Как загрузка базы данных IP-геолокации поддерживает расследование киберпреступлений

В цифровой сфере конфиденциальность может быть как благом, так и несчастьем. Это означает, что личности пользователей защищены, и это имеет решающее значение в связи с распространением кражи личных данных и других связанных с этим преступлений. С другой стороны, анонимность, которую обеспечивает защита конфиденциальности, придаёт уверенность киберпреступникам. Это часто становится серьёзным препятствием для расследования киберпреступлений, поскольку анонимность затрудняет обратное отслеживание. Файлы загрузки базы данных геолокации могут помочь исследователям преодолеть эту проблему, сообщается на веб-сайте Hacker Noon. 

Несмотря на то, что киберпреступники могут спрятаться за решениями по защите конфиденциальности, всё же есть способ их отследить. Процесс начинается с изучения системных журналов, которые представлены в виде журналов приложений, безопасности и других событий. Эти документы фиксируют все события, произошедшие на компьютере, включая IP-адрес злоумышленника.

Допустим, имел место несанкционированный доступ к сети. Проверяя журналы безопасности, вы замечаете несколько попыток входа в систему через Secure Shell (SSH) с IP-адреса 218[.]92[.]0[.]215.

Первый порыв – сообщить об IP-адресе, что он считается вредоносным. Это полезный шаг, но он не остановит злоумышленников, скрывающихся за IP-адресом. Фактически, о 218[.]92[.]0[.]215 уже сообщалось более 16000 раз на AbuseIPDB, но на момент написания этой статьи он всё ещё использовался в сотнях атак методом перебора.

Поэтому команды по обеспечению безопасности также захотят исследовать и попытаться отследить IP-адрес до его пользователя или устройства. Расследование особенно необходимо, когда предполагается потенциальная утечка данных. При загрузке базы данных геолокации будет обнаружено, что 218[.]92[.]0[.]215 – это китайский IP-адрес со следующими данными:

• Регион: Цзянсу

• Город: Нанкин

• Широта: 32.06167

• Долгота: 118.77778

• Почтовый индекс: 210008

• Часовой пояс: UTC + 08: 00

• ID GeoNames: 1799962

• Номер автономной системы (AS): 4134

• Название AS: China Telecom

• Маршрут: 218[.]92[.]0[.]0/16

• Домен: http[:]//en[.]Chinatelecom[.]Com[.]Cn/

• Тип: NSP

• Интернет-провайдер (ISP): CHINANET Jiangsu Province Network

• Тип подключения: широкополосное

Такие данные из загрузки базы данных IP-адресов могут указать следователям два направления. Во-первых, нанесение широты и долготы приведет их к центру города в Китае. Оттуда они могут координировать свои действия с местными властями для наблюдения и проведения углублённого расследования.

Другое направление – обратиться к интернет-провайдеру, которым в данном случае является сеть провинции Цзянсу CHINANET. Исследователи могут связаться с провайдером, сообщить о вредоносном IP-адресе и запросить информацию о владельце.

Команды безопасности могут дополнительно использовать базу данных геолокации IP для определения других IP-адресов, принадлежащих интернет-провайдеру, в соседних сетевых блоках. По крайней мере, эти IP-адреса могут быть включены в список наблюдения жертвы, или, если организация не имеет отношений ни с кем из Китая, они могут принять решение заблокировать IP-адреса.

Даже самые опытные расследователи киберпреступлений сталкиваются с препятствиями в начале расследования, главным образом потому, что злоумышленники часто прячутся за службами защиты конфиденциальности. Но это не должно помешать им копать глубже. Время от времени злоумышленники проявляли небрежность, как это случилось с российским хакером Гуцифером, который забыл включить свою виртуальную частную сеть (VPN) перед входом в Twitter. В результате он раскрыл свой IP-адрес следователям.

Но даже если злоумышленник будет осторожным, журналы событий являются релевантными источниками данных об угрозах, которые можно контекстуализировать с помощью загрузки базы данных IP-адресов.

Загрузка базы данных географических IP-адресов может обогатить расследования киберпреступлений и усилить возможности обнаружения угроз с помощью решений безопасности. Но когда вы покупаете данные геолокации, имейте в виду, что не все базы данных геолокации IP одинаковы. Вы должны убедиться, что используемые вами источники IP-геолокации содержат точные и обширные геолокационные данные.

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный канал на TamTam