Sadržaj

Deanonimizacija servisa skrivenih iza Cloudflarea

Sažetak

U svijetu internetskog kriminala, susrećemo se s web-stranicama koje skrivaju protuzakonite aktivnosti iza Cloudflare sustava. Kako bismo razotkrili identitet tih stranica, predstavljene su različite tehnike deanonimizacije. Prva metoda uključuje praćenje elektroničke pošte koja se često koristi prilikom autentifikacije na platformama za web-trgovinu. Uvidom u zaglavlja elektroničke pošte, moguće je pronaći IP adresu web-stranice.

Zatim istražujemo deanonimizaciju putem praćenja HTTP zahtjeva, gdje se koristi funkcionalnost Reddita da automatski dohvaća naslove web-stranica. Ova značajka omogućava kontrolu servera koji prima zahtjev, otkrivajući IP adresu ciljane web-stranice. Korištenje alata poput Shodana također je predloženo kao učinkovit način za deanonimizaciju.

Policija može koristiti sudski nalog od Googlea kako bi dobila podatke o IP adresama putem Captcha sustava na web-stranicama. Osim toga, curenje poddomena može odati IP adresu poslužitelja koji se krije iza Cloudflare-a. Naprednije tehnike uključuju zloupotrebu CloudFlare radnika i iskorištavanje ranjivosti sustava WordPressa.

Zaključno, unatoč izazovima vezanim uz privatnost na internetu, navedene tehnike su jednostavne, učinkovite i prilagodljive. Ove metode su korisne za otkrivanje web-stranica koje ilegalno djeluju i skrivaju se iza CloudFlare-a. Važno je naglasiti da, iako nijedna od tehnika nije revolucionarna, zajedno pružaju učinkovit alat za otkrivanje neprimjerenog sadržaja na mreži.

Uvod

Često se na internetu nalaze web-stranice koje sadržavaju protuzakonit sadržaj. Primjerice na slici ispod prikazana je web-stranica koja prodaje krivotvorena odijela za krzniće. U sljedećem je poglavlju deanonimizirana IP adresa navedene web-stranice. [1]

Ako je u pitanju kršenje autorskih prava, preporučeno je slati DMCA takedown poruke elektroničke pošte. To često nije moguće ako DNS ne sadržava podatke za kontakt poslužitelja, a web-stranica se nalazi na poslužitelju iza Cloudflare-a. Na slikama ispod prikazan je rezultat zahtjeva WHOIS poslužitelju za dobivanjem podataka o web-stranici. Kao što se vidi, nisu prisutni podaci o osobi koja je registrirala domenu, kao ni podaci o poslužitelju iza Cloudflare-a. [1]

Postoje i drugi tipovi web-stranica za koje je poželjno otkriti gdje im se nalazi poslužitelj, jer krše zakon. Na društvenoj mreži Reddit 2020. je godine zabranjena zajednica pristaša američkog predsjednika Donalda Trumpa. To je prouzrokovalo stvaranje nove web-stranice koja je služila kao klon Reddita te je skrivena iza CloudFlare-a. Na toj se web-stranici odmah proširio sadržaj prepun političkog nasilja i terorizma. U odlomcima dolje navedeni su načini deanonimizacije ove web-stranice. [2]

Deanonimizacija putem elektroničke pošte

Većina web-trgovina krivotvorinama koristit će platforme za elektronsku trgovinu otvorenog izvornog koda, kao što su Magento, WooCommerce te OpenCart. Navedene platforme imaju mehanizam za registraciju i prijavu korisnika. U pravilu ovakav mehanizam šalje elektroničku poštu prilikom autentifikacije. U slučaju da takva pošta nije poslana, možete se odjaviti i koristiti mogućnost oporavka lozinke. Ova će opcija zasigurno poslati elektroničku poštu. Nakon što ste došli do elektroničke pošte od lažljive web-stranice, možete pročitati zaglavlja elektroničke pošte. U aplikaciji Gmail možete kliknuti na tri točkice desno od elektroničke pošte te zatim na “Prikaži izvornik”, kao na slici ispod. [1]

Nakon otvaranja čitavih zaglavlja elektroničke pošte vidljiva je tražena IP adresa. [1]

U slučaju kršenja autorskih prava zatim je moguće slati elektroničku poštu pružatelju web usluga citirajući američki zakon DMCA. Naravno, isto je moguće prijaviti i registratoru domena s obzirom da se taj podatak ne obfuscira korištenjem DNS privatnosti. [1]

Tehnika ispričana ovdje nije primjenjiva na Reddit klon pristaša američkog predsjednika Donalda Trumpa. To je zato jer, iako je korisnicima ponuđen upis adrese elektroničke pošte prilikom registracije računa, elektronička pošta nikada nije zapravo poslana od strane web-mjesta. Zbog toga na web-stranici ne postoji ni mogućnost oporavka računa u slučaju izgubljene lozinke. Srećom, činjenica da je web-stranica klon Reddita dovodi nas do sljedećeg poglavlja s opisom novog pristupa. [2]

Deanonimizacija putem praćenja HTTP zahtjeva

Reddit ima mogućnost objavljivanja poveznica te automatski dohvaća naslov web-stranice na koju poveznica vodi. Primjer se nalazi na slici ispod. [2]

Način na koji ova značajka funkcionira je jednostavan. Web-stranica pokrene HTTP zahtjev sa svoje strane kako bi dohvatila web stranica, isparsirala naslovni tag u HTML-u, te ga vratila korisniku. Logično je da se sada može pokušati kontrolirati server kojem se šalje zahtjev. Nakon nekoliko provedenih eksperimenata koristeći web preglednik Tor, na slici je ispod vidljiva IP adresa tražene web stranice. [2]

Deanonimizacija putem tražilice Shodan

Odličan način za isprobati deanonimizaciju je pokušati koristiti Shodan. [2]

Deanonimizacija putem sustava Captcha

Policija može pomoću sudskih naloga od Googlea zatražiti dnevnike vezane uz sustav Google Captcha prisutan na registracijskim formularima na web-stranicama od interesa. Svaki puta kada korisnik ispunjava ReCAPTCHA izazov, HTTP zahtjev je poslan direktno na Googleove poslužitelje. Dakle policija može bez problema doći do IP adrese uz odgovarajući sudski nalog. [2]

Deanonimizacija putem curenja poddomena

Poddomene često cure i odaju IP adresu poslužitelja koji se skriva iza CloudFlare-a. [2] [3]

Deanonimizacija putem zloupotrebe CloudFlare radnika

Kada je ograničen pristup na CDN, nekad se može zaobići koristeći proxy u CloudFlare radnoj dretvi. Za Akamai je moguće pokrenuti distribuciju na Azure. [2] [4]

Deanonimizacija putem Wordpressa

Ukoliko web-mjesto koristi Wordpress, moguće je koristiti Pingback kako bi se došlo do IP adrese poslužitelja. Lako je otkriti koristi li neka web-stranica Wordpress. To se može učiniti tako da se otvori izvorni kod web-mjesta i provjeri sadržava li niz znakova /wp-content. Ako da, onda vjerojatno Wordpress jest korišten. [2] [5]

Zaključak

Postoje tehnike koje su jednostavne, učinkovite i prilagodljive. Korisne su za prijavu web-stranica koje sadržavaju protuzakonit ili krivotvoren sadržaj skrivajući se iza CloudFlare-a. [1]

Privatnost je teško postići na webu. Nijedna od gore navedenih tehnika nije pretjerano bistra ili revolucionarna. Ali sve one rade iznimno dobro, i korisne su za otkrivanje poslužitelja neprimjerenog sadržaja. Osnovna špijunaža otvorenog izvornog koda nije teška, samo je naporna. [2]

Često je potrebno kontaktirati policiju kada se organiziraju zločinačka djela na internetu. Iako Cloudflare ima svoje uvjete korištenja, često ih odbija primijeniti te preferira nastaviti suradnju sa web stranicama koje sudjeluju u organiziranom kriminalu. Tako je 2022. godine bilo potrebno nekoliko mjeseci aktivnog bojkota kako bi Cloudflare prestao poslovati s web forumom koji je prouzrokovao brojne slučajeve prijetnji smrću, zlostavljanja kako preko interneta tako i u stvarnosti, poticanja na samoubojstvo te zloupotrebe policijskih resursa za lažne dojave. Tek je u rujnu te godine na Twitchu stvarateljica sadržaja Keffals uspjela srušiti tu web stranicu. [6]

Literatura

[1] Soatok. 9. svibnja 2020. "How to De-Anonymize Scam/Knock-off Sites Hiding Behind CloudFlare". Dhole Moments. Software, Security, Cryptography, and Furries.

[2] Soatok. 9. siječnja 2021. "Masks Off for TheDonald.win". Dhole Moments. Software, Security, Cryptography, and Furries.

[3] @z3dster. 9. siječnja 2021. z3dster na X. X.

[4] @4dwins. 9. siječnja 2021. 4dwins na X. X.

[5] Nemec, Dan. 22. siječnja 2020. Discovering the IP address of a Wordpress site hidden behind Cloudflare. Dan Nemec.

[6] Keffals. 13. rujna 2022. Kiwi Farms is dead. We won. Keffals. YouTube.