У статті про пошук у Google говорили про те, як вивчити минуле партнерів і претендентів, провести моніторинг конкурентів і розслідувати правопорушення за допомогою пошукових систем. Сьогодні поговоримо про використання мережевих технологій у ресерчі, від теорії до практики.
Дослідження мережевої інфраструктури дозволить знайти зв'язки між сайтами, а, отже, розширити географію пошуку і зібрати більше цифрових доказів. Базова інформація - назва компанії (наприклад, Google LLC) і домен (google.com) - укаже шлях до інших доменів і субдоменів, зареєстрованих компанією, а також до контактів власників або адміністраторів домену. Історія DNS-записів і IP-адреса допоможе поринути у минуле компанії: знайти неактивні сайти компанії, виявити зміни у записах DNS, запобігти злочинній діяльності.
Частина 1. DNS: Адресна книга інтернету
DNS
Комп'ютери звертаються один до одного за допомогою номерів, які називаються IP-адресами (наприклад: 74.125.131.100 - IP-адреса Google). Проте запам'ятовувати послідовність цифр - нелегке завдання для людей, які звикли називати речі іменами. DNS (Domain Name System) - адресна книга інтернету, пов'язує імена сайтів з IP-адресами. Перетворює домени, які вводимо в адресному рядку браузера (наприклад, www.google.com), в IP-адреси веб-серверів. Система DNS працює наступним чином:
1. Користувач підключається до мережі інтернет через інтернет-провайдера;
2. В адресному рядку браузера вводить URL-адресу, наприклад www.google.com;
3. Комп'ютер запитує у DNS-серверів інтернет-провайдера конкретну IP-адресу для www.google.com;
4. Як тільки DNS-сервер, що містить IP-адресу для www.google.com, знайдений, DNS-сервер передає адресу комп'ютеру, а комп'ютер - браузеру;
5. Браузер встановлює з'єднання з сервером, використовуючи отриману IP-адресу, отримає сторінку www.google.com і відображає на екрані комп'ютера.
Інструменти ресерчера
Наступні сервіси збирають інформацію про домени, мережі, DNS, IP. Вони використовуються для розуміння, які ще проекти розміщені на IP головного сайту компанії, чи належать вони компанії. Зручність myip.ms у тому, що він відображає історію зміни IP.
Архів ресурсних записів DNS допомагає виявити підозрілі зміни у записах DNS і запобігти шахрайству або злочинності:
Частина 2. WHOIS
WHOIS
Обов'язкове правило реєстрації домену - надання контактної інформації власника домену (реєстранта), яка зберігається у реєстраторів доменних імен, а також у каталозі WHOIS.
WHOIS (англ. who is - «хто це?») - загальнодоступний мережевий каталог, який містить контактну і технічну інформацію про реєстрантів. Ті, хто бажає дізнатися про те, хто стоїть за сайтом або доменним іменем, можуть провести відповідний пошук у службі каталогів WHOIS. Це не єдина централізована база даних. Реєстраційні дані зберігаються у різних точках, ними керують різні реєстратори. Правила реєстрації у міжнародних доменах (.com .net .org) встановлюються ICANN (корпорацією з керування доменними іменами і IP-адресами). Правила реєстрації у національних доменах (.ua .de .ru) встановлюються реєстраторами або органами влади відповідних країн.
Низка реєстраторів доменів надають послугу “Захист приватності” (WHOIS privacy), яка приховує інформацію про власника або адміністратора доменного імені в результатах пошуку в каталозі WHOIS.
Інструменти ресерчера
Ресерчери використовують інформацію каталогу WHOIS для підтвердження зв'язків між проектами і пошуком нових проектів власника. Знайти контакти власника домену допоможуть сервіси:
- https://whois.domaintools.com/
Далі використовуємо зворотній WHOIS-пошук доменів, зареєстрованих на одного й того ж власника. Достатньо знати ім'я, контактний телефон або e-mail реєстранта:
- https://viewdns.info/reversewhois/
Сервіси, які зберігають історичну інформацію WHOIS-каталогу, дозволять дізнатись, хто реєстрував сайт до перепродажу або до моменту активації WHOIS Privacy:
- https://community.riskiq.com/
- https://whois.easycounter.com/
Старосєк Артем, CEO в ресерч компанії Molfar.bi |
Частина 3. Веб-аналітика
Веб-аналітика
Сервіс Google Analytics надає статистику відвідувачів веб-сайтів. Для збору даних у html-код сайту вбудовується скрипт з унікальним ID у форматі UA-12345678. За таким же принципом працюють сервіси Google AdSense, Amazon і AddThis. Іноді власники використовують один аккаунт Google Analytics і один ID на всіх сайтах, які входять до групи. У такому випадку, знаючи ID, знайдемо сайти, які належать одному власнику.
Інструменти ресерчера
Для пошуку ID веб-аналітики потрібно відкрити код сторінки і виконати пошук за тегами:
- Google AdSense: pub- або ca-pub;
- Google Analytics: UA-;
- Amazon: &tag=;
- AddThis: pubid.
Далі використовуємо сервіси для зворотного пошуку сайтів по ID веб-аналітики. NerdyData, на відміну від RiskIQ і DNSlytics, шукає будь-який фрагмент коду.
- https://community.riskiq.com/
- https://dnslytics.com/reverse-analytics
Частина 4. Швейцарський ніж ресерчера
Що буде, якщо поєднати більшість аспектів аналізу мережевої інфраструктури в одному сервісі? RiskIQ Community Edition і ViewDNS - універсальні інструменті для збору даних про домен або IP-адресу, “єдині центри” для старту розслідування.
RiskIQ Community Edition відображає:
- історію зміни DNS-записів, IP-адрес, WHOIS-даних
- інформацію про плагіни та скрипти, які використовує домен, трекери веб-аналітики, сертифікати
- список сайтів, які посилаються на домен (розділ OSINT)
- домени, до яких звертався сайт, через API або віддаленого завантаження контенту (розділ Host Pairs)
ViewDNS включає 25 інструментів для збору даних про веб-сайт або IP-адресу, серед яких:
- Reverse IP Lookup - зворотний пошук IP-адреси, щоб визначити інші домени, які розміщені на тому ж сервері. Це корисно для пошуку фішингових сайтів або ідентифікації інших сайтів на сервері спільного хостингу.
- IP Location Finder і IP History показують поточне місцезнаходження IP-адреси і історію IP-адрес домену, відповідно.
- Domain / IP Whois - WHOIS-дані домену або IP-адреси.
- Reverse Whois Lookup за іменем або e-mail знаходить домени, у WHOIS яких вказана ця інформація.
Ресерчери використовують інструменти аналізу мережевої інфраструктури для комп'ютерно-технічної експертизи даних, перевірки фактів, дослідження конкурентів, відстеження спамерів і фішингових сайтів. Введення у 2018 році Загального регламенту захисту даних (GDPR) в Євросоюзі торкнулось конфіденційності WHOIS-даних - стало складніше знайти власника домену. Проте там, де приховані WHOIS-дані, проєкти компанії розташовані на одному IP або використовують спільний ID Google Analytics. Використання різних векторів під час збору інформації допоможе знайти хоча б одні відчинені двері.