Una delle domande più frequenti nel forum è su come si possa identificare una persona da un indirizzo IP, chi si nasconde dietro l' Indirizzo IP
Per chiarire meglio di cosa stiamo parlando invito a leggere Intrusioni Difesa e Contromisure e FAQ significato di IP. Il motivo per cui spesso ci interesserebbe conoscere chi si nasconde dietro un IP potrebbe essere conoscere chi prova ad effettuare un portscan sul nostro computer, chi ci invia virus in e-mail, chi ci invia spam, chi prova ad attaccare il nostro sito e tanti altri ancora.
Trovare l’identità che si nasconde dietro un indirizzo IP è una cosa che un normale cittadino non può fare, infatti sono solo gli internet service provider a sapere a quale utente ,in quel momento , è stato assegnato un IP .
I providers ,secondo il Codice privacy, hanno l’obbligo di conservazione dei dati per sei mesi per finalità di accertamento e repressione dei reati , prorogabili di altri sei mesi in caso di reati particolarmente gravi (terrorismo, eversione dell’ordinamento dello Stato e reati contro il sistema informatico). Inoltre il Decreto Pisanu ha bloccato l’eliminazione dei dati inerenti il traffico telematico fino al 31 dicembre del 2007, per finalità di lotta al terrorismo aumentando quindi la durata a circa 30 mesi.
Legalmente per dati relativi al traffico telematico ,si intendono i dati concernenti l’instradamento, la durata, il tempo o il volume di una comunicazione, il protocollo usato, l’ubicazione dell’apparecchio terminale di chi invia o riceve, la rete sulla quale la comunicazione si origina o termina, nonché i dati inerenti l’inizio, la fine o la durata di un collegamento.
Chiarito quindi che solo i providers mantengono questi dati e li possono rilasciare solo sotto richiesta delle autorità, possiamo comunque ottenere con alcuni strumenti molte informazioni per identificare un IP Address .
NsLookup
Questo strumento è un comando presente nella maggior parte dei sistemi operativi basta, infatti, in windows xp andare su Start --> Esegui --> digitare CMD --> e nella finestra di prompt che si apre digitare
nslookup e il numero ip
Per ovvi motivi negli esempi sono stati censurati una parte degli IP Address mittente e destinatario con ( XX )
Esempio:
nslookup 83-184-26.XX
Premendo invio otterremo una cosa tipo:
Server: resolver1.opendns.com
Address: 208.67.222.222
Nome: d83-184-26-78.cust.tele2.it
Address: 83-184-26.XX
Le voci server e address contengono le informazioni sul dns usato per la richiesta nel mio caso il dns è 208.67.222.222 che è quello di OpenDns ( che consiglio a tutti di usare per la normale navigazione )
mentre le voci successive contengono il nostro risultato che come si legge dalla “ d83-184-26-XX.cust.tele2.it ” abbiamo quindi scoperto che quell’indirizzo ip appartiene al provider Tele2
Proviamo ora a localizzare il punto di accesso alla rete di quell’indirizzo IP possiamo farlo con il servizio .
Traceroute
Questo è un servizio diagnostico e ha lo scopo di analizzare i nodi su cui transitano i pacchetti dal mittente al destinatario. Credo che il servizio traceroute sia molto adatto a far comprendere come funzioni fisicamente internet . E’ interessante, infatti, notare che un pacchetto può fare anche il giro del mondo prima di arrivare a destinazione. Il collegamento tra due computer, infatti, passa attraverso un numero indefinito di altri computer e sistemi hardware come server, router e altri sistemi. Il servizio di traceroute riesce ad identificare ogni dispositivo che si attraversa fino ad arrivare al computer destinatario.
Anche questo servizio è presente in molti sistemi operativi ; su Linux, esiste il comando di shell tracepath ,
per Microsoft Windows occorre riaprire la finestra di prompt come descritto in precedenza e digitare tracert e il numero ip.
Seguendo il nostro esempio otterremo :
CODICE
C:\>tracert 83.184.26.XX
Rilevazione instradamento verso d83-184-26-XX.cust.tele2.it [83.184.26.XX] su un massimo di 30 punti di passaggio:
1 * * * Richiesta scaduta.
2 47 ms 48 ms 47 ms 192.168.100.1
3 * 47 ms * host1XX-173-static.33-88-b.business.telecomitalia.it [88.33.173.1XX]
4 49 ms 46 ms 47 ms r-na91-vl14.opb.interbusiness.it [80.21.163.13]
5 50 ms 51 ms 51 ms r-rm213-na71.opb.interbusiness.it [151.99.101.205]
6 61 ms 62 ms 61 ms r-tin2-pomezia-rm157.opb.interbusiness.it [151.99.98.10]
7 61 ms 60 ms 59 ms r-mi100-vl3.opb.interbusiness.it [151.99.75.136]
8 61 ms 65 ms 62 ms mil8-ibs-resid-5-it.mil.seabone.net [195.22.208.89]
9 61 ms 62 ms 61 ms cal1-core.pos2-1.swip.net [130.244.200.33]
10 61 ms 62 ms 62 ms mil2-core.pos8-0-0.swip.net [130.244.205.38]
11 63 ms 63 ms 63 ms mil1-core.gigabiteth4-0.swip.net [130.244.194.81]
12 64 ms 63 ms 63 ms milz-ncore-1.tengigabiteth1-4.swip.net [130.244.193.158]
13 64 ms 64 ms 63 ms mibz-ncore-1.tengigabiteth2-4.swip.net [212.151.185.205]
14 65 ms 64 ms 65 ms torz-ncore-1.tengigabiteth2-1.swip.net [212.151.185.202]
15 65 ms 65 ms 65 ms torz-mr-1.gigabiteth1-1.swip.net [212.151.158.50]
16 * * * Richiesta scaduta.
17 478 ms 125 ms 324 ms d83-184-26-XX.cust.tele2.it [83.184.26.XX]
Rilevazione completata.
Quello che vediamo è in realtà una tabella dove nella prima colonna è presente il nodo che attraversiamo nella seconda terza e quarta colonna sono espressi i tempi rilevati espressi in millisecondi (ms) Nell’ultima colonna abbiamo i nodi che attraversiamo con il loro IP tra parentesi
Analizzando quindi il risultato vediamo che
al nodo 4 leggiamo r-na91-vl14.opb.interbusiness.it questo secondo il nostro esempio siamo noi, il provider è interbusiness.it quindi Telecom Italia e se guardate bene nella stringa dns si nota la parolina na ( r-na91-vl14.opb.interbusiness.it) Vuol dire che ci stiamo connettendo da Napoli.
al nodo 5 notiamo che il nostro pacchetto passa per un altro server Telecom che è però presente a Roma
( r-rm213-na71.opb.interbusiness.it)
Il nodo 6 è un nodo Telecom Italia, ma è chiaramente leggibile la città Pomezia ( r-tin2-pomezia-rm157.opb.interbusiness.it)
al nodo 7 sempre un nodo di smistamento Telecom, ma a Milano ( r-mi100-vl3.opb.interbusiness.it )
al nodo 8 le cose cambiano si passa dalla rete Telecom Italia a seabone.net per capire su quale rete siamo ci basta scrivere nel nostro browser l'indirizzo
www.seabone.net oppure utilizzare il servizio WhoIs di NoTrace da cui si nota che si tratta sempre di un provider associato a Telecom Italia. Dovrebbe essere, infatti, il nodo internazionale di Milano ( mil8-ibs-resid-5-it.mil.seabone.net )
Dal nodo 9 al 13 si legge invece swip.net ed utilizzando la tecnica descritta per il nodo 8 si nota che si tratta del Provider Tele2 la serie di nodi è a Milano ( mibz-ncore… )
Il nodo 14 e 15 sono altri due nodi del provider Tele2 , ma a Torino (torz…)
Il nodo 16 si legge invece “richiesta scaduta”, questo vuol dire che il nodo non risponde alla call del traceroute e possiamo quindi ipotizzare che si tratta di un firewall.
al nodo 17 invece si trova l’indirizzo ip che stavamo cercando . Spesso anche questo indirizzo ip è dotato di firewall e quindi risponde al trace route con “richiesta scaduta”, ma in questo caso è andata bene e abbiamo identificato l’ip 83.184.26.XX che si collega con Tele2 dal nodo di Torino e quindi con grosse probabilità il nostro utente è a Torino o nelle vicinanze.
Questo è il punto massimo a cui possiamo spingerci, il resto ad un normale cittadino non è concesso, è quindi impossibile conoscendo l’indirizzo ip di una persona risalire al nome.
Per avere qualche informazione in più, si potrebbe tentare di cercare l'indirizzo ip nei motori di ricerca. Spesso alcuni siti mostrano gli ip di chi scrive sui loro forum, di chi commenta i blog o dalle statistiche web. Magari da queste informazioni sarà possibile trarre qualcosa d’interessante, anche se in questo caso bisogna affidarsi molto alla fortuna, visto che gli ip possono essere dinamici e quindi cambiare ad ogni connessione oppure possono riguardare più utenti come per connessione del tipo di Fastweb .
Utilizzando le tecniche sopra descritte, possiamo avere le informazioni necessarie per contattare il provider nel caso quell’ip abbia provato ad attaccare il nostro computer , inviare spam ,a scrivere messaggi offensivi nel nostro blog ,ecc. e sperare che il servizio abuse del provider sia efficace, oppure si potrebbe contattare la polizia postale, e si è certi che saranno presi provvedimenti.
In rete sono presenti moltissimi tool che utilizzando le mappe di google visualizzano dove è dislocato un indirizzo IP in stile missione impossibile, ma la percentuale di successo di queste applicazioni è legata all’aggiornamento dei loro database. In realtà non si tratta di traceroute, ma di semplici database che conservano le coordinate geografiche e altre informazioni sugli indirizzi IP. Questi dati provengono da tutti gli enti internazionali preposti al rilascio di indirizzi IPv4 e vengono elaborati e venduti da società specializzate.
Esistono comunque molte altre applicazioni sia su web che software che fanno in realtà un trace route visualizzando i risultati dei passaggi dei nodi ( come abbiamo fatto manualmente in questo articolo ). Graficamente su una mappa e a mio parere sono molto più precisi dei database.
se qualcuno conosce altri modi li posti pure qui!
