MONKEYCALENDAR er software, der bruges af retshåndhævelse, der transmitterer en mobil telefonens placering ved skjult tekstbesked. TRACKER SMURF giver “højpræcisions geolokalisering”. Det kan ikke bare være så nøjagtigt som telefonens normale GPS-undersystem. Det kan være mere nøjagtigt – lige så nøjagtigt som de Wi-Fi-assisterede lokaliseringssystemer. Har almindeligt politi adgang til dette? Ja. Som @Mark Buffalo bemærkede, giver NSA “s Treasure Map -programmet adgang.

(Der er også en anden mulig måde at blive super på -højpræcisions geolokalisering: Måske kan NSA omprogrammere en telefon til at bruge de militærkodede GPS-signaler.)

Dette svar er lidt mere i ukrudtet. Den nøjagtige server, du vil bruge til at bestemme, hvor en bruger er inden for mobilnetværket kaldes PGW eller PDN Gateway . Dette er den server, der bruges til lovlig aflytning af trafik, det er også andre oplysninger om hver slutbruger på netværket, såsom faktureringsoplysninger.

Hvad der ikke er nævnt herinde, er at hvis brugeren havde sendt et billede i e-mailen, moderne mobiltelefoner inkluderer GPS-placering i EXIF data, dette ville være en nøjagtig placering af hvor billedet er taget. at de fleste billeddelingswebsteder stripper disse EXIF-data for at beskytte brugeridentiteter.

Kommentarer

• Hvordan forbinder man en e-mail-adresse til PGW? fungerer et PGW historisk, eller fungerer det i realtid? Billedet GPS fungerer også kun, hvis billedet blev taget samtidig med, at det blev sendt. (og jeg taler om placeringstjenester i mit svar).
• Dette er ude af mit styrehus, da jeg ikke ‘ ikke beskæftiger mig med PGW hardware, så jeg kan ikke svare med nogen autoritet. Jeg ‘ d forestil dig der ‘ s mange forskellige forbindelsesmekanismer. Der er leverandører, der leverer disse gateways såsom cisco, og større cellenetværk vil udvikle deres egne, da de ‘ er utroligt dyre. Der ‘ er sandsynligvis et dokument derude, der beskriver metoden til kommunikation et eller andet sted på 3gpp men jeg ‘ Jeg er ikke sikker på, hvor.

Du har masser af gode forslag her. Men med risiko for at ødelægge min manuskriptkarriere, ville den mest visuelle ordning at bruge være “tavs ping”, det vil sige hvis du vil finde personen i realtid. Jeg vil også diskutere e-mail senere i indlægget.

Den tavse ping drager fordel af en sms-tilstand, hvor intet vises på din telefon. Organisationen med tre bogstaver, der prøver at finde dig, pinger din telefon, så ser de efter RF-energi, når din telefon svarer. Der anvendes radioregistreringsskemaer, så du får de uhyggelige fyrer i varebilen til at lege med ringer og ser på skærme, når de prøver at finde kilden til signalet. Og de kører rundt for at komme tættere og tættere på for at få en bedre løsning. (cue James Bond-musik).

Hvad angår e-mail, hvis du kunne fortælle, hvor al e-mail stammer, ville der ikke være spammere. Men 90% af al e-mail-trafik er spam. Hvis jeg sendte dig en e-mail, selv på en mobilenhed, ville du vide nøjagtigt, hvilken server jeg brugte på grund af en parameter kaldet SPF. Nu kan serveren være kompromitteret (måske ved sysadminen ikke, hvordan man forhindrer et åbent relæ), så den uautoriserede e-mail kunne videresendes fra min server, men det mangler DKIM, et middel til at autentificere serveren på en cypto-måde. Enhver legitim e-mailserver vil have SPF og DKIM. Imidlertid mister mange af disse e-mail-videresendelsestjenester SPF og DKIM. Hvis de ikke gjorde det, ville hele e-mail-udbyderens verden afvise e-mail, der manglede SPF plus DKIM. (Mailen skal gå igennem, uanset hvor skør den server, der sender den. Ingen ønsker at håndtere afviste beskeder.)

Så jeg tror, at e-mail ikke er den rigtige vej, medmindre du vil have Silicon Valley-typer ind publikum stønnede.

Jeg forsøgte at gøre retsmedicin på en eller anden skam og opdagede, at hvis du bruger gmail og logger ind på google-serveren, mister du IP-adressen til den person, der opretter e-mailen. Naturligvis har google disse data, men det er ikke sådan, at jeg kan generere en retskendelse. Vred mig, men jeg hævdede, at idiot og fandt hans IP via port 80-adgang.(Der er ordninger til at skjule din IP fra adgang til port 80, såsom en VPN, men jeg blokerer mange VPNer på min server. Tor kan også blokeres.)

Jeg vil stadig gå med lydløs ping. Alt andet er halsskæg, der skriver på tastaturer.

Kommentarer

• Don ‘ t glemme at hack Gibson et eller andet sted i denne proces.
• SPF bruges ikke til at finde ud af, hvilken server du har brugt. SPF (hvis det er ansat af afsenderens ‘ s domæne) er et middel til at tillade modtagelse af MTAer registrerer mail, der stammer fra uautoriserede kilder. Nogle større SPFer tillader gazillioner af servere, simpelthen fordi de store udbydere bruger gazillioner af udgående mailservere. SPF har intet at gøre med indsendelse Det tætteste på at spore oprindelsen (indefra mailen) er den modtagne: overskrift – som muligvis bliver afskåret eller fyldt med vildledende falsk info af enhver server før den første af en uafbrudt kæde af servere, du stoler på

Nej, placeringen spores ikke for alle i logfiler – medmindre den er under uret / hætten før. Den sidste udvej her – normalt, hvis ingen tidligere lokalitetssporing er aktiveret – en basestation, hvor den IP-bærende knude var aktiv i øjeblikket.