Rastreando la ubicación de una IP móvil desde un correo electrónico

El problema con este escenario es que los correos electrónicos generalmente no se envían desde el dispositivo en sí, sino desde un servicio central.

Para hacer lo que quiere, los investigadores tendrían que dar algunos saltos:

1. al servicio de correo electrónico (obtiene los detalles de la cuenta del usuario, incluida la IP usuario utilizado para conectarse)
2. al ISP el dispositivo utilizado en el momento del envío (obtiene la ubicación general de la IP de conexión, o si tiene suerte, la IP conocida de la casa del usuario)

En el mejor de los casos, utilizando 3G / 4G, los investigadores pueden obtener el grupo de torres en el que se encontraba el usuario. No hay una ubicación exacta.

PERO, con toda esa información, Es posible que los investigadores violen los datos del teléfono o las otras cuentas del usuario y determinen la ubicación del dispositivo utilizando la multitud de servicios de ubicación que tienen los dispositivos modernos (Find My Phone, Facebook, Instagram, etc.) (Insertar una gran cantidad de temas legales actualmente en las noticias, como Stingray).

Editar:

No especifica el país (o la realidad) con el que está tratando. Hay algunos países que han establecido redes de detección masivas para que cada dispositivo móvil sea rastreado físicamente sin importar a dónde vaya. De esa manera, los investigadores pueden tener un mapa preciso en tiempo real de un dispositivo en particular en cualquier momento.

Comentarios

• ¿Qué países tienen tales redes?
• Estoy interesado en eso » redes de detección masiva » de las que habla. ¿Podría proporcionar más referencias?
• @MaxMurphy Rusia es un lugar donde se utilizan redes de detección: arstechnica.com/tech-policy/2013/07/ …
• @schroeder Muchas veces, el servidor central en su primer registro de estado de cuenta y registra qué dirección IP originó la solicitud de correo electrónico. Un correo electrónico que recibí esta mañana de alguien que enviaba desde una instancia AWS EC2 a través de Gmail tenía esto en el encabezado: Received: from sender.com (ec2-1-2-3-4.us-west-2.compute.amazonaws.com. [1.2.3.4]) by smtp.gmail.com with ESMTPSA id b64123456789abcd.2016.05.26.14.51.25 for <[email protected]>
• Rusia, EE. UU., China.

Si la policía tiene un correo electrónico, enviado por un sospechoso a través de una red 3G o 4G, ¿podrían usar la dirección IP (ya que saben cuándo se envió) para averiguar, del proveedor de servicios, la ubicación precisa desde la que se envió el correo electrónico?

Sí, esto es muy fácil. Sin embargo … la palabra clave aquí es «ubicación precisa». No exactamente. No, a menos que el teléfono sea pirateado.

Opciones gubernamentales

Si «está buscando pruebas de que los gobiernos ayuden a las fuerzas del orden a localizar dispositivos, entonces» estaría buscando las programa Treasure Map . Este está disponible para el personal de las fuerzas del orden público autorizado, en su mayoría del FBI / DEA, pero no me sorprendería que también colaboraran con las leyes locales.

La NSA comparte datos de inteligencia con las autoridades locales y les ayuda a utilizar construcción paralela para hacer sus casos.

ISP & Opciones normales de aplicación de la ley

Schroeder cubrió esto bastante bien, pero permítanme agregar:

Ya que estás escribiendo para TV, creo que deberías conocer esta parte para que parezca más realista. Cualquiera puede entrar en Walmart y comprar un teléfono inteligente o un teléfono móvil desechable. Desde allí, pueden ir al wifi abierto más cercano. y registrarse con credenciales falsas. Nombre falso, dirección falsa, todo lo demás falso. Y pueden usar una tarjeta de crédito prepaga que compraron con efectivo para registrar los dispositivos.

Así que no ser capaz de encontrar su dirección real, o incluso saber quiénes son, a menos que piratee el teléfono (normalmente un teléfono inteligente).

Sin embargo, si conoce el período de tiempo general que alguien compró y creó la cuenta , puede solicitar pruebas a Walmart y, por lo general, casi siempre están felices de ayudar a la policía. Podrán revisar las imágenes de seguridad para ver quién compró ese dispositivo y cuándo.

Pero, ¿cómo encontrarán el marco de tiempo? Walmart y otros minoristas importantes realizan un seguimiento de cuándo se venden las cosas, hasta el último minuto. ¿Sabes cuándo devuelves un artículo? Lo saben, porque la información se almacena en sus bases de datos y es posible buscar el código de barras del recibo. Muestra cuándo ocurrieron las compras.

Si investiga un poco, probablemente revelará que la cuenta de ese teléfono se registró en un momento específico. Si el teléfono se registró en un momento específico, es probable que el delincuente haya comprado ese teléfono en una tienda cercana.

Aparecer una lista de tiendas cercanas al wifi abierto donde registró el El teléfono puede revelar dónde compró el dispositivo el delincuente. Luego puede ingresar y solicitar imágenes de seguridad para buscar a cualquiera que compre el teléfono (s) en los departamentos de electrónica. Mejor aún, el lugar con Wi-Fi abierto puede tenerlo en cámara en el momento en que se registró.

Otras opciones de localización de perpetradores

Y luego «s Stingray , un IMSI-Catcher .

Dado que conoce la IP del perpetrador, es probable que pueda encontrar el operador del perpetrador. Con el operador del perpetrador proporcionando el número de teléfono utilizado por esa dirección IP en su red, no es difícil mostrar su número de teléfono celular real. De hecho, si conoces un área en la que el delincuente ha estado, puedes usar un dispositivo Stingray para realizar un ataque de intermediario. sobre el sospechoso sin que él se dé cuenta.

Todo teléfono móvil tiene el requisito de optimizar la recepción. Si hay más de una estación base del operador de red suscrito accesible, siempre elegirá la que tenga la señal más fuerte. Un receptor de IMSI se hace pasar por una estación base y hace que todos los teléfonos móviles del operador de red simulado dentro de un radio definido inicien sesión. Con la ayuda de una solicitud de identidad especial, puede forzar la transmisión de la IMSI.

Un receptor IMSI es increíblemente fácil de usar, one-button-fatality-man-in el-ataque-medio-en-una-caja . Permite que las agencias policiales y de inteligencia actúen como una torre para captar comunicaciones. Habiendo visto personalmente uno en uso, puedo dar fe de su efectividad.

Usando herramientas normales, incluso aquellas que no requieren la ayuda de la NSA, los proveedores generalmente pueden ayudarlo a encontrar la ubicación de cualquier teléfono. en cualquier momento. Conoce la torre más cercana a la que estás conectado en ese momento.

Si puedes forzar la función de ubicación para que se active, ¿qué pueden hacer las fuerzas del orden? ¿Cree que el 911 lo encuentra cuando no puede decirles dónde se encuentra porque no sabe? Ellos pueden conocer el área general en la que se encuentra, a unos pocos cientos de pies.

Geolocalización de direcciones IP en EE. UU. y China. ¡NUNCA confíe en esto!

Si bien, sí, es ciertamente posible geolocalizar la dirección IP de un teléfono, no debe confiar en esto porque la información devuelta puede ser incorrecto. Su dirección IP asignada, incluso si está en otro lugar en este momento, podría mostrarse como en otro lugar.

De hecho, cuando viajé por todo el lugar e intenté geolocalizar mi dirección IP, fue siempre ubicado en la ciudad en la que me registré. He probado esto tanto en China como en los EE. UU. Podría estar a 2000 millas de distancia, pero la dirección IP del teléfono se geolocaliza en un estado / provincia diferente.

Comentarios

• ¿Pueden los ciudadanos normales comprar eso dispositivo ya que ese dispositivo también se puede utilizar para cometer un tipo de fraude.Digamos que instalamos ese dispositivo ahora, los teléfonos alrededor de ese dispositivo (estación base falsa) intentarán iniciar sesión con ese dispositivo y las credenciales de inicio de sesión se pueden guardar en la computadora y luego se puede crear un dispositivo y una tarjeta SIM con esos datos (como pescar en la web)
• No ‘ no creo que cosas como Stigray y el receptor IMSI puedan funcionar al revés en el tiempo, ¿verdad?
• Mapa del tesoro , xkeyscore y prism hacen. Pero así es como ‘ atrapas a un delincuente en tiempo real.
• Las rayas son controvertidas y lo suficientemente secretas como para que el FBI al menos consideró abandonar un caso en lugar de decírselo al juez.
• Relevante (para que la geolocalización de IP sea tremendamente incorrecta): Cómo un error de mapeo de Internet convirtió una granja aleatoria de Kansas en un infierno digital

Existe otra forma común en la que el correo electrónico filtra información de ubicación. Si el correo electrónico incluye una fotografía que se tomó con un teléfono inteligente, la foto generalmente tendrá información de ubicación incrustada. Ya que estás escribiendo la historia, es posible que logres tener el correo electrónico del remitente una foto por alguna razón.

El estándar JPEG (utilizado para prácticamente todas las fotos de teléfonos móviles) contiene datos EXIF de forma predeterminada. Se trata principalmente de información técnica sobre la imagen, pero incluye todo tipo de detalles forenses relevantes, como la marca, el modelo y el número de serie de la cámara, el nombre del usuario, el número f, la velocidad de obturación y la hora exacta. la foto fue tomada. Cuando la foto se envía o se carga en un servicio para compartir fotos, todos esos datos EXIF viajan de manera invisible con la imagen.

La mayoría de los teléfonos con cámaras y unidades GPS, incluidos todos los teléfonos iPhone y Android, pueden incluir la coordenadas lat / lon del lugar donde se tomó la foto. Esto se llama geoetiquetado y los datos se insertan junto con el resto de los datos EXIF. Esta opción puede estar activada de forma predeterminada o configurada cuando alguien está configurando su teléfono, y la mayoría de las personas ni siquiera saben que existe.

Hacer que el teléfono incluya datos de ubicación con la imagen es una opción que se puede activar. desactivado, y los datos EXIF se eliminan fácilmente . Pero he descubierto que la mayoría de la gente prefiere la conveniencia de tener sus fotos geoetiquetadas, o no les importa y luego olvidan que existe.

Ver los datos EXIF también es muy fácil, ya que existen literalmente cientos de aplicaciones para teléfonos y visores disponibles, muchas de ellas gratis. Las personas no técnicas pueden usarlos, por lo que no es necesario que un científico forense o un nerd informático sea quien «resuelva el caso».

Comentarios

• Nota: Algunos proveedores de correo (léase: ‘ demasiado ‘) eliminan los datos exif y modifican (comprimen) archivos adjuntos, especialmente imágenes. En uno de mis trabajos solíamos enviar imágenes con datos incrustados en su interior, pero rápidamente descubrimos que muchos usuarios tenían problemas porque los proveedores de correo estaban comprimiendo imágenes de correos entrantes.
• @Rolf ツ, seguro , pero esto es para un guión de televisión. El investigador solo tiene que superar los obstáculos que el guionista pone en su camino. 🙂 También depende de si la imagen está en línea o un archivo adjunto. La mayoría de los archivos adjuntos no son ‘ t despojado así.
• Cualquiera con su sano juicio no permitirá el acceso a los datos de ubicación de forma predeterminada al activar un nuevo teléfono. Un delincuente lo suficientemente cuidadoso t o comprar un teléfono desechable sin duda ganó ‘ t
• This option is turned on by default I ‘ d digo que se necesita una cita! Aquí en Europa, al menos con los dispositivos Samsung Galaxy S4 / 5/7 que ‘ he visto de varios operadores diferentes, la opción está desactivada de forma predeterminada.
• @AndrejaKo, anotó y actualizó mi respuesta.

Además de lo que escribió @schroeder, Me gustaría señalar algunas cosas sobre la geolocalización.

Entre otras cosas, un CDR (Registro de detalles de llamadas) contiene información sobre la torre celular utilizada por el teléfono móvil en ese momento. Tenga en cuenta que una torre celular puede cubrir un área de aproximadamente una milla cuadrada o más.

En algunos países, es posible que los operadores móviles siempre puedan almacenar (en otros países, esto solo puede ser posible con una orden ) la fuerza de la señal recibida por las torres celulares más cercanas. En determinadas condiciones, pueden utilizar triangulación para obtener una mayor precisión en la ubicación desde la que se envió el correo electrónico. En otros países, como ya he dicho, los operadores móviles pueden triangular a un usuario solo después de una orden judicial.En este caso, la policía puede obtener la posición actual del teléfono de la siguiente manera:

1 – La policía obtiene la dirección IP de los servidores de correo electrónico;

2 – utilizando la dirección IP, identifican el teléfono móvil;

3 – la policía obtiene una orden judicial, la envía al operador y si el teléfono aún está en , pueden triangularlo a su posición actual.

Otra cosa que es teóricamente posible funciona así. Todos los dispositivos que se pueden conectar a Internet, incluido un teléfono inteligente, tienen una dirección MAC.

Ahora, si se conecta a una red Wi-Fi pública, el punto de acceso (básicamente, el dispositivo que conecta el los usuarios a una conexión ADSL o lo que sea utilizado por el propietario de Wi-Fi) pueden optar por registrar las direcciones MAC de sus usuarios y almacenarlas durante algún tiempo.

Si esto es legal (no tengo idea), y el registro se almacena durante un período de tiempo suficientemente largo, y si el teléfono móvil utilizó esa red Wi-Fi, la policía puede encontrar el móvil utilizado por el teléfono móvil, solicite el registro de direcciones MAC al propietario del punto de acceso (esto puede requerir una orden judicial, realmente no lo sé) y confirmar que el usuario realmente usó esa red Wi-Fi. Dado que un punto de acceso típico tiene un alcance de 100 metros aproximadamente, esto puede reducir el área. Si el la policía es realmente afortunada, incluso podrían identificar a la u ser (que puede usar un teléfono cuyo propietario es otra persona, por ejemplo, prestado o robado) al verificar las imágenes de las cámaras de CCTV circundantes.

Tenga en cuenta que, en la mayoría de los casos, estas investigaciones requieren una gran cantidad de suerte , tiempo y / o garantías. Además, muchas de estas técnicas pueden ser derrotadas por un criminal experto, por lo que si el sospechoso es un «pirata informático», puede complicar aún más el proceso.

Comentarios

• pero alguien también puede falsificar la dirección mac fácilmente … como Android es de código abierto, podemos codificar una dirección mac falsa específica en el dispositivo (de la misma manera, IMEI y otra información también)
• @Ravinder Payal Sé que ‘ es la razón por la que escribí la última oración. Realmente depende de la habilidad del sospechoso. Si solo es un delincuente de bajo nivel, sin habilidades técnicas, estas técnicas pueden funcionar; de lo contrario, pueden frustrarse y la posibilidad de localizar al sospechoso casi se reduce a cero.

Las respuestas anteriores ya describen el proceso de usar la triangulación para identificar la ubicación de un teléfono específico mejor de lo que podría describirlo. Sin embargo, se dice muy poco acerca de si los investigadores pueden averiguar desde qué teléfono exacto se envió el correo.

En los servicios de correo tradicionales donde el usuario ejecuta un cliente de correo electrónico en su dispositivo y usa SMTP para enviar el correo electrónico. al servidor, el servidor generalmente incluirá la dirección IP del cliente en los encabezados del correo.

En servicios en la nube donde el usuario accede al correo electrónico a través de un navegador web o una aplicación de correo electrónico específica del proveedor y usa HTTP o HTTPS para enviar el correo electrónico al servidor, el servidor normalmente no incluirá la dirección IP del cliente en los encabezados del correo.

En el último caso es muy probable que con una orden judicial el investigador pueda obtener la IP dirección a través del proveedor de servicios en la nube.

Pero hay otra pregunta en cuanto a si la dirección IP obtenida de una de las dos formas mencionadas anteriormente identificará el teléfono exacto.

Si su historia se establece en algún lugar entre 2010 y 2020, es bastante probable que el proveedor de Internet esté utilizando el grado de operador NAT debido a la escasez de direcciones IP. Y esto puede obstaculizar la determinación de qué teléfono estaba conectado al servidor.

Los ingenieros de redes reconocieron la eventual escasez de direcciones IP a principios de los 90. Para 1998, una solución estaba lista en el nuevo estándar IPv6 destinado a reemplazar el antiguo estándar IPv4. Pero en lugar de trabajar en la actualización, la mayoría de los proveedores de Internet han optado por implementar NAT de grado de operador, lo que les permitirá compartir una única dirección IPv4 entre cientos o miles de usuarios, aunque desde la perspectiva de los usuarios, esto será un poco menos confiable.

En caso de que el proveedor de Internet al que está conectado el teléfono ya esté actualizado al nuevo protocolo IPv6, pero el servicio de correo solo admite IPv4, lo más probable es que el proveedor de Internet utilice NAT64. Ese es un tipo de NAT de grado de operador que también traduce paquetes entre IPv4 e IPv6.

En términos de su historia, NAT64 no sería diferente del NAT de grado de operador. Aunque podría haber algunas discusiones interesantes entre el investigador, el proveedor de correo y el proveedor de Internet sobre quién es responsable de la imposibilidad de averiguar de qué teléfono exacto se originó el correo electrónico. El proveedor de Internet podría presentar un argumento técnico sólido de que la responsabilidad recae en el proveedor de correo de no actualizar a IPv6.El proveedor de correo argumentaría que planea hacerlo unos meses después de que todos los demás lo hayan hecho.

Si va a tener direcciones IP específicas en su script, hay tres rangos de direcciones IPv4 y un rango de direcciones IPv6, puede usar sin preocuparse por las direcciones que pertenecen a alguien en particular.

• 192.0.2.0 – 192.0.2.255
• 198.51.100.0 – 198.51.100.255
• 203.0.113.0 – 203.0.113.255
• 2001:db8:: – 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff

Comentarios

• +1 para el argumento de IPv6 entre las partes
• Estos son los equivalentes de IP de 555 números de teléfono 🙂
• @HagenvonEitzen Hasta donde yo sé, sí. Pero no ‘ no sé si los números 555 están reservados oficialmente para tal propósito.
• Sería divertido usar también una dirección 10. *. La gente de las computadoras se reiría mucho. También puede usar 0100-0199, creo que los números de teléfono finales, xxx-867-5309 y otros números famosos. Creo.
• 555 o KLondike 5 ha sido un prefijo ficticio oficial en el Plan de Numeración de América del Norte durante décadas. Pero desde la década de 1990, ‘ s solo 555-0100 a 555-0199 están reservados.

Hablando como un profesional de telecomunicaciones inalámbricas, la respuesta a su pregunta depende de qué tan precisa espere que sea la ubicación.

• Con un esfuerzo mínimo (y un obligación legal de hacerlo), puedo decir exactamente qué sitio (s) celular estaba usando, lo que limita su ubicación a un área geográfica en particular. Y ni siquiera necesitamos saber la dirección IP, solo necesitamos el número de teléfono móvil. Si el teléfono estaba encendido y se comunicaba activamente con la red, el proveedor debería poder determinar su ubicación general. La cobertura de un sitio específico puede varían desde un radio de menos de 0.2 millas en el medio de una ciudad hasta más de 10 millas en áreas muy rurales (más ubicaciones rurales tendrán menos sitios, por lo que cada sitio tendrá una gran huella de cobertura).
• Si necesita una ubicación más exacta, entonces su millaje puede variar
  • Con información adicional, el proveedor puede estimar qué tan lejos estaba del sitio (esto depende de la tecnología que utilice el proveedor).
  • Las ubicaciones más específicas son difíciles. En los EE. UU., las llamadas de emergencia (911) se pueden ubicar con una precisión razonable (generalmente < 50m); sin embargo, las ubicaciones con esa precisión solo se puede generar si llama al 911. Si no, la información no está disponible.
  • Herramientas adicionales utilizado por proveedores inalámbricos para ayudar con el análisis del tráfico puede a veces localizar un dispositivo específico dentro de 50 a 100 m , pero no es una ubicación garantizada, solo una estimación que se utiliza con fines de planificación.

Para resumir, la idea de que puede ubicarse con precisión es probablemente una invención de la televisión y las películas. Los proveedores de redes inalámbricas están limitados en cuanto a qué información se puede obtener debido a la limitación de privacidad y la limitación general de la propia red.

Debería poder estar ubicado en una ciudad específica (a menos que se encuentre en una zona muy rural cuando un sitio específico cubre varias ciudades). En áreas más urbanas, es posible que pueda ubicarse dentro de un área de 2 o 3 cuadras, pero identificar una dirección específica, no es realmente factible (excepto durante una llamada de emergencia en tiempo real cuando su dispositivo proporciona explícitamente su ubicación específica a través de GPS) .

Para aclarar, lo anterior asume que el dispositivo no estaba siendo monitoreado previamente por la policía según mi interpretación de la pregunta (que el usuario no estaba siendo monitoreado específicamente de antemano).

En general, la información de ubicación detallada no se proporciona a la red y no se almacena, por lo que la policía no puede obtenerla después del hecho.

Sin embargo, si un dispositivo específico estaba siendo monitoreado específicamente por la policía (con un garantía o derecho legal para hacerlo), es posible que se extraiga información adicional en tiempo real. La precisión de esta ubicación sigue relacionada con la densidad de la red. En una zona urbana densa, en la que se encuentra dentro del alcance de varios sitios celulares, se puede ubicar a una distancia razonable (< 50 metros), pero cuanto menos densa es la red, menos sitios móviles pueden ver su dispositivo móvil y la ubicación se vuelve cada vez menos precisa.

Pero el concepto de precisión (nivel de GPS) en tiempo real aún no es realista y no se puede obtener por medios tradicionales.

Comentarios

• Incluso los teléfonos sin GPS están obligados por ley a ser localizables con precisión. Así que la mayoría de las veces lo son. Prueba: consumista.com / 2007/09/12 / …
• @MatthewElvey que se requiere para los propósitos del 911 solo debido a las regulaciones de EE. UU. Puedo decirle que si no ‘ t marca el 911, el operador de red no sabe » con precisión » donde estás. Si lo hicieran, mi trabajo sería infinitamente más fácil (y si marcara el 911, solo el centro de llamadas del 911 realmente tiene esa información exacta)
• Pero la pregunta no es ‘ Qué información puede obtener un gerente de proyectos de TelCo. Es ‘ la información de ubicación que puede obtener un LEO. Ciertamente, el sistema operativo en las principales plataformas móviles suele saber con bastante precisión dónde está un determinado móvil.
• @MatthewElvey depende de su definición de precisión. Preciso en términos de precisión GPS, no. Solo el teléfono lo sabe y el teléfono no ‘ no proporciona esa información debido a problemas de privacidad. Más allá de eso, depende en gran medida de la tecnología móvil. En una red CDMA, puede ubicarse bastante bien en un área densa con muchos sitios. Pero en algo de la familia 3GPP (GSM / UMTS / LTE), ‘ no hay mucha información que pueda extraerse en tiempo real sin mucho procesamiento posterior y conjeturas.
• @MatthewElvey Aclaré un poco mi respuesta ya que mi respuesta original asumía que el dispositivo no estaba siendo monitoreado previamente por la policía. Si la policía tuviera una orden judicial para monitorear el dispositivo, podría ubicarse en tiempo real con una precisión similar a la de una llamada al 911. Pero todavía no sería la precisión a nivel de GPS

Bueno, si ya era un sospechoso, Para empezar, no necesitaría el correo electrónico. Los investigadores podrían haber estado observando los vagabundos de su teléfono móvil todo el tiempo (u otra agencia ya ha puesto a este tipo de guardia y, por lo tanto, el móvil tiene más datos al respecto).

La otra opción es que tenga un correo electrónico, pero no tenga idea de quién es el criminal (por ejemplo, «Secuestraron a mi hijo y ahora recibí este correo electrónico de rescate de [email protected] diciendo que lo tienen retenido en Eastasia … ”).

Suponiendo que el correo electrónico se envió a través de SMTP y no por correo web, la dirección IP desde la que se envió estaría disponible directamente a los investigadores (muestre algunas Received: líneas aquí).

Además, podrían recopilar más información del proveedor de correo electrónico (Google aquí), que podría proporcionar más información , además de otras direcciones IP para m que ha conectado, como un número de teléfono utilizado para la recuperación de la cuenta (si han sido tontos), la fecha de registro (el día anterior, bastante poco interesante), que el idioma utilizado en el registro era alemán (esto sería útil) , tal vez incluso busquen en Google Maps un lugar aislado que sea ideal para esconder a alguien (haz que reciban esto cuando el tipo esté a punto de matar al pobre )…

Como se indicó anteriormente , la geolocalización no es confiable para determinar dónde está el sospechoso (aunque es inmediato, por lo que esperaría que lo consultaran de todos modos), pero se puede utilizar para saber dónde no está . Si la dirección IP está geolocalizada en la ciudad donde se cometió el crimen, eso significa que el criminal la envió desde allí, ¡no desde Eastasia! Probablemente fue un engaño.

Una vez que tengan la (s) dirección (es) IP, le preguntarán al proveedor de Internet (con una orden judicial) quién estaba usando esa dirección en ese momento. Si se accedió a través de 3G / 4G, entonces podrían preguntar por la ubicación de dicho teléfono en el momento del envío y descubrir qué torre lo presta (también preguntaron dónde estaba ahora , pero » está actualmente apagado).

Sin embargo, también es posible que no se estuviera conectando a través de 3G, sino a través de Wi-Fi (o que algunas de las múltiples direcciones IP obtenido de Gmail / varios correos electrónicos intercambiados). Quizás resulte pertenecer a Starbucks . Entonces pueden asumir con bastante confianza -algo que podrían verificar conectándose desde allí- que fue enviado desde la única instalación de Starbucks en la ciudad (más tarde descubrirán que la tarjeta telefónica se compró en un supermercado cercano). O puede ser una cafetería local que aloja su sitio web en la misma dirección IP utilizada para conectar las conexiones en su Wi-Fi gratuito (no es una configuración buena , pero fue instalada por el propietario «s sobrino, y solo tienen una dirección IP). Por lo tanto, con solo ingresar la dirección IP en un navegador, sabrían el lugar exacto desde donde se envió. Sin demoras por viajes legales de ida y vuelta.

Saber la tienda «desde» la cual se envió el correo electrónico puede o no ser demasiado útil. Podría haber imágenes interesantes de las cámaras de seguridad. Quizás solo fue una vez. Quizás vive cerca, o incluso puede conectarse desde su casa.

Naturalmente, si el delincuente se conecta repetidamente desde allí, puede ponerlo en vigilancia, así como ir allí inmediatamente tan pronto como se reciba un nuevo correo electrónico.

Hace unos diez años era más probable. En aquel entonces, muchos proveedores de correo electrónico gratuitos basados en sitios web (incluido Yahoo) agregaron la dirección IP de la máquina desde la que se envió el correo electrónico al encabezado del correo electrónico. No verifiqué lo que hacen todos los proveedores ahora, pero supongo que la mayoría de los proveedores ahora colocan la IP de su servidor en lugar de la máquina del remitente en el encabezado. si mal no recuerdo, gmail fue uno de los primeros webmails en hacerlo.

Esto significa que si el remitente no es muy experto en tecnología y no intenta ocultarse activamente (mediante el uso de proxies o lo que sea), y al utilizar un servicio web gratuito de calidad relativamente baja, puede suceder que la dirección IP de la máquina remitente se agregue al encabezado del correo electrónico. Y, según el proveedor de Internet, podría ser una dirección IP estática fácilmente vinculada a un hogar específico. Es mucho más probable que ocurra a principios de los 2000 que ahora.

Comentarios

• Actualmente, gmail incluye la IP del remitente para conexiones smtp, pero no para correo web

En realidad, hay un par de cosas involucradas aquí, que probablemente involucrar a diferentes empresas.

En primer lugar, está la dirección IP de origen, por lo general no es un problema difícil (al menos en lo que respecta a encontrar el servidor de correo de origen).

La mayoría de los servidores que se comportan mejor anteponen esta información en el encabezado del correo electrónico antes de pasar el correo (hay formas de evitar esto). Encienda su correo electrónico y seleccione ver los encabezados o ver el mensaje completo para tener una idea de lo que hay allí.

Ahora era el momento, la gente ejecutaba sus propios clientes de correo, y los encabezados le indicaban su dirección IP más o menos fácilmente (siendo NAT el problema menor), pero en estos días la mayoría del correo se envía desde uno de los grandes empresas de correo web, gmail, windows live, lo que sea, por lo que obtener la dirección IP del dispositivo terminal del remitente es un segundo nivel de molestia, posiblemente implicando pedirle a una empresa de correo web que lo suelte.

Entonces, una IP que (posiblemente) podamos obtener de un correo electrónico, si las empresas en cuestión cooperan o pueden ser golpeadas con un abogado.

Luego, busca esa dirección IP en la base de datos whois y encuentra que está en un espacio de direcciones de las empresas de telefonía móvil, por lo que se pone en contacto con la empresa de teléfonos, que es donde las cosas se ponen interesantes:

Un teléfono celular se puede ubicar (aproximadamente) dado su número IMSI (y hay formas de obtenerlo de un número de teléfono), ya sea de los registros de redes celulares, o en tiempo real si tiene acceso a la red SS7 que usan las compañías telefónicas para fuera de banda. toda la administración (incluso hay un comando en las extensiones SS7 para el manejo de llamadas móviles que prácticamente existe para facilitar la recopilación de inteligencia).

Hacer esto para datos históricos requiere registros de las compañías telefónicas o requiere que usted sea el tipo de actor que puede obtener el equipo en los interruptores telefónicos para almacenar los datos SS7 directamente. Hacer esto en vivo, solo requiere que esté en la red SS7 y que tenga el emparejamiento en su lugar, y eso se puede traer (hay compañías que ofrecen rastreo de teléfonos celulares como un servicio).

La precisión depende de la capacidad de triangular en el caso básico, pero los gps pueden ayudar (911 y similares), que en realidad se puede aprovechar de la red SS7 porque la seguridad de las consultas relevantes está básicamente rota (La solicitud tiene un campo que usted controla para la parte que autoriza, pero los datos se pueden entregar en otro lugar …..).

Entonces, el número de teléfono o IMSI -> ubicación es básicamente una solicitud legal a la compañía celular o algún trabajo en la red SS7.

Ahora la dirección IP -> IMSI probablemente también sea un asunto de la compañía telefónica, por lo que nuevamente es papeleo legal, pero y esto es un gran pero, las probabilidades son bastante buenas de que la compañía telefónica tenga muchos, muchos usuarios que comparten esa dirección, por lo que no obtendrás una IMSI sino muchas, y lo que es peor, ¡hay un cambio excelente, estarán agrupados geográficamente!

Ahora, es posible que pueda obtener una lista de todos esos IMSI y luego tratar de hacer coincidir el que está conectado a gmail o quien sea exactamente a las 09:56:24, pero el juez (si lo están haciendo allí trabajo) puede sentir que obtener la lista completa es demasiado amplio.

Entonces, conceptualmente sí, pero necesita una compañía telefónica cooperativa que mantenga los registros apropiados, un servicio de correo de origen que coopere y probablemente un juez quien firmará el papeleo sin leerlo.

Aquí hay un video divertido que muestra algunas travesuras de SS7 (de la conferencia del club de computación del caos hace unos años): https://www.youtube.com/watch?v=lQ0I5tl0YLY

Sin embargo, advertiría contra tratar de fingir lo que se habla sobre este tipo de cosas, SIEMPRE parece un poco «incorrecto» para cualquiera que realmente sepa lo que está haciendo ( Esta, entre otras razones, es la razón por la que CSI no se puede ver y Clancy es discordante de leer).

HTH.

Saludos, Dan.

Todas las respuestas anteriores son buenos con muchos detalles técnicos. Sin embargo, nadie menciona las probabilidades de que el sospechoso use Remailer anónimo .

Aunque el servicio en sí es un mito en Internet (nunca utilizo yo mismo), es posible en principio. Y hay casos anteriores en su contra . En la situación ideal, el sospechoso puede construir una cadena de correo de remitentes anónimos de varios países.

Como se indicó en las respuestas anteriores, los problemas legales son los principales problemas. Piense en que tiene que romper, no solo una empresa de correo electrónico específica, sino una docena de ellas, en países con diferentes reglas y regulaciones sobre seguridad de datos. Podría ser casi imposible recuperar todos los datos relevantes:

Caso de remailer de Penet:

En septiembre de 1996, un usuario anónimo publicó los escritos confidenciales de la Iglesia de la Cienciología a través del remailer de Penet. Una vez más, la Iglesia exigió que Julf entregara la identidad de uno de sus usuarios, alegando que el cartel había infringido los derechos de autor de la Iglesia sobre el material confidencial. La Iglesia logró encontrar la dirección de correo electrónico de origen de la publicación antes de Penet. lo reenvió, pero resultó ser otro reenvío anónimo: alpha.c2.org nymserver, un reenvío más avanzado y seguro que no guardaba un mapeo de direcciones de correo electrónico que pudieran ser citado.

Sin embargo, tiene un precio: entrega menos confiable y (quizás) pérdida de comunicación bidireccional. Pero en ciertos casos, esta restricción tal vez no sea tan importante.

Comentarios

• Debido a que la pregunta se hizo sobre cómo escribir una historia para un guión de televisión, las posibilidades del sospechoso que usa un reenvío anónimo es exactamente lo que elija el guionista. Si el guionista necesita ocultar más al sospechoso, podría hacer que el sospechoso use un reenvío anónimo para ayudarlo a esconderse. Si necesita revelar la ubicación del sospechoso ‘ s, no agregaría tal dispositivo.
• No asumiría la intención del escritor, ya que no ‘ t declare claramente qué camino seguiría. Según tengo entendido, el escritor está aquí para comprender cómo funciona la tecnología, de modo que su trabajo no sea poco realista desde el punto de vista técnico. Represento otra razón por la que » detección de ubicación » puede no funcionar.
• Y, por supuesto, » imposible en teoría » no significa ‘ imposible en realidad. Puede verificar la respuesta de @JohnDeters ‘ (bueno, su respuesta, me acabo de dar cuenta de eso …) que tiene un excelente uso de la imagen para identificar la ubicación. El uso de herramientas avanzadas como el remailer puede darle al sospechoso una falsa sensación de seguridad, que también podría utilizarse en la trama

Trabajo en Geolocalización y hago mucho trabajo resolviendo preguntas sobre la ubicación de los dispositivos.

Para volver a la pregunta original publicada:

Si la policía tiene un correo electrónico enviado por un sospechoso a través de una red 3G o 4G, ¿podrían usar la dirección IP (ya que saben cuándo se envió) para averiguarlo? proveedor: ¿la ubicación precisa desde la que se envió el correo electrónico?

Creo que la respuesta puede ser mucho más específica.

Como Mark Buffalo señaló correctamente; Las redes móviles 3G / 4G contienen CERO datos de ubicación asociados con la ubicación del dispositivo. Por lo tanto, este es un callejón sin salida.

Los rangos de IP normalmente se asignan al azar al proveedor de red móvil y se relacionan con las ubicaciones de esa empresa, no con el dispositivo. Por lo tanto, un cliente de teléfono móvil del Reino Unido cuando está en roaming en EE. UU. tendría una dirección IP que apunte a algún lugar del Reino Unido.

Muchas de las otras respuestas parecen estar relacionadas con el tema de la geolocalización en general, pero no son de mucha ayuda en este caso ya que solo tenemos datos de IP para trabajar.

Así que, Sr. / Sra. Guionista, creo que debe probar y ver si el «delincuente» puede usar una conexión WiFi para conectarse y obtener una dirección IP «estática» (en lugar de la 3G / 4G uno) que PODRÍA ayudar a reducir la búsqueda a una ciudad o posiblemente incluso a una casa si la Policía pudiera torcer algunos brazos entre los proveedores de ISP.

O como sugirió otra persona, si puede obtener el número de teléfono, en países como los EE. UU. puede rastrear al usuario sin que él lo sepa con la triangulación de la torre celular.

Sin embargo , La dirección IP en una conexión móvil / celular / 3G / 4G no lo llevará a ninguna parte …

Respuesta tardía : Sí. DROPOUTJEEP, MONKEYCALENDAR, PICASSO, TOTEGHOSTLY, WATERWITCH, WARRIOR PRIDE, TRACKER SMURF, etc.son herramientas desarrolladas por la NSA cuya existencia Edward Snowden y otros han revelado.

MONKEYCALENDAR es un software utilizado por las fuerzas del orden que transmite un teléfono móvil la ubicación del teléfono mediante un mensaje de texto oculto. TRACKER SMURF proporciona «geolocalización de alta precisión». No puede ser tan preciso como el subsistema GPS normal del teléfono. Puede ser más preciso, tan preciso como los sistemas de ubicación asistidos por Wi-Fi. ¿La policía regular tiene acceso a esto? Si. Como señaló @Mark Buffalo, el programa Treasure Map de la NSA proporciona acceso.

(Además, hay otra forma posible de obtener -Geolocalización de alta precisión: tal vez la NSA pueda reprogramar un teléfono para usar las señales GPS codificadas por los militares.)

Esta respuesta está un poco más en la maleza. El servidor exacto que usaría para determinar dónde está un usuario, dentro de la red celular, se llama PGW o PDN Gateway . Este es el servidor que se utiliza para la interceptación legal del tráfico, también otra información sobre cada usuario final en la red, como la información de facturación.

Lo que no se ha mencionado aquí es que si el usuario había enviado una imagen en el correo electrónico, los teléfonos celulares modernos incluyen la ubicación GPS en los datos EXIF , esta sería una ubicación exacta de donde se tomó la foto. Nota que la mayoría de los sitios para compartir imágenes eliminarán estos datos EXIF para proteger las identidades de los usuarios.

Comentarios

• ¿Cómo se conecta una dirección de correo electrónico a la PGW? ¿Funciona históricamente una PGW o funciona en tiempo real? Además, el GPS de imagen solo funciona si la imagen se tomó al mismo tiempo que se envió (y hablo de los servicios de ubicación en mi respuesta).
• Esto está fuera de mi timonera, ya que no ‘ trato con el hardware PGW, por lo que no puedo responder con ninguna autoridad. > D imagino que hay ‘ s muchos mecanismos de conexión diferentes. Hay proveedores que proporcionan estas puertas de enlace, como Cisco, y las redes celulares más grandes desarrollarán las suyas propias, ya que ‘ son increíblemente caras. Hay ‘ probablemente un documento que describe el método de comunicación en algún lugar de 3gpp pero yo ‘ No estoy seguro de dónde.

Tienes muchas cosas buenas sugerencias aquí. Pero a riesgo de arruinar mi carrera como guionista, el esquema más visual a utilizar sería el «ping silencioso», es decir, si quieres encontrar a la persona en tiempo real. También hablaré sobre el correo electrónico más adelante en la publicación.

El ping silencioso aprovecha un modo de SMS en el que no aparece nada en su teléfono. La organización de tres letras que intenta encontrarlo hace ping a su teléfono, luego buscan energía de RF cuando su teléfono responde. Se utilizan esquemas de detección de radio, por lo que puede hacer que los tipos espeluznantes en la camioneta jueguen con los diales y miren las pantallas mientras intentan encontrar la fuente de la señal. Y conducen para acercarse cada vez más para una mejor solución. (señal de música de James Bond).

Ahora, con respecto al correo electrónico, si pudiera saber dónde se origina todo el correo electrónico, no habría spammers. Pero el 90% de todo el tráfico de correo electrónico es spam. Si le enviara un correo electrónico, incluso en un dispositivo móvil, sabría exactamente qué servidor utilicé debido a un parámetro llamado SPF. Ahora el servidor podría verse comprometido (tal vez el administrador del sistema no sepa cómo evitar una retransmisión abierta), por lo que el correo electrónico no autorizado podría retransmitirse desde mi servidor, pero carecería de DKIM, un medio para autenticar el servidor de forma cifrada. Cualquier servidor de correo electrónico legítimo tendrá SPF y DKIM. Sin embargo, muchos de estos servicios de reenvío de correo electrónico pierden el SPF y DKIM. Si no lo hicieran, todo el mundo de proveedores de servicios de correo electrónico rechazaría el correo electrónico que careciera de SPF más DKIM. (El correo debe pasar, no importa lo malo que sea el servidor que lo envía. Nadie quiere lidiar con mensajes rebotados.)

Por eso creo que el correo electrónico no es el camino a seguir a menos que quieras que Silicon Valley escriba la audiencia gime.

Estaba tratando de hacer análisis forenses sobre un idiota y descubrí que si usas gmail e inicias sesión en el servidor de Google, pierdes la IP de la persona que crea el correo electrónico. Por supuesto que Google tiene esos datos, pero no es como si pudiera generar una orden judicial. Me cabreé, pero engañé al idiota y encontré su IP a través del puerto 80 de acceso.(Hay esquemas para ocultar su IP del acceso al puerto 80, como una VPN, pero bloqueo muchas VPN en mi servidor. Tor también se puede bloquear).

Seguiría prefiriendo el sistema silencioso ping. Todo lo demás son barbas de cuello escribiendo en teclados.

Comentarios

• No ‘ t olvide piratear la Gibson en algún lugar de ese proceso.
• SPF no se usa para averiguar qué servidor usó. SPF (si lo emplea el dominio ‘ del remitente) es un medio para permitir que los MTA receptores detecten el correo procedente de fuentes no autorizadas. Algunos SPF importantes permitirían miles de millones de servidores, simplemente porque esos grandes proveedores utilizan miles de millones de servidores de correo saliente. SPF no tiene nada que ver con envío . Lo más cercano a rastrear el origen (desde dentro del correo) es el encabezado Received: – que puede ser cortado o llenado con información falsa engañosa por cualquier servidor antes del primero de una cadena ininterrumpida de servidores en los que confía

No, la ubicación no se rastrea para todos en los registros , a menos que esté bajo la vigilancia / capó antes. El último recurso aquí, generalmente, si no se habilita ningún rastreo de ubicación anterior, es una estación base donde el nodo portador de IP estaba activo en ese momento.