Identyfikacja hejtera na forum: jak uzyskać numer portu źródłowego?

Z góry sorry, nietypowe pytanie, chcę pomóc koledze, który padł ofiarą nękania ze strony hejtera. Aby nie przedłużać, prokuratura umorzyła postępowanie ( kilkanaście hejterskich wpisów na forach biznesowych - prawdopodobne działanie konkurencji ) ponieważ rzekomo nie można określić/znaleźć numeru portu źródłowego z którego pochodzą wpisy. Odpowiedź operatora gsm na zapytanie prokuratury:
…"wskazany adres IP należy do grupy adresów nieprzydzielonych użytkownikom w sposób stały. Jest to adresacja IP z NAT, w której adresy IP są przydzielane dynamicznie i zmieniają się wielokrotnie w czasie trwania transmisji co powoduje, że tym samym adresem może się nim posługiwać wielu użytkowników. Dlatego w celu identyfikacji konieczne jest poznanie:

  • adres IP źródłowy,
  • numer portu źródłowego,
  • identyfikacja czasowa.
    Mając powyższe dane zidentyfikujemy numer MSISDN "…

Adres IP został wskazany operatorowi przez administratora strony na której są hejterskie wpisy, na marginesie - usuwa on takie wpisy ale odpłatnie !!!

Czy faktycznie do określenia autora wpisu jest niezbędny adres IP źródłowy a jeżeli tak to, czy administrator strony nie ma do niego dostępu?

Zależy jak ma skonstruowane zapisy do bazy, może mu wisi zapisywanie publicznego IP choćby z powodu częstego maskowania ich po przez TOR, VPN lub Proxy.

Tak na chłopski rozum :wink: , nie da się w takim razie ustalić numeru portu źródłowego?

a kto trzyma logi? operator forum może to mieć gdzieś i trzymać je tydzień i tylko dla wykrywania włamań. Operator ISP trzyma rejestr wszystkich połączeń (o zgrozo!), ale potrzebujesz konkretnej sygnatury czasowej. To zawęża wszystkie połączenia z forum do pewnego podzbioru IP. Powiedzmy, że łączyło się z nim wtedy 5 osób z tego samego ISP, z różnymi IP. Więc teraz potrzebujesz wiedzieć, które to było konretnie połączenie (nie poznasz po tym, co było przesyłane, bo połączenie jest po TLS). Toteż potrzebujesz wiedzieć od kogo przyszło. Albo po MAC albo po porcie źródłowym - to drugie z nutką szczęścia o wartości (1 /( 65535 - 1024) )^n :: 2 =< n =< 5, o ile dobrze liczę.

Czyli musisz wiedzieć skąd/czym połączył się ktoś do forum i wiedzieć kto w porze połączenia połączył się przez ISP. Chyba, że było to jedyne połączenie do tego forum o tej porze, a forum na pewno zawsze miałoby to samo IP.

2 polubienia

Nie wiem, czy logi ale na potrzeby ew. ścigania przestępstw operator strony ma obowiązek trzymania przez 12 m-cy informacji umożliwiających identyfikację autora wpisu. Do tej pory byłem przekonany, że chodzi o IP ale okazuje się, że to za mało. Wychodzi na to, że operatorzy takich stron jak „Gowork.pl” dowolnie grają na nosie organom ścigania …

Sygnatura czasowa z dokładnością do 1 sek. została podana we wniosku. Operator ISP to kto inny, aniżeli administrator strony?

Czyli oprócz numeru portu źródłowego, którego domaga się operator strony ( a którego nie daje się uzyskać ) można jeszcze ustalić po MAC?, czy tylko czasami jest taka mozliwość?
Najgorsze jest to, że organy ścigania dysponują możliwością korzystania z wiedzy biegłych informatyków a idą na łatwiznę i wolą uwalać takie sprawy, tbo to łatwiejsze jest :frowning:

ISP to dostawca internetu…

nie „łatwiejsze”, ale przy takiej szkodliwości, skala zaangażowania jaką trzeba włożyć w szukanie po logach jakiegoś krzykacza na kiju, nie jest tego warta. często trzebaby żądać manualnego rozpakowania kopii zapasowych albo wymuszać przestoje u kogoś

Zatem nic się nie wskura, gdyby chodziło o pokrzywdzonego celebrytę, czy prominentnego polityka to co innego :wink: . Dziękuję za pomoc :slight_smile: