Ist neugierige Katze wirklich anonym?

Beste Antwort

Nein, nicht ganz. Die Website beschreibt es wie folgt: Curious Cat ist ein soziales Q&A-Netzwerk, das täglich von einer Million Menschen genutzt wird und in dem Sie Fragen stellen und erhalten können, manchmal anonym . Es ist großartig, neue Leute kennenzulernen oder sich mit Ihren Followern aus anderen sozialen Netzwerken auszutauschen.“

Die IP-Adresse von jemandem auf Twitter finden

In diesem Artikel möchten wir untersuchen, wie Sie anonyme Posts mit einem Standardtool zur Analyse des Netzwerkverkehrs lesen können . Diese Technik ermöglicht es uns zu wissen, wer einen anonymen Kommentar in einem Blog gepostet hat, ohne dass Inhaltsänderungen oder eine spezielle Kommunikation mit dem Eigentümer der Website erforderlich sind. Es ist nur ein weiterer Ansatz für diejenigen, die an Informationssicherheit und Datenschutz durch Verschleierung interessiert sind.

Es stimmt, dass die öffentliche Registrierung bei neugieriger Katze seit Juli 2009 standardmäßig deaktiviert ist, aber die meisten Benutzer ändern ihre nicht Standardeinstellungen, die von neugierigen Katzen bereitgestellt werden, und einige registrieren immer noch Konten, um sie später zu verwenden (von Januar 2012 bis heute wurden über 16 % aller Posts von registrierten Benutzern erstellt). Auch wenn jemand eine neugierige Katze von einem öffentlichen Gerät wie einer Bibliothek oder einem Internetcafé aus besucht, wird er gezwungen, sich standardmäßig zu registrieren, oder der Kommentar wird nicht gepostet. Es gibt jedoch immer noch eine Möglichkeit, diese Posts zu analysieren, selbst wenn Benutzer ihre Einstellungen nicht ändern und auf ihrem Weg zur neugierigen Katze eine vollständige Spur von Informationen im Netzwerkverkehr hinterlassen.

Das Ziel Dieser Artikel soll demonstrieren, wie uns die Analyse des Netzwerkverkehrs dabei helfen kann, anonyme Kommentare zu lesen, die auf neugierige Katze gepostet wurden, ohne dass Änderungen oder eine spezielle Kommunikation mit den Administratoren von neugierigen Katzen erforderlich sind, solange Sie wissen, woher der Beitrag stammen könnte. Aus Sicht eines Angreifers kann dies für eine gezielte Überwachung nützlich sein.

Wir möchten einen vollständigen Posting-Fluss analysieren, indem wir alle verfügbaren Informationen verwenden, die aus DNS-, HTTP- und HTTPS-Paketen extrahiert wurden, wie z. B.: Client-Hostname ( implizit), User-Agent, lokale und entfernte IP-Adressen, Browserfähigkeit des Benutzers (User-Agent/Bildschirmauflösung/Plug-Ins/usw.), Kommentarinhalt (Informationsleck) und Zeitstempel.

Dieser Artikel berücksichtigt die folgenden Fälle:

Die Person, die von einem registrierten Konto mit Standardeinstellungen gepostet wurde. Die Person hat vor dem Posten weder das Kontrollkästchen „Anonym posten“ geändert noch einen benutzerdefinierten Hostnamen mithilfe des Kontrollkästchens auf ihrer Profilseite festgelegt, aber sie hat die Website von einem öffentlichen Computer aus besucht oder den Modus „Privates Surfen“ in ihrem Browser verwendet ein anonymes Gastkonto, sodass wir nichts über sie wissen, außer dem, was sie uns selbst direkt im Kommentar gesagt haben.

Wir können herausfinden, wer jeden Beitrag erstellt hat, wenn diese Bedingungen erfüllt sind.

Wir werden Wireshark verwenden, ein kostenloses Open-Source-Tool zur Analyse des Netzwerkverkehrs um den Netzwerkverkehr von neugierigen Katzen-Websites zu erfassen und zu analysieren, die in jedem Fall erfasst wurden.

Ist es wirklich anonym? Das Curious-Cat-Experiment

Schauen wir uns anhand der letzten 12 Kommentare, die am 30. Juli 2012 gepostet wurden, einige Beispiele an. Die Rohdaten aller Posts finden Sie in diesem ZIP. Wir werden sie als unser Trainingskorpus verwenden, wir werden nichts zu diesen Beiträgen kommentieren, außer dem, was dort bereits vorhanden ist: Nach der Analyse wurde nichts unternommen, keine Kommunikation mit dem Curious Cat-Team oder den Administratoren, noch waren Inhaltsänderungen erforderlich. Befolgen Sie einfach die nachstehenden einfachen Anweisungen, um Ihren eigenen Datenverkehr von neugierigen Katzen oder anderen Blogs/Websites zu analysieren, die Sie analysieren möchten. Wir verwenden aktuelle Daten, daher sollten Sie in der Lage sein, die in dieser Studie präsentierten Ergebnisse zu reproduzieren.

VERSUCHEN SIE EINE NEUGIERIGE KATZE MIT TWITTER, VERURTEILEN SIE MICH NICHT

Der Benutzer hat diesen Kommentar um 21:56 Uhr (Ortszeit) abgegeben, aber er war erst um 22:02 Uhr sichtbar, und wir können das sogar sehen Er aktualisierte die Seite erneut um 22:03, bevor er ging. Ziemlich einfach, wenn man weiß, wonach man suchen muss. In diesen Beispielen und in diesem Dokument ist es wichtig zu beachten, dass Zeitstempel relativ (oder lokal) und nicht absolut sind, was bedeutet, dass sie alle zu demselben Zeitfenster gehören, und Heuristiken angewendet werden können, um fundierte Vermutungen anzustellen, wenn es unmöglich ist, sie zu bestimmen eine genaue Uhrzeit von etwas.

Lassen Sie uns eintauchen und einen Beispiel-DNS-Eintrag für diese IP-Adresse ansehen, die wir analysieren möchten:

Abb.2 – Subs, die Sie gepostet haben from (dnsdumpster) Abb.3 – Kommentare zu Ihrem Konto (neugierige Katze)

DNS-Einträge geben die folgenden Informationen preis: Name des Benutzers, der diese Domain registriert hat, was bedeutet, dass wir wissen, dass jemand „angerufen“ hat. subs you“ registrierte diesen merkwürdigen Katzenaccount. Wir werden diesen Namen später als Ausgangspunkt für anfängliche Suchen/Raten auf anderen Websites verwenden. Beachten Sie, dass selbst wenn er seinen Profilnamen ändert, es immer noch möglich ist, diese alte von ihm registrierte Subdomain zu finden, was uns helfen kann, sein aktuelles Profil zu verfolgen.

Wie wir dort in Abb. 2 sehen können ist eine Website namens dnsdumpster, die im Internet getätigte DNS-Anfragen aufzeichnet und für alle Interessierten öffentlich zugänglich macht. Durch die Abfrage dieser Website konnten wir herausfinden, dass die Domain „subs you“ als Heimatadresse (A-Eintrag) für einige der unten aufgeführten öffentlichen IP-Adressen verwendet wurde:

Abb.4 – Teilliste der öffentlichen IP-Adressen mit Subs Ihrer Domain (dnsdumpster) Abb. 5 – Kommentare mit Ihrem Konto (neugierige Katze)

Sehen wir uns nun den HTTP/HTTPS-Verkehr und den Inhalt selbst an:

Abb. 6 – Posten eines Kommentars (neugierige Katze)

Die POST-Anforderung enthält nicht viel Interessantes, sie enthält nur seinen Profilnamen. Wenn wir uns die Antwortheader ansehen, können wir sehen, dass er eine externe Domain abgefragt hat: „www.po1ntblank-studio.fr“. Point Blank ist eigentlich ein Entwicklungsstudio für Videospiele mit Sitz in Frankreich und hat sogar ein eigenes Forum. Wie Sie aus Abb. 6 ersehen können, wissen wir bereits, dass dieser Benutzer eine Beziehung zu dieser Firma hat, also suchen wir dort nach weiteren Hinweisen über ihn…

Abb.7 – Kommentar gepostet von „subs you“ im Forum www.pointblank-studio.fr Abb.8 – Kommentare mit Ihrem Konto (neugierige Katze)

Das erste, was uns auffällt, ist, dass ein Benutzer namens „Subs you“ in diesem Forum gemacht hat die gleiche Art von Kommentar wie er auf neugierige Katze gemacht hat, und seine IP-Adresse wurde verwendet, um auf dieses Forum zuzugreifen . Es bedeutet auch, dass die Website des Unternehmens (auf der jeder Kommentar gehostet wurde) indirekt Informationen über einen seiner Mitarbeiter durchsickern ließ. Wenn wir uns außerdem die Kommentare selbst ansehen, können wir einige interessante Dinge sehen:

Abb.9 – Eine gespeicherte Antwort eines anderen Benutzers (Forum auf pointblank-studio.fr) Abb.10 – Kommentare mit Ihrem Konto (neugierige Katze)