У статті про пошук у Google говорили про те, як вивчити минуле партнерів і претендентів, провести моніторинг конкурентів і розслідувати правопорушення за допомогою пошукових систем. Сьогодні поговоримо про використання мережевих технологій у ресерчі, від теорії до практики.
Дослідження мережевої інфраструктури дозволить знайти зв'язки між сайтами, а, отже, розширити географію пошуку і зібрати більше цифрових доказів. Базова інформація - назва компанії (наприклад, Google LLC) і домен (google.com) - укаже шлях до інших доменів і субдоменів, зареєстрованих компанією, а також до контактів власників або адміністраторів домену. Історія DNS-записів і IP-адреса допоможе поринути у минуле компанії: знайти неактивні сайти компанії, виявити зміни у записах DNS, запобігти злочинній діяльності.
Частина 1. DNS: Адресна книга інтернету
DNS
Комп'ютери звертаються один до одного за допомогою номерів, які називаються IP-адресами (наприклад: 74.125.131.100 - IP-адреса Google). Проте запам'ятовувати послідовність цифр - нелегке завдання для людей, які звикли називати речі іменами. DNS (Domain Name System) - адресна книга інтернету, пов'язує імена сайтів з IP-адресами. Перетворює домени, які вводимо в адресному рядку браузера (наприклад, www.google.com), в IP-адреси веб-серверів. Система DNS працює наступним чином:
1. Користувач підключається до мережі інтернет через інтернет-провайдера;
2. В адресному рядку браузера вводить URL-адресу, наприклад www.google.com;
3. Комп'ютер запитує у DNS-серверів інтернет-провайдера конкретну IP-адресу для www.google.com;
4. Як тільки DNS-сервер, що містить IP-адресу для www.google.com, знайдений, DNS-сервер передає адресу комп'ютеру, а комп'ютер - браузеру;
5. Браузер встановлює з'єднання з сервером, використовуючи отриману IP-адресу, отримає сторінку www.google.com і відображає на екрані комп'ютера.
|
Інструменти ресерчера
Наступні сервіси збирають інформацію про домени, мережі, DNS, IP. Вони використовуються для розуміння, які ще проекти розміщені на IP головного сайту компанії, чи належать вони компанії. Зручність myip.ms у тому, що він відображає історію зміни IP.
Архів ресурсних записів DNS допомагає виявити підозрілі зміни у записах DNS і запобігти шахрайству або злочинності:
Частина 2. WHOIS
WHOIS
Обов'язкове правило реєстрації домену - надання контактної інформації власника домену (реєстранта), яка зберігається у реєстраторів доменних імен, а також у каталозі WHOIS.
WHOIS (англ. who is - «хто це?») - загальнодоступний мережевий каталог, який містить контактну і технічну інформацію про реєстрантів. Ті, хто бажає дізнатися про те, хто стоїть за сайтом або доменним іменем, можуть провести відповідний пошук у службі каталогів WHOIS. Це не єдина централізована база даних. Реєстраційні дані зберігаються у різних точках, ними керують різні реєстратори. Правила реєстрації у міжнародних доменах (.com .net .org) встановлюються ICANN (корпорацією з керування доменними іменами і IP-адресами). Правила реєстрації у національних доменах (.ua .de .ru) встановлюються реєстраторами або органами влади відповідних країн.
Низка реєстраторів доменів надають послугу “Захист приватності” (WHOIS privacy), яка приховує інформацію про власника або адміністратора доменного імені в результатах пошуку в каталозі WHOIS.
Інструменти ресерчера
Ресерчери використовують інформацію каталогу WHOIS для підтвердження зв'язків між проектами і пошуком нових проектів власника. Знайти контакти власника домену допоможуть сервіси:
- https://whois.domaintools.com/
Далі використовуємо зворотній WHOIS-пошук доменів, зареєстрованих на одного й того ж власника. Достатньо знати ім'я, контактний телефон або e-mail реєстранта:
- https://viewdns.info/reversewhois/
Сервіси, які зберігають історичну інформацію WHOIS-каталогу, дозволять дізнатись, хто реєстрував сайт до перепродажу або до моменту активації WHOIS Privacy:
- https://community.riskiq.com/
- https://whois.easycounter.com/
|
Старосєк Артем, CEO в ресерч компанії Molfar.bi |
Частина 3. Веб-аналітика
Веб-аналітика
Сервіс Google Analytics надає статистику відвідувачів веб-сайтів. Для збору даних у html-код сайту вбудовується скрипт з унікальним ID у форматі UA-12345678. За таким же принципом працюють сервіси Google AdSense, Amazon і AddThis. Іноді власники використовують один аккаунт Google Analytics і один ID на всіх сайтах, які входять до групи. У такому випадку, знаючи ID, знайдемо сайти, які належать одному власнику.
Інструменти ресерчера
Для пошуку ID веб-аналітики потрібно відкрити код сторінки і виконати пошук за тегами:
- Google AdSense: pub- або ca-pub;
- Google Analytics: UA-;
- Amazon: &tag=;
- AddThis: pubid.
Далі використовуємо сервіси для зворотного пошуку сайтів по ID веб-аналітики. NerdyData, на відміну від RiskIQ і DNSlytics, шукає будь-який фрагмент коду.
- https://community.riskiq.com/
- https://dnslytics.com/reverse-analytics
Частина 4. Швейцарський ніж ресерчера
Що буде, якщо поєднати більшість аспектів аналізу мережевої інфраструктури в одному сервісі? RiskIQ Community Edition і ViewDNS - універсальні інструменті для збору даних про домен або IP-адресу, “єдині центри” для старту розслідування.
RiskIQ Community Edition відображає:
- історію зміни DNS-записів, IP-адрес, WHOIS-даних
- інформацію про плагіни та скрипти, які використовує домен, трекери веб-аналітики, сертифікати
- список сайтів, які посилаються на домен (розділ OSINT)
- домени, до яких звертався сайт, через API або віддаленого завантаження контенту (розділ Host Pairs)
ViewDNS включає 25 інструментів для збору даних про веб-сайт або IP-адресу, серед яких:
- Reverse IP Lookup - зворотний пошук IP-адреси, щоб визначити інші домени, які розміщені на тому ж сервері. Це корисно для пошуку фішингових сайтів або ідентифікації інших сайтів на сервері спільного хостингу.
- IP Location Finder і IP History показують поточне місцезнаходження IP-адреси і історію IP-адрес домену, відповідно.
- Domain / IP Whois - WHOIS-дані домену або IP-адреси.
- Reverse Whois Lookup за іменем або e-mail знаходить домени, у WHOIS яких вказана ця інформація.
Ресерчери використовують інструменти аналізу мережевої інфраструктури для комп'ютерно-технічної експертизи даних, перевірки фактів, дослідження конкурентів, відстеження спамерів і фішингових сайтів. Введення у 2018 році Загального регламенту захисту даних (GDPR) в Євросоюзі торкнулось конфіденційності WHOIS-даних - стало складніше знайти власника домену. Проте там, де приховані WHOIS-дані, проєкти компанії розташовані на одному IP або використовують спільний ID Google Analytics. Використання різних векторів під час збору інформації допоможе знайти хоча б одні відчинені двері.
