Spore plasseringen til en mobil IP fra en e-post

Problemet med dette scenariet er at e-post vanligvis ikke sendes fra selve enheten, men fra en sentral tjeneste.

For å gjøre det du vil, må etterforskerne lage noen humle:

1. til e-posttjenesten (får brukerkontodetaljene, inkludert IP-adressen, bruker pleide å koble til)
2. til ISP-en enheten som ble brukt på sendingstidspunktet (får den generelle plasseringen av den tilkoblings-IP-en, eller hvis den er heldig, den kjente IP-en i brukerens hjem)

I beste fall, ved hjelp av 3G / 4G, kan etterforskere få klyngen av tårn brukeren var midt i. Ingen nøyaktig plassering.

MEN med all den informasjonen, det kan være mulig for etterforskere å bryte telefonens data eller brukerens andre kontoer og bestemme plasseringen til enheten ved hjelp av mange lokasjonstjenester moderne enheter har (Finn min telefon, Facebook, Instagram, etc.) (Sett inn en hel rekke juridiske problemer som er i nyhetene, som Stingray).

Rediger:

Du spesifiserer ikke landet (eller virkeligheten) du har å gjøre med. Det er noen land som har satt opp massive oppdagingsnett slik at hver mobil enhet blir sporet fysisk uansett hvor den går. På den måten kan etterforskere når som helst ha et nøyaktig kart over en bestemt enhet i sanntid.

Kommentarer

• Hvilke land har slike nett?
• Jeg er interessert i at » massive oppdagingsnett » du snakker om. Kan du gi mer referanse?
• @MaxMurphy Russland er et sted der deteksjonsnett brukes: arstechnica.com/tech-policy/2013/07/ …
• @schroeder Den sentrale serveren i din første uttalelseslogg registrerer og registrerer hvilken IP-adresse som stammer fra e-postforespørselen. En e-post jeg fikk i morges fra noen som sendte fra en AWS EC2-forekomst via Gmail, hadde denne i overskriften: Received: from sender.com (ec2-1-2-3-4.us-west-2.compute.amazonaws.com. [1.2.3.4]) by smtp.gmail.com with ESMTPSA id b64123456789abcd.2016.05.26.14.51.25 for <[email protected]>
• Russland, USA, Kina.

Hvis politiet har en e-post, sendt av en mistenker over et 3G- eller 4G-nettverk, kunne de bruke IP-adressen (siden de vet når den ble sendt) for å finne ut – fra tjenesteleverandøren – den nøyaktige plasseringen e-posten ble sendt fra?

Ja, dette er veldig enkelt. Imidlertid … stikkordet her er «presis plassering.» Ikke akkurat. Ikke med mindre telefonen er hacket.

Regjeringsalternativer

Hvis du leter etter bevis på at regjeringer bistår rettshåndhevelse med å finne enheter, vil du lete etter NSA «s Treasure Map -programmet. Dette er tilgjengelig for ryddet politimyndighet, for det meste FBI / DEA, men jeg vil ikke bli overrasket om de også hjelper lokal lov håndhevelse.

NSA deler etterretningsdata med lokal politimyndighet og hjelper dem med å bruke parallell konstruksjon for å gjøre sakene sine.

ISP & Alternativer for rettshåndhevelse

Schroeder dekket dette ganske bra, men la meg legge til det:

Siden du skriver for TV, føler jeg at du bør kjenne denne delen for å få den til å virke mer realistisk. Alle kan gå inn i Walmart og kjøpe en smarttelefon eller dumbphone som kan kastes. Derfra kan de gå til nærmeste åpne wifi , og registrer deg under falsk legitimasjon. Falske navn, falske adresse, falske alt annet. Og de kan bruke et forhåndsbetalt kredittkort som de kjøpte med kontanter for å registrere enheten (e).

Så du vant ikke være i stand til å finne deres faktiske adresse, eller til og med vite hvem de er, med mindre du hacker telefonen (vanligvis en smarttelefon).

Men hvis du vet den generelle tidsrammen som noen kjøpte og opprettet kontoen , kan du be om bevis fra Walmart, og de er vanligvis nesten alltid glade for å hjelpe rettshåndhevelse. De kan se gjennom sikkerhetsopptakene for å se hvem som har kjøpt enheten, og når.

Men hvordan finner de tidsrammen? Walmart, og andre store forhandlere, holder rede på når ting selges helt til det aller siste. Vet du når du returnerer en vare? De vet, fordi informasjonen er lagret i databasene deres, og det er mulig å slå opp strekkoden på kvitteringen. Det viser når kjøpene skjedde.

Å gjøre litt etterforskning vil sannsynligvis avsløre at kontoen til den telefonen ble registrert på et bestemt tidspunkt. Hvis telefonen ble registrert på et bestemt tidspunkt, kan det være sannsynlig at perp kjøpte den telefonen i en nærliggende butikk.

Å få opp en liste over butikker i nærheten av den åpne wifi der du registrerte telefonen kan avsløre hvor perpen kjøpte enheten. Du kan deretter gå inn og be om sikkerhetsopptak for å se etter alle som kjøper telefonen (e) i elektronikkavdelingene. Enda bedre, stedet med åpen Wi-Fi kan ha deg på kameraet da du registrerte deg.

Andre alternativer for perp-lokalisering

Og så er det «s Stingray , en IMSI-Catcher .

Siden du kjenner perpens IP, kan du sannsynligvis finne perp-operatøren. Med perp-operatøren som oppgir telefonnummeret brukt av den IP-adressen på nettverket deres, er det ikke vanskelig å hente ditt faktiske mobilnummer. Hvis du vet om et område som perpen har hengt på, kan du faktisk bruke et Stingray-enhet til å utføre et menneske-i-midten-angrep på den mistenkte uten at han skjønte det.

Hver mobiltelefon har kravet om å optimalisere mottaket. Hvis det er mer enn én basestasjon fra den abonnentnettoperatøren tilgjengelig, vil den alltid velge den som har sterkest signal. En IMSI-fangst maskererer som en basestasjon og får hver mobiltelefon til den simulerte nettverksoperatøren til å logge inn. Med hjelp av en spesiell identitetsforespørsel er den i stand til å tvinge overføring av IMSI.

En IMSI-fangst er en utrolig enkel å bruke, en-knapp-dødsfall-mann-i- the-Middle-attack-in-a-box . Det tillater politimyndigheter og etterretningsbyråer å fungere som et tårn for å fange kommunikasjon. Etter å ha sett en i bruk personlig, kan jeg bevitne deres effektivitet.

Ved å bruke vanlige verktøy, selv de som ikke trenger hjelp fra NSA, kan leverandører generelt hjelpe deg med å finne plasseringen til en hvilken som helst telefon til enhver tid. Den vet det nærmeste tårnet du er koblet til på det tidspunktet.

Hvis du kan tvinge posisjonsfunksjonen til å slå på, hvilken rettshåndhevelse kan gjøre … hvordan tror du 911 finner deg når du ikke kan fortelle dem hvor du er fordi du ikke vet? De kan vite det generelle området du befinner deg på, innen få hundre meter.

IP-adresse Geo-Location i USA og Kina. ALDRI stole på dette!

Selv om det absolutt er mulig å geolokalisere en telefons IP-adresse, bør du ikke stole på dette fordi informasjonen som returneres kan være vilt stemmer ikke. Den tildelte IP-adressen din, selv om du er et annet sted for øyeblikket, kan vises som andre steder.

Faktisk, da jeg reiste overalt og prøvde å geografisk plassere IP-adressen min, var det alltid lokalisert i byen jeg registrerte meg i. Jeg har testet dette både i Kina og i USA. Jeg kan være 2000 mil unna, men telefonens IP-adresse ligger i en annen stat / provins.

Kommentarer

• Kan vanlige borgere kjøpe det enheten kan også brukes til å utføre en slags svindel.La oss si at vi installerer den enheten, nå vil telefoner rundt den enheten (falsk basestasjon) prøve å logge inn med den enheten, og påloggingsinformasjonen kan lagres på datamaskinen, og senere kan en enhet og SIM-kort opprettes med de dataene (som å fiske på nettet)
• Jeg tror ikke ‘ Jeg tror ikke ting som Stigray og IMSI-fangst kan fungere bakover i tid, kan de ikke?
• Skattkart , xkeyscore og prisme gjør. Men det er slik du ‘ fanger en perpe i sanntid.
• Stingrays er kontroversielle og hemmelige nok til at FBI har vurderte i det minste å droppe en sak i stedet for å fortelle dommeren om den.
• Relevant (for IP-geolokalisering er veldig feil): Hvordan en feil på internett kartlegger en tilfeldig Kansas-gård til et digitalt helvete

Det er en annen vanlig måte at e-post lekker informasjon om posisjonen. Hvis e-posten inneholder et fotografi som er tatt på en smarttelefon, vil bildet vanligvis ha posisjonsinformasjon innebygd. Siden du skriver historien, kan det hende du vil ha avsenderens e-post. et bilde av en eller annen grunn.

JPEG-standarden (brukes til praktisk talt alle mobiltelefonbilder) inneholder som standard EXIF-data . Dette er for det meste teknisk informasjon om bildet, men det inkluderer alle slags rettsmedisinske relevante detaljer, inkludert kameraets merke, modell og serienummer, brukerens navn, f-stopp, lukkerhastighet og nøyaktig tid bildet er tatt. Når bildet sendes eller lastes opp til en bildedelingstjeneste, reiser alle EXIF-data usynlig med bildet.

De fleste telefoner med kameraer og GPS-enheter, inkludert alle iPhones og Android-telefoner, kan inneholde den nøyaktige lat / lon-koordinater for hvor bildet ble tatt. Dette kalles geotagging, og dataene settes inn sammen med resten av EXIF-dataene. Dette alternativet kan være slått på som standard eller angitt når noen setter opp telefonen, og de fleste er ikke klar over at det til og med eksisterer.

Å ha telefonen med plasseringsdata med bildet er et alternativ som kan slås på av, og EXIF-data fjernes enkelt . Men jeg har funnet ut at de fleste foretrekker bekvemmeligheten med å få merket bildene sine, eller de bryr seg ikke om det og glemmer at det eksisterer.

Å vise EXIF-data er også veldig enkelt, da det er bokstavelig talt hundrevis av telefonapper og seere tilgjengelig, mange gratis. Ikke-tekniske personer er i stand til å bruke dem, så det krever ikke at en rettsmedisinsk forsker eller datanerd er den som «knekker saken».

Kommentarer

• Merk: Noen e-postleverandører (lest som: ‘ altfor mye ‘) fjerner exif-data og endrer (komprimerer) vedlegg, spesielt bilder. Ved en av jobbene mine sendte vi bilder med innebygde data i dem, men fant raskt ut at mange brukere opplevde problemer fordi e-postleverandører komprimerte bilder fra innkommende e-post.
• @Rolf ツ, visst , men dette er for et TV-manus. Etterforskeren trenger bare å hoppe over hindringene manusforfatteren setter på sin måte. 🙂 Det kommer også an på om bildet er innebygd eller et vedlegg. De fleste vedlegg er ikke ‘ t strippet slik.
• Alle med rett sinn vil ikke som standard aktivere tilgang til posisjonsdata når de aktiverer en ny telefon. forsiktig nok t o kjøp en bortkastet telefon vant absolutt ‘ t
• This option is turned on by default I ‘ d si sitering nødvendig! Her i Europa, i det minste med Samsung Galaxy S4 / 5/7-enheter I ‘ sett fra flere forskjellige operatører, er alternativet slått av som standard!
• @AndrejaKo, bemerket og oppdaterte svaret mitt.

I tillegg til det @schroeder skrev, ville jeg liker å påpeke noen få ting om geolokalisering.

Blant annet inneholder en CDR (Call Detail Record) informasjon om celletårnet som ble brukt av mobiltelefonen på den tiden. Vær oppmerksom på at et celletårn kan dekke et område på omtrent en kvadratkilometer eller mer.

I noen land kan mobiloperatører alltid kunne lagre (i andre land er dette kanskje bare mulig med en garanti ) styrken på signalet som mottas av de nærmeste celletårnene. Under visse forhold kan de bruke triangulering for å oppnå en høyere nøyaktighet på stedet e-posten ble sendt fra. I andre land, som jeg allerede har sagt, kan mobiloperatører triangulere en bruker bare etter en garanti.I dette tilfellet kan politiet oppnå telefonens nåværende posisjon som følger:

1 – Politiet får IP-adresse fra e-postserverne;

2 – ved hjelp av IP-adressen identifiserer de mobiltelefonen;

3 – politiet innhenter en ordre, sender den til operatøren, og hvis telefonen fortsatt er på , kan de triangulere den til sin nåværende posisjon.

En annen ting som er teoretisk mulig fungerer som dette. Hver enhet som kan kobles til Internett, inkludert en smarttelefon, har en MAC-adresse.

Nå, hvis du kobler til et offentlig Wi-Fi-nettverk, er tilgangspunktet (i utgangspunktet enheten som kobler til brukere til en ADSL-forbindelse eller det som brukes av Wi-Fi-eieren) kan velge å logge MAC-adressene til brukerne og lagre dem i noen tid.

Hvis dette er lovlig (ingen anelse), og loggen lagres i lang nok tid, og Hvis mobiltelefonen brukte det Wi-Fi-nettverket, kan politiet finne cellen som brukes av mobiltelefonen, spør MAC-adresseloggen til eieren av tilgangspunktet (dette kan kreve en garanti, jeg vet ikke virkelig) og bekrefte at brukeren faktisk brukte det Wi-Fi-nettverket. Siden et typisk tilgangspunkt har en rekkevidde på 100 meter eller så, kan dette begrense området. politiet er virkelig heldig, de kan til og med være i stand til å identifisere u ser (som kan bruke en telefon hvis eieren er en annen person, f.eks. lånt eller stjålet) ved å sjekke opptakene fra omkringliggende CCTV-kameraer.

Vær oppmerksom på at disse undersøkelsene i de fleste tilfeller krever betydelig hell , tid og / eller garantier. I tillegg kan mange av disse teknikkene beseires av en dyktig kriminell, så hvis den mistenkte er en «hacker», kan han / hun komplisere prosessen ytterligere.

Kommentarer

• men noen kan også forfalske mac-adressen lett .. ettersom android er opensource kan vi hardkode en spesifikk falsk mac-adresse i enheten (Samme måte IMEI og annen info også)
• @ Ravinder Payal Jeg vet at ‘ derfor jeg skrev den siste setningen. Det avhenger virkelig av den mistenkte. Hvis han bare er en kriminell på lavt nivå, uten tekniske ferdigheter, kan disse teknikkene fungere, ellers kan de hindres og sjansen for å finne den mistenkte nesten synker til null.

Tidligere svar beskriver allerede prosessen med å bruke triangulering for å finne plasseringen til en bestemt telefon bedre enn jeg kunne beskrive den. Det er imidlertid veldig lite sagt om etterforskerne kan finne ut hvilken telefon telefonen e-posten ble sendt fra.

I tradisjonelle e-posttjenester der brukeren kjører en e-postklient på enheten sin og bruker SMTP til å sende e-posten. til serveren vil serveren vanligvis inkludere klientens IP-adresse i posthodene.

I skytjenester der brukeren får tilgang til e-post via en nettleser eller en leverandørspesifikk e-postapp og bruker HTTP eller HTTPS for å sende e-posten til serveren, inkluderer serveren vanligvis ikke IP-adressen til klienten i postoverskriftene.

I det senere tilfellet er det veldig sannsynlig at etterforskeren kan få IP-en adresse gjennom skytjenesteleverandøren.

Men det er et annet spørsmål om IP-adressen som er oppnådd på en av de to måtene som er nevnt ovenfor, vil finne den nøyaktige telefonen.

Hvis historien din er satt et sted mellom 2010 og 2020, er det ganske sannsynlig at internettleverandøren bruker carrier grade NAT på grunn av mangel på IP-adresser. Og dette kan komme i veien for å finne ut hvilken telefon som var koblet til serveren.

Den eventuelle mangelen på IP-adresser ble anerkjent av nettverksingeniører tidlig på 90-tallet. I 1998 var en løsning klar i den nye IPv6-standarden som skulle erstatte den gamle IPv4-standarden. Men i stedet for å jobbe med oppgraderingen, har de fleste internettleverandører valgt å distribuere operatørgrad NAT i stedet, noe som vil tillate dem å dele en enkelt IPv4-adresse mellom hundrevis eller tusenvis av brukere, men fra brukerperspektivet vil dette være litt mindre pålitelig. / p>

Hvis internettleverandøren telefonen er koblet til allerede er oppgradert til den nye IPv6-protokollen, men e-posttjenesten bare støtter IPv4, bruker internettleverandøren sannsynligvis NAT64. Det er en slags NAT-bærergrad som tilfeldigvis også oversetter pakker mellom IPv4 og IPv6.

Når det gjelder historien din, ville NAT64 ikke være forskjellig fra carrier-karakter NAT. Selv om det kan være noen interessante argumenter mellom etterforsker, e-postleverandør og internettleverandør om hvem som er ansvarlig for manglende evne til å finne ut hvilken telefon som e-posten stammer fra. Internett-leverandøren kan komme med et forsvarlig teknisk argument for at ansvaret ligger hos e-postleverandøren for ikke å oppgradere til IPv6.E-postleverandøren vil hevde at de planlegger å gjøre det noen måneder etter at alle andre har gjort det.

Hvis du skal ha spesifikke IP-adresser dukket opp i skriptet ditt, er det tre områder med IPv4-adresser. og ett utvalg av IPv6-adresser, kan du bruke uten å bekymre deg for adressene som tilhører noen spesielt.

• 192.0.2.0 – 192.0.2.255
• 198.51.100.0 – 198.51.100.255
• 203.0.113.0 – 203.0.113.255
• 2001:db8:: – 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff

Kommentarer

• +1 for IPv6-argumentet mellom partene
• Det er IP-ekvivalenter av 555 telefonnumre 🙂
• @HagenvonEitzen Så vidt jeg vet, ja. Men jeg vet ikke ‘ om 555-tallene er offisielt reservert for et slikt formål.
• Ville være morsomt å også bruke en 10. * adresse. Datamaskinene ville få en god latter ut av det. Can bruker også 0100-0199 avslutningsnummer jeg tror, xxx-867-5309, og andre kjente numre. Jeg tror.
• 555 eller KLondike 5 har vært et offisielt fiktivt prefiks i den nordamerikanske nummereringsplanen i flere tiår. Men siden 1990-tallet er det ‘ bare 555-0100 til og med 555-0199 som er reservert.

Når vi snakker som profesjonell trådløs telekom, avhenger svaret på spørsmålet ditt om hvor presis du forventer at stedet skal være.

• Med minimal innsats (og en juridisk forpliktelse til å gjøre det), kan jeg fortelle nøyaktig hvilke (e) celleside (r) du brukte, som begrenser posisjonen din til et bestemt geografisk område. Og vi trenger ikke engang å vite IP-adressen, vi trenger bare mobilnummeret. Hvis telefonen var på og aktivt kommuniserte med nettverket, bør leverandøren kunne bestemme din generelle plassering. Dekningen til et bestemt nettsted kan varierer fra en radius på mindre enn 0,2 miles midt i en by til mer enn 16 km i veldig landlige områder (flere landlige steder vil ha færre steder, slik at hvert område vil ha et stort dekkingsavtrykk).
• Hvis du trenger mer nøyaktig beliggenhet, kan kjørelengden din variere
  • Med litt tilleggsinformasjon kan leverandøren kanskje anslå hvor langt du var fra nettstedet (dette avhenger av teknologien som leverandøren bruker).
  • Mer spesifikke steder er vanskelige. I USA kan nødanrop (911) være lokalisert med rimelig nøyaktighet (vanligvis < 50m), men steder med den nøyaktigheten kan bare genereres hvis du ringer til 911. Hvis du ikke vet at informasjonen ikke er lett tilgjengelig.
  • Ytterligere verktøy brukt av trådløse leverandører for å hjelpe til med trafikkanalyse kan noen ganger finne en bestemt enhet innen 50 til 100m , men det er ikke et garantert sted, bare et estimat som brukes til planleggingsformål.

For å pakke det sammen, er ideen om at du kan være nøyaktig lokalisert sannsynligvis en oppfinnelse av TV og filmer. Trådløse nettverksleverandører er begrenset i hvilken informasjon som kan fås på grunn av personvernbegrensning og generell begrensning av selve nettverket.

Du bør kunne være lokalisert til en bestemt by (med mindre du er i et veldig landlig område når et bestemt sted dekker flere byer). I mer urbane områder kan det hende du kan plassere deg i et område på 2 eller 3 blokker, men for å finne en spesifikk adresse er det ikke mulig (unntatt under en sanntidsanrop når enheten eksplisitt gir din spesifikke plassering via GPS) .

For å avklare antar ovenstående at enheten ikke tidligere ble overvåket av politi basert på min tolkning av spørsmålet (at brukeren ikke ble spesifikt overvåket på forhånd).

Generelt blir detaljert posisjonsinformasjon ikke gitt til nettverket og lagres ikke, slik at det ikke kan oppnås etter det av rettshåndhevelse.

Imidlertid, hvis en bestemt enhet ble spesielt overvåket av politiet (med en eller juridisk rett til å gjøre det), kan ytterligere informasjon hentes i sanntid. Hvor nøyaktig denne plasseringen fremdeles er relatert til tettheten i nettverket. I et tett byområde, der du er innenfor rekkevidden til flere celleområder, kan være plassert innen rimelig avstand (< 50 meter), men jo mindre tett nettverket er, desto færre mobilsider kan se mobilenheten din, og plasseringen blir mindre og mindre nøyaktig.

Men begrepet presisjon (GPS-nivå) nøyaktighet i sanntid er fremdeles ikke realistisk og kan ikke oppnås på tradisjonelle måter.

Kommentarer

• Selv telefoner uten GPS er lovpålagt å være nøyaktig lokaliserbare. Så mesteparten av tiden er de. Bevis: forbruker.no / 2007/09/12 / …
• @MatthewElvey som kun kreves for 911 formål på grunn av amerikanske regelverk. Jeg kan fortelle deg at hvis du ikke ‘ t ringer 911, vet ikke nettoperatøren » » hvor du er. Hvis de gjorde det, ville jobben min bli uendelig enklere (og hvis du ringte 911, har bare 911-kundesenteret den nøyaktige informasjonen)
• Men spørsmålet er ikke ‘ t hvilken info en TelCo Project Manager kan få. Det ‘ hvilken posisjonsinformasjon en LEO kan få. Absolutt vet operativsystemet på de viktigste mobile plattformene vanligvis ganske nøyaktig hvor en gitt mobil er.
• @MatthewElvey avhenger av din definisjon av presis. Nøyaktig når det gjelder GPS-nøyaktighet, nei. Bare telefonen vet det, og telefonen gir ikke ‘ den informasjonen på grunn av personvernproblemer. Utover det avhenger det sterkt av mobilteknologien. I et CDMA-nettverk kan du være ganske bra i et tett område med mange nettsteder. Men i noe i 3GPP-familien (GSM / UMTS / LTE) er det ‘ ikke mye info som kan hentes ut i sanntid uten mye etterbehandling og gjetning.
• @MatthewElvey Jeg avklarte svaret mitt ettersom mitt opprinnelige svar antok at enheten ikke tidligere ble overvåket av rettshåndhevelse. Hvis rettshåndhevelse hadde en garanti for å overvåke enheten, kunne den lokaliseres i sanntid med samme nøyaktighet som en 911-samtale. Men vil fremdeles ikke være nøyaktighet på GPS-nivå

Vel, hvis han allerede var mistenkt, du ville ikke trenge e-postadressen til å begynne med. Etterforskerne kunne ha sett på mobiltelefonens vandring rundt hele tiden (eller et annet byrå har allerede satt denne fyren på vakt, og dermed har mobilen mer informasjon om det).

Det andre alternativet er at du har en e-post, men ingen anelse om hvem den kriminelle er (for eksempel «De kidnappet barnet mitt og nå mottok jeg denne løsepenge-e-posten fra [email protected] og sa at de holder ham inne i Eastasia … ”).

Forutsatt at e-posten ble sendt via SMTP og ikke via e-post, ville IP-adressen den ble sendt fra være direkte tilgjengelig til etterforskerne (vis noen Received: linjer her).

I tillegg kan de samle mer informasjon fra e-postleverandøren (Google her), som kan gi mer informasjon , i tillegg til andre IP-adresser fra m som han har koblet til, for eksempel et telefonnummer som brukes til kontogjenoppretting (hvis de har vært dumme), registreringsdatoen (dagen før, ganske uinteressant), at språket som ble brukt i registreringen var tysk (dette ville være nyttig) , kanskje de til og med Google Maps søker etter et isolert sted som vil være ideelt for å skjule noen (få dem til å motta dette når fyren er i ferd med å drepe den stakkars gutten ) …

Som uttalt før , er geolokalisering upålitelig for å avgjøre hvor den mistenkte er (om enn øyeblikkelig, så jeg forventer at de vil spørre om det uansett), men det kan brukes til å vite hvor det ikke er . Hvis IP-adressen er geolokalisert til byen der forbrytelsen ble begått, betyr det at forbryteren sendte den derfra, ikke fra Eastasia! Det var sannsynligvis en bløff.

Når de har IP-adresse (r), vil de spørre internettleverandøren (med en rettskjennelse) hvem som brukte adressen på den tiden. Hvis det ble tilgang til via 3G / 4G, kunne de be om plasseringen av en slik telefon på tidspunktet for sending, og oppdage hvilket tårn som betjener den (de spurte også hvor det var nå , men det » er for øyeblikket slått av).

Det er imidlertid også mulig at han ikke koblet seg til via 3G, men via Wi-Fi (eller at noen av flere IP-adresser de fikk fra Gmail / flere utvekslede e-poster). Kanskje viser det seg å tilhøre Starbucks . De kan da ganske trygt anta – noe de kunne sjekke ved å koble seg derfra – at det ble sendt fra det eneste Starbucks-premisset i byen (senere vil de oppdage at telefonkortet ble kjøpt i et nærliggende supermarked). Eller det kan være en lokal kaffebar som tilfeldigvis er vert for nettstedet deres på den samme IP-adressen som ble brukt for å få tilgang til tilkoblingene på deres gratis Wi-Fi (ikke et bra oppsett, men det ble installert av eieren «nevøen, og de har bare en IP-adresse). Bare ved å skrive inn IP-adressen i en nettleser, ville de lære det nøyaktige stedet det ble sendt fra. Uten forsinkelser ved lovlige tur-retur.

Å vite butikken «fra» e-posten ble sendt til, kan være nyttig eller ikke. Det kan være interessante opptak fra sikkerhetskameraer. Kanskje han bare gikk dit en gang. Kanskje han bor i nærheten, eller til og med er i stand til å koble seg fra hjemmet sitt.

Naturligvis, hvis den kriminelle kobler seg gjentatte ganger derfra, kan de sette den på overvåkning, så vel som umiddelbart å dra dit så snart en ny e-post mottas.

For rundt ti år siden var det mer sannsynlig. På den tiden la mange gratis nettstedsbaserte e-postleverandører (inkludert Yahoo) IP-adressen til maskinen e-posten ble sendt fra til e-postoverskriften. Jeg sjekket ikke hva hver leverandør gjør nå, men jeg antar at de fleste leverandører nå legger IP-en til serveren sin i stedet for avsenderens maskin i overskriften. hvis jeg ikke husker riktig, var gmail blant de første nettpostene som gjorde det.

Dette betyr at hvis avsenderen ikke er veldig teknisk kunnskapsrik og ikke aktivt prøver å skjule seg (ved å bruke fullmakter eller hva som helst), og ved å bruke en gratis nettbasert tjeneste av relativt lav kvalitet, kan det hende at avsendermaskinens IP-adresse legges til e-postoverskriften. Og avhengig av internettleverandøren, kan det være en statisk IP-adresse som enkelt kan kobles til en bestemt husstand. Mye mer sannsynlig vil skje tidlig på 2000-tallet enn nå.

Kommentarer

• gmail inkluderer for øyeblikket avsenderens IP for smtp-tilkoblinger, men ikke for webmail

Det er virkelig et par ting involvert her, som sannsynligvis involvere forskjellige selskaper.

For det første er det den opprinnelige IP-adressen, vanligvis ikke et vanskelig problem (i det minste så langt som å finne den opprinnelige e-postserveren).

De fleste servere med bedre oppførsel vil forberede denne informasjonen i e-postoverskriften før de sender e-posten videre (det er måter rundt dette). Avfyr e-posten din og velg å vise overskrifter eller se hele meldingen for å få en smak av det som er der inne.

Nå var tiden, folk kjørte sine egne e-postklienter, og overskriftene ville fortelle deg IP-adressen deres mer eller mindre lett (NAT er det minste problemet), men i disse dager sendes mest e-post fra en av store nettpostfirmaer, gmail, windows live, uansett, så det å få IP-adressen til avsenderens terminalenhet er et annet nivå av smerte, muligens involverer å be et web-postfirma om å hoste det opp.

Så, en IP vi (muligens) kan få fra en e-post hvis de aktuelle selskapene enten samarbeider eller kan bli slått med en advokat.

Så slår du opp den IP-adressen i whois-databasen og finner den er i et mobiltelefonselskap adresserer plass, så du kontakter telefonselskapet, det er der ting blir interessante:

En mobiltelefon kan lokaliseres (omtrent) gitt sitt IMSI-nummer (og det er måter å få det fra et telefonnummer), enten fra mobilnettloggene, eller i sanntid hvis du har tilgang til SS7-nettverket som telefonselskapene bruker til utenfor båndet ca ll management (Det er til og med en kommando i SS7-utvidelsene for håndtering av mobilanrop som stort sett eksisterer for å gjøre etterretningssamling enklere).

Å gjøre dette for historisk data krever logger fra telefonselskapene eller krever at du er den typen skuespiller som kan få utstyret ved telefonbryterne for å lagre SS7-data direkte. Å gjøre dette live, krever bare at du er på SS7-nettverket og at du har peering på plass, og som bare kan bringes (Det er selskaper som tilbyr mobiltelefonsporing som en tjeneste).

Nøyaktighet avhenger av muligheten til å triangulere i det grunnleggende tilfellet, men GPS kan hjelpe (911 og slikt) som faktisk kan utnyttes fra SS7-nettverket fordi sikkerheten på de aktuelle spørsmålene i utgangspunktet er ødelagt (forespørselen har et felt som du kontrollerer for den autoriserende parten, men dataene kan leveres andre steder …..).

Så telefonnummer eller IMSI -> plassering er i utgangspunktet enten en juridisk forespørsel til cellefirmaet eller noe arbeid på SS7-nettverket.

Nå er IP-adressen -> IMSI sannsynligvis også et telefonselskapsak, så det er igjen lovlig papirarbeid, men og dette er et stort, men oddsen er ganske god at telefonselskapet har mange, mange brukere som deler den adressen, så du kommer ikke til å få en IMSI, men mange, og verre, det er en utmerket endring de vil være geografisk gruppert!

Nå kan du kanskje få en liste over alle disse IMSI-ene, og deretter prøve å matche den som er koblet til gmail eller hvem som helst på nøyaktig 09:56:24, men dommeren (hvis de gjør det jobb) kan føle at det å få hele listen er for bredt!

Så, konseptuelt ja, men du trenger et kooperativt telefonselskap som fører de rette loggene, en opprinnelig posttjeneste som vil samarbeide og sannsynligvis en dommer som vil signere papirene uten å lese det.

Det er en morsom video som demonstrerer noen SS7-shenanigans her (Fra kaosdataklubbkonferansen for noen år tilbake): https://www.youtube.com/watch?v=lQ0I5tl0YLY

Jeg vil imidlertid advare mot å prøve å falske samtalen om denne typen ting, den kommer ALLTID som litt «galt» for alle som faktisk vet hva de gjør ( Dette er blant annet grunnen til at CSI ikke kan sees, og Clancy skurrende å lese).

HTH.

Hilsen, Dan.

Alle tidligere svar er gode med mange tekniske detaljer. Likevel nevner ingen sannsynligheten for at den mistenkte kan bruke Anonym remailer .

Selv om selve tjenesten er en myte på Internett (jeg bruker aldri det selv), er det i prinsippet mulig. Og det er tidligere saker mot det . I den ideelle situasjonen kan den mistenkte konstruere en postkjede av anonyme videresendere fra flere land.

Som nevnt i tidligere svar, er juridiske spørsmål de viktigste problemene. Tenk på at du må knekke, ikke bare et spesifikt e-postfirma, men et dusin av dem, i land med forskjellige regler og forskrifter om datasikkerhet. Det kan være nesten umulig å hente alle relevante data:

Tilfelle av Penet remailer:

I september 1996 var en anonym bruker la ut konfidensielle skrifter fra Scientology kirken gjennom Penet-remaileren. Kirken krevde igjen at Julf skulle overgi identiteten til en av brukerne, og hevdet at plakaten hadde krenket Kirkens opphavsrett til det konfidensielle materialet. Kirken lyktes med å finne den opprinnelige e-postadressen til innlegget før Penet. sendte den på nytt, men det viste seg å være en annen anonym videresending: alpha.c2.org nymserveren, en mer avansert og sikrere videresending som ikke holdt en kartlegging av e-postadresser som kunne tilkalles.

Likevel har den en pris: mindre pålitelig levering og (kanskje) tapt av 2-veis kommunikasjon. Men i visse tilfeller er denne begrensningen kanskje ikke så viktig.

Kommentarer

• Fordi spørsmålet ble stilt om å skrive en historie til et TV-manus, er sjansene av den mistenkte som bruker en anonym remailer er nøyaktig hva manusforfatteren velger. Hvis manusforfatteren trenger å skjule den mistenkte mer, kan han få den mistenkte til å bruke en anonym videresending for å hjelpe ham med å skjule seg. Hvis han trenger å avsløre den mistenkte ‘ s plassering, ville han ikke legge til en slik enhet.
• Jeg antar ikke intensjonen til forfatteren, siden han ikke gjorde det ‘ t sier klart at han vil følge hvilken vei. Fra min forståelse er skribenten her for å forstå hvordan teknologi fungerer, slik at hans arbeid ikke er urealistisk i teknisk synspunkt. Jeg representerer en annen grunn til at » stedsdeteksjon » kanskje ikke fungerer.
• Og selvfølgelig » umulig i teorien » betyr ikke ‘ t umulig i virkeligheten. Du kan sjekke @JohnDeters ‘ s svar (vel, svaret ditt, skjønte akkurat at …) som har en utmerket bruk av bilde for å identifisere stedet. Bruk av avansert verktøy som remailer kan gi mistenkte en falsk følelse av sikkerhet, som også kan brukes i plottet

Forsinket svar : Ja. DROPOUTJEEP, MONKEYCALENDAR, PICASSO, TOTEGHOSTLY, WATERWITCH, WARRIOR PRIDE, TRACKER SMURF, etc. er NSA-utviklede verktøy hvis eksistens Edward Snowden og andre har avslørt.

MONKEYCALENDAR er programvare som brukes av rettshåndhevelse som overfører en mobil telefonens plassering ved skjult tekstmelding. TRACKER SMURF gir «høy presisjon geolokalisering». Det kan ikke bare være så nøyaktig som telefonens normale GPS-undersystem. Det kan være mer nøyaktig – like nøyaktig som de Wi-Fi-assisterte lokasjonssystemene. Har vanlig politi tilgang til dette? Ja. Som @Mark Buffalo bemerket, gir NSA «s Treasure Map -programmet tilgang.

(Det er også en annen mulig måte å bli super -høy presisjon geolokalisering: Kanskje NSA kan omprogrammere en telefon til å bruke de militærkodede GPS-signalene.)

Dette svaret er litt mer i ugresset. Den nøyaktige serveren du vil bruke til å bestemme hvor en bruker er, i mobilnettverket kalles PGW, eller PDN Gateway . Dette er serveren som brukes til lovlig avlytting av trafikk. Den inneholder også annen informasjon om alle sluttbrukere i nettverket, for eksempel faktureringsinformasjon.

Det som ikke har blitt nevnt her, er at hvis brukeren hadde sendt et bilde i e-posten, moderne mobiltelefoner inkluderer GPS-plassering i EXIF -dataene, dette ville være et nøyaktig sted hvor bildet er tatt. at de fleste bildedelingsnettsteder vil fjerne disse EXIF-dataene for å beskytte brukeridentitetene.

Kommentarer

• Hvordan kobler man en e-postadresse til PGW? fungerer et PGW historisk, eller fungerer det i sanntid? Dessuten fungerer GPS-bildet bare hvis bildet ble tatt samtidig som det ble sendt. (og jeg snakker om stedstjenester i mitt svar).
• Dette er ute av styrhuset mitt, da jeg ikke ‘ ikke håndterer PGW-maskinvare, så jeg kan ikke svare med noen autoritet. Jeg ‘ d forestill deg der ‘ mange forskjellige tilkoblingsmekanismer. Det er leverandører som tilbyr disse gateways som Cisco, og større mobilnett vil utvikle sine egne når de ‘ er utrolig dyre. Det ‘ er sannsynligvis et dokument der ute som beskriver metoden for kommunikasjon et sted på 3gpp men jeg ‘ jeg er ikke sikker på hvor.

Du har masse bra forslag her. Men med fare for å ødelegge karrieren til manusforfattere, vil det mest visuelle opplegget å bruke være «stille ping», det vil si hvis du vil finne personen i sanntid. Jeg vil diskutere e-post også senere i innlegget.

Den stille pingen utnytter en modus for SMS der ingenting vises på telefonen din. Organisasjonen med tre bokstaver som prøver å finne deg, pinger telefonen din, så ser de etter RF-energi når telefonen din svarer. Radioregistreringsskjemaer brukes, så du får ha de skumle dudene i varebilen, med ringene og ser på skjermene mens de prøver å finne kilden til signalet. Og de kjører rundt for å komme nærmere og nærmere for en bedre løsning. (cue James Bond-musikk).

Når det gjelder e-post, hvis du kunne fortelle hvor all e-post stammer, ville det ikke være spammere. Men 90% av all e-posttrafikk er spam. Hvis jeg sendte deg en e-post, til og med på en mobil enhet, ville du vite nøyaktig hvilken server jeg brukte på grunn av en parameter som heter SPF. Nå kan serveren være kompromittert (kanskje sysadmin vet ikke hvordan du skal forhindre et åpent relé), slik at den uautoriserte e-posten kan videreformidles fra serveren min, men det mangler DKIM, et middel for å autentisere serveren på en cypto-måte. Enhver legitim e-postserver vil ha SPF og DKIM. Imidlertid mister mange av disse videresendelsestjenestene SPF og DKIM. Hvis de ikke gjorde det, ville hele e-postleverandørens verden avvise e-post som manglet SPF pluss DKIM. (E-posten må gå igjennom, uansett hvor crappy serveren som sender den. Ingen ønsker å håndtere avviste meldinger.)

Så jeg tror at e-post ikke er veien å gå med mindre du vil ha Silicon Valley-typer inn publikum stønnet.

Jeg prøvde å gjøre rettsmedisiner på en eller annen rykk og oppdaget at hvis du bruker gmail og logger deg på google-serveren, mister du IP-adressen til personen som oppretter e-posten. Selvfølgelig har google disse dataene, men det er ikke slik at jeg kan generere en rettslig kjennelse. Vred meg, men jeg pønsket rykk og fant IP-en hans via port 80-tilgang.(Det er ordninger for å skjule IP-en din fra port 80-tilgang, for eksempel en VPN, men jeg blokkerer mange VPN-er på serveren min. Tor kan også blokkeres.)

Jeg vil fortsatt gå med lydløs ping. Alt annet er nakkeskjegg som skriver på tastaturer.

Kommentarer

• Ikke ‘ t glem å hack Gibson et sted i den prosessen.
• SPF brukes ikke til å finne ut hvilken server du brukte. SPF (hvis ansatt av avsenderen ‘ s domene) er et middel for å tillate mottak av MTA oppdager e-post som stammer fra uautoriserte kilder. Noen store SPF-er vil tillate gazillions av servere, ganske enkelt fordi de store leverandørene bruker gazillions av utgående e-postservere. SPF har ingenting å gjøre med innsending Det nærmeste å spore opprinnelsen (fra posten) er mottatt: overskrift – som kan bli avskåret eller fylt med villedende falsk informasjon av en hvilken som helst server før den første av en uavbrutt kjede av servere du stoler på

Nei, stedet spores ikke for alle i logger – med mindre det er under klokken / hetten før. Siste utvei her – vanligvis hvis ingen tidligere posisjonsspor er aktivert – en basestasjon der den IP-bærende noden var aktiv for øyeblikket.