Czy można wysłać e-maila z czyjegoś adresu IP?
Od wczoraj sporo osób zadaje nam wiele pytań dotyczących tego “czy możliwe jest nieuprawnione wykorzystanie czyjegoś adresu IP” w związku z sytuacją, która spotkała jednego z dziennikarzy Gazety Wyborczej. Sprawę dobrze przedstawiły Fakty TVN, a dodatkowo sam dziennikarz wydał oświadczenie, które można przeczytać tutaj.
Co się stało?
W skrócie: w środę poseł PiS Jerzy Materna otrzymał e-maila z pogróżkami. Śledczy ustalili adres IP, powiązany z adresem e-mail materna.end@op.pl, z którego wysłano wiadomość i zwrócili się do ISP odpowiedzialnego za ten adres IP. ISP (czyli operator łącza) wskazał dane abonenta, który w tym czasie z tego adresu IP korzystał. Policjanci z postanowieniem przeszukania i zabezpieczenia sprzętu zapukali do wskazanego lokalu i okazało się, że …drzwi otworzył im dziennikarz zielonogórskiej Wyborczej.
Podobne e-maile z pogróżkami, choć najwyraźniej z innych adresów IP, w mniej-więcej tym samym czasie dostali także posłowie innych ugrupowań (wrzucili je na Twittera: Krzysztof Śmiszek, Arkadiusz Myrcha). Sprawę opisało oko.press.
Jak mogło dojść do użycia adresu IP dziennikarza?
Na potrzeby tego tekstu nie wnikamy w to, kto jest faktycznym sprawcą. Mógł to być ten dziennikarz (choć byłby to ruch wybitnie samobójczy) ale równie dobrze mógł to być ktoś inny. Informacje potrzebne do takich ustaleń może mieć jedynie prokuratura. Nasz artykuł pełni inną rolę — chcemy nim zwrócić uwagę, że “adres IP” to bardzo słaby dowód jeśli chodzi o wskazanie bezpośredniego sprawcy tego typu incydentów.
Dlaczego? Bo do nieautoryzowanego skorzystania z cudzego łącza internetowego może dojść na kilka sposobów. Poniżej podajemy te najbardziej prawdopodobne, choć w losowej kolejności:
Zhackowanie routera. Sprawca mógł zdalnie, od strony internetu, przełamać zabezpieczenia routera Wi-Fi dziennikarza. To możliwe i różne grupy regularnie skanują internet w poszukiwaniu dziurawych routerów (por. Ponad 1,2 milionów routerów Polaków można zhackować). Po przejęciu czyjegoś routera, sprawca ma możliwość korzystania z łącza internetowego ofiary i wszystko co zrobi, “pójdzie na konto” właściciela routera. Znamy wiele przypadków, w których zhackowano komuś router i wykorzystano ten fakt do popełnienia przestępstwa. Policja w pierwszej kolejności puka do właściciela routera, a dopiero ewentualne dalsze ślady decydują, gdzie “zapuka” dalej. Takie ataki są możliwe, bo niestety nie wszyscy dostawcy internetu odpowiednio zabezpieczają dostęp do routerów swoich klientów od strony tzw. WAN-u. A i sami klienci — jeśli korzystają z własnych routerów, kupowanych np. w Media Markt — potrafią je odpowiednio zabezpieczyć i pamiętają o ich regularnych aktualizacjach.
To dobry moment aby przerwać lekturę tego artykułu i wgrać TERAZ aktualizację na swoim routerze. Jeśli nie wiesz jak to zrobić, ani gdzie w mieszkaniu jest Twój router, poproś o pomoc swoje dzieci lub inną bliską Ci techniczną osobę.
Zhackowanie komputera. Sprawca nie musiał atakować routera (nie zawsze jest to zresztą możliwe), ale mógł zainfekować komputer dziennikarza i w ten sposób uzyskać zdalny dostęp zarówno do jego danych, jak i do łącza internetowego. Podesłanie złośliwego załącznika, udostępnienie zainfekowanego pliku na torrentach, SMS odsyłający do fałszywej aplikacji paczkomatów — możliwości jest wiele. To czy zabrane dziennikarzowi urządzenia nosiły ślady złośliwego oprogramowania — a jeśli tak, to jakiego botnetu był on elementem — zapewne będą sprawdzać biegli.
Dodatkowy wariant: zaproszenie na stronę ze skryptem do tunelowania. Nie zawsze trzeba komuś infekować urządzenia, aby móc w sposób nieuprawniony skorzystać z jego łącza internetowego. Czasem wystarczy, że ofiara (tu: dziennikarz) zostanie zaproszona na odpowiednio przygotowaną stronę internetową, na którą wejdzie swoją przeglądarką internetową i na której jest skrypt umożliwiający tzw. tunelowanie ruchu przez przeglądarkę odwiedzającej stronę ofiary. Jednym z przykładów znanego narzędzia, które wspiera jest BeEF, ale trzeba pamiętać, że ta technika ma pewne ograniczenia, przez to tunelowanie nie jest tak swobodne jak metody wskazane wcześniej.
- Na marginesie — jeśli komputer został wyłączony lub nie znajdował się w lokalu w chwili wysłania e-maila, bo jak informuje Gazeta Wyborcza, dziennikarza nie było w mieszkaniu kiedy e-mail został wysłany, to oczywiście nie jest on źródłem ataku. Ale nawet jeśli komputer był poza lokalem (lub został wyłączony, co pokażą logi) to domowy router prawdopodobnie dalej był aktywny, więc patrz pkt. 1.
- Wykupienie dostępu do przejętego komputera. Sprawca nie musiał sam infekować dziennikarza. Dostęp któregoś z jego urządzeń, które zostało w przeszłości zainfekowane, mógł być wystawiony w internecie na sprzedaż. Listy tzw. serwerów proxy, które umożliwiają “tunelowanie” ruchu internetowego przez cudze łącze to nic nowego. Od dawna przestępcy sprzedają lub udostępniają za darmo hosty, do których można się podłączyć i potem z nich korzystać z internetu (używając ich adresu IP) aby np. wysyłać spam, czy — jak w tym przypadku — pogróżki. W nagłówkach e-maila zostaje wtedy adres IP serwera proxy (czyli przejętego komputera), a nie faktycznego sprawcy. Oto przykład jednej z tysięcy takich list udostępnianej w darknecie na przestępczym forum:
Podpięcie się do cudzej sieci Wi-Fi. Wszystkie wcześniejsze metody nie wymagały obecności fizycznej w okolicy mieszkania dziennikarza. Ta wymaga, co znacznie podnosi koszt i ryzyko ataku, dlatego zostawiliśmy ją na koniec, jako w naszej ocenie najmniej prawdopodobną, ale jednak możliwą. Sprawca mógł przecież podejść fizycznie pod lokal dziennikarza i podpiąć się do jego sieci Wi-Fi. To możliwe. A czy łatwe? To już zależy od modelu routera i konfiguracji zabezpieczeń sieci Wi-Fi:
– Atak, na który podatne są prawie wszystkie sieci Wi-Fi
– Reaver – program do hackowania sieci Wi-Fi
– Uwaga na funkcję WPS Waszych routerów Wi-Fi
– Uwaga na dziurawe routery od T-Mobile!
– Wykradł hasło do sieci Wi-Fi przez dziurę w… żarówce.
Nie zawsze trzeba się włamywać! Hasło do sieci mógł też przekazać sprawcy któryś ze znajomych dziennikarza. Ten wektor ataku byłby najbardziej pasujący do hipotezy, że ktoś z otoczenia dziennikarza chciał konkretnie jego wrobić w taką aferkę. Ale czy faktycznie chciał? Nie zawsze sytuacja jest tak skomplikowana i zahaczająca o teorie spiskowe jak nam się wydaje. Przeczytajcie kolejny akapit.
Jeszcze jedna, ważna uwaga
I na koniec, coś niezbyt “technicznego” ale niesamowicie istotnego. Zauważcie, że policja pukając do drzwi mogła w ogóle nie wiedzieć, że lokal wynajmuje dziennikarz Wyborczej. Miała adres abonenta, a to nie to samo. Dziennikarz wspomniał przecież w swoim oświadczeniu, że wynajmował mieszkanie, a więc ten lokal nie był przypisany do jego danych osobowych.
Kluczowe jest tu ustalenie, kto podpisał umowę z dostawcą internetu: właściciel mieszkania czy najemca (dziennikarz). My znamy odpowiedź. Z pozyskanych przez nas informacji wynika, że łącze internetowe, do którego przypisany był adres IP wykorzystany do wysłania pogróżek było zarejestrowane na dane właścicieli mieszkania, a nie wynajmującego je dziennikarza.
Skoro umowę podpisał właściciel mieszkania, to policja dowiedziała się o tym, że drzwi otwiera im dziennikarz dopiero “na realizacji”. A to oznacza, że równie dobrze sam sprawca całego zamieszania, który wysłał pogróżki, też mógł w ogóle nie wiedzieć, że do wysyłki e-maila użył urządzeń, które akurat należą do …dziennikarza mediów niezbyt PiS-owi sprzyjających. Ale tak wyszło i sprawa stała się medialna…
Nie wiemy, czy sprawca chciał tylko obrazić polityka PiS, czy uknuł taką intrygę, żeby przy okazji wrobić w to dziennikarza i konkretnie na niego od dawna polował, próbując zainfekować mu jakieś urządzenie a potem wykorzystać je do ataku. Może przeglądając przejęte hosty zauważył, że jeden należy do dziennikarza i wpadł na taki pomysł jego skompromitowania. A może… gdybać można długo, ale to zadanie dla prokuratury. My zwracamy jednak uwagę, że czasem przypadek sprawia iż incydent, który z punktu widzenia obserwatora nieźle “ryje beret” i sprawia wrażenie “zaawansowanego ataku” oraz staje się źródłem różnych teorii spiskowych (bo przecież, kto jak nie Wyborcza chce przywalić PiS-owi), w rzeczywistości okazuje się …przypadkiem (por. Myślał, że go podsłuchują…). Czy z tego samego adresu IP grożono też pozostałym dwóm posłom? Tego też nie wiemy.
Zainfekowanych komputerów wykorzystywanych do wyprowadzania dalej różnych ataków w Polsce jest sporo. Niektóre z nich należą do sklepikarzy, niektóre do bibliotekarzy, czy nawet imigrantów albo księży. A niektóre do dziennikarzy Wyborczej.
Na koniec podkreślmy jeszcze raz — nie wiemy kim jest sprawca. I wy też tego nie wiecie. Tego nie da się ocenić bez dostępu do materiału dowodowego. Ale teraz przynajmniej macie więcej informacji na temat tego, na ile sposobów może dojść do wysłania e-maila z cudzego IP.
0 komentarzy