[sekerleme]

Selamlar,

3. bir kişinin ip numarası kullanılarak birine mail gönderilebilir mi öğrenmek istiyoruz. Konu kısaca şöyle;
Bir mynet kullanıcısına yahoo.com uzantılı bir email adresinden tehdit içerikli bir mail gönderilmiş. Ve mailin, 85.96.160.... şeklinde bir ip adresinden gönderilmiş. Telekom'a sorulduğunda mailin gönderildiği sırada söz konusu ip adresinin hangi ADSL kullanıcısı olduğu, adresi vs belirleniyor. Ancak bu bilgisayarın sahibi maili alan şahsı uzaktan yakından tanımadığı ve böyle bir mail göndermediğine emin. Bizim öğrenmeye çalıştığımız bu şekilde başkasına ait bir adresten mail gönderilip gönderilemeyeceği.
Bu konularda çok fazla bilgiye sahip değiliz ama proxy kullanılarak başkalarının ip adreslerinin pekala kullanılabildiğini biliyoruz. Ancak Telekom ADSL kullanıcılarına (bildiğimiz kadarıyla) her bağlanıldığında farklı bir ip adresi atıyor. Ve bahsi geçen ip adresinin o anda bu kişi tarafından kullanıldığı söyleniyor. Bu konuda çok net bilgi sahibi de değiliz. Acaba herhangi bir spy ya da benzeri bir program yüzünden kişi farkında bile olmadan 3. bir kişiye böyle bir mail göndermiş olabilir mi?
Bu konuya ilişkin bilgi ve doküman bulabileceğimiz biryer bilen varsa çok makbule geçecek.


Sağlıcakla...

[blurise]

Evet atilabilir. Spyware ile gayet mumkundur.

[cgencer]

ip numaraları değişkendir; ADSL/kablo gibi uzun sürekli bağlantılarda dahi dns sunucularda tanımlanmış olan aralıklarla değişmesi söz konusu. dialupta zaten her bağlantıda farklı ip atanır. spyware genellikle başka amaçlar için yazılmıştır; ama başlık olarak bakılırsa "ip spoofing" olarak adlandırılır bu işlemler ve birtakım araçlarla yapılabilmekte. proxy üzerinden bile ip spoofing mümkündür. bunun bir nokta ilerisi Mac id bilgisini de spoof etmek olacaktır; daha da görünmez kalmayı merak edip araştıranlar bilir.

[Denwer]

pratikte gönderdiğiniz ip paketleri ile oynayarak, araya üçüncü birşahsı koymadan ip adresini spoof etmeniz "çok zor" kategorisinin biraz üstündedir (aklıma gelen ilk sebep tcp protokolündeki sequence numarasını tahmin etme zorluğu). eğer adres gizlenilmek isteniyorsa mantıklı/pratik yöntem proxy kullanmakdır. ilgili kişinin makinasına proxy görevi görecek trojan vari bir program kurulmuş olabilir -ki budurumda işe yaraması için kullanıcının usb modem kullanması, bilgisayarında firewall olmaması yada eth portlu modem kullanıyorsa port yönlendirmelerinin yapılmış olması gerekiyor-.

[soul]

Yahoo dan gelmiş bir mail ise - ve gerçekten geldyise tabii ki bu da spoof edilebilir basitçe - X-origin yada benzeri bir şeye bakıyorsunuz demektir. O da ancak Proxy aracılığı ile değişik olabilir.

Bu da ilgili makinada bir trojan vs. yüklü demektir, yada bir proxy sadece. Bu tip bir durum varsa şahsın bilgisayarında garip bir şeyler yüklü olup olmadığını tespit edin ilgili yazılım bulunursa onun aracılığı ile da esas kişiyi bulma şansınız vardır.

Bir de IP sabit değlse ve verdiğiniz saat Türkiye saati ile uyumsuzluk gösteriyorsa tamamen yanlış kişiye de bakıyor olabilirsiniz, kişinin maili çektikten sonra hemen ip değiştirmesi basit bir işlemdir. Dolayısıyla sadece 5dk. bu IP de kalmış olabilir. Saat dakika o yüzden çok önemli.

[sekerleme]

Biz başlangıçta bilgisayarın içinde bir trojan ya da benzeri bir program olabileceğini düşünmüştük. Çünkü mailin gönderildiği sırada söz konusu ip adresinin kullanıldığı bilgisayar Telekom tarafından tesbit edilmişti. Proxy kullanılması halinde (yanlış ya da eksik bir bilgim yoksa) ya o esnada ip adresini kullanan kişi olarak mail gönderen Telekom kayıtlarında görünmeyecekti, ya da aynı ip adresini proxy dahi olsa 2 kişinin aynı anda kullanılması (bildiğim kadarıyla) mümkün olmayacağından başkası tarafından kullanılamayacaktı.

Ancak Soul'un postundan faydalanarak çok işimize yarayan birşey farkettik. Mailin başlık kısmında gördük ki söz konusu maili gönderen kişi " -8 " zaman dilimini seçmişti mail adresine kayıt olurken. Bu da mailin gönderildiği saat ile TR saati arasında 9 saat fark olduğu anlamına geliyordu. Yani Sanıyoruz ki Telekom yanlış kişiyi tesbit etti o esnada söz konusu ip adresini kullanan. Şimdi savunmamızı daha somut dayanaklara dayandırabiliyoruz.

Teşekkürler Soul ve bildiğini esirgemeyen diğer arkadaşlar

[mow]

yahoo'dan gelen tüm mailllerin -8 zaman diliminde olması muhtemel, bir deneyip bakın hem daha çok şeyi çözmüş olursunuz, ek olarak ekstra bir uygulama yok ise genelde webmail tarzı şeylerde, headerlara güven duyulmaz, doğruluğuna kesin gözüyle bakılamaz.

sizin araştırmada izleyeceğiniz yol, mail log larına bakmakla başlamalı, yani mynet ise, mynetteki mail sunucusunun maili hangi ip den ne zaman aldığına bakmalısınız sadece bu size bir öngörü sunabilir, headerlar her zaman değiştirlebilir şeylerdir.