В заключительном материале нашего цикла мы попробуем разобрать дополнительные методы поиска информации о владельцах домена и попробуем спрогнозировать развитие этого инструмента OSINT на ближайшее будущее.
Дополнительные хитрости и инструменты для поиска данных о владельце домена
Чтобы найти владельцев доменного имени, можно воспользоваться известными, но не совсем очевидными инструментами
— поиск обратных ссылок на сайт
Владельцы сайтов, заинтересованных в их продвижении, могут размещать ссылки на них на других ресурсах. Иногда сведения о таких ресурсах не несут полезной информации, но иногда это поможет найти человека, хотя бы опосредованно связанного с искомым сайтом.
Чтобы найти обратные ссылки на сайт (то есть сайты, которые ссылаются на искомый ресурс), можно воспользоваться специальными сервисами, например, https://ahrefs.com/ru/backlink-checker.
— поиск файлов
этот вариант может быть полезным если владелец домена разместил на сайте файлы, содержимое которых поможет раскрыть его личность. Для этого достаточно провести поиск файлов определенного типа на конкретном сайте. Сделать это можно с помощью запроса вида.
Этот запрос позволяет найти docx-файлы (созданные в текстовом редакторе Word) на сайте domain.com. Такие файлы могут быть доступны для скачивания и просмотра, а еще можно посмотреть на данные владельцев файла (с помощью опции «свойства файла» в вашей операционной системе).
Будущее WhoIs: нерадостные новости для фактчекеров и OSINT-специалистов
5-7 лет назад данные WhoIs были доступны в свободном режиме. Однако эта ситуация часто приводила к проблемам для владельцев сайтов. К примеру, один из самых известных случаев использования такой информации – история технологического журналиста Мэта Хонана, который стал жертвой взлома своих аккаунтов и устройств, в том числе, благодаря информации из его WhoIs-записи.
Кроме того, в последние годы мировое сообщество стало внимательнее относится к защите персональных данных. А внедрение нового регламента работы с персональными данными GDPR для граждан стран Евросоюза повлекло за собой требование убрать эти данные из публичного доступа. Именно поэтому сегодня у нас есть возможность видеть только административный и технический контакты в записи WhoIs. Некоторые регистраторы предлагают эту услугу на бесплатной основе, некоторые берут за нее деньги, однако о массовом свободном доступе к информации о владельцах доменных имен можно забыть.
Ситуация в будущем усугубиться еще сильнее. Организация ICANN, управляющая системой доменных имен, ведет активные дискуссии о продолжении реформы WhoIs. Организация планирует разработку новой системы доступа к данным WhoIs. Это будет многоуровневая централизованная система для запроса доступа к данным WhoIs о частных регистрантах под названием SSAD (Система стандартизированного доступа и раскрытия информации). При этом следует помнить, что в США ожидается принятие документа, аналогичного GDPR. Более того, в Китае с начала сентября начнет работать новый закон о персональных данных. И все эти документы будут направлены исключительно на ужесточение сбора данных пользователей и ужесточение наказания за незаконные действия, связанные с обработкой персональных данных. Поэтому в обозримом будущем работа с содержимым базы данных WhoIs станет если не невозможной в принципе, то значительно более сложной. А это значит рост числа платных сервисов для работы с данными о владельцах доменов и переезд части этих сервисов в закрытую часть Сети – так называемый Dark Web.
По этой причине при работе с данными о доменном имени придется использовать дополнительные инструменты, о которых мы рассказали в предыдущей и в этой статье.
Что такое хостинг и как данные о нем помогут в фактчекинге
Изучение вопроса поиска информации о владельцах сайта было бы неполным без данных о хостинге. Ведь каждый сайт, доступный в Сети, связан не только с понятием доменного имени, но и с хостингом. Домен – это набор символов, которую мы пишем в адресной строке браузера, то есть это название сайта в общепринятой для интернет-адресов системе, в системе DNS. После того, как введено доменное имя, браузер ищет сайт, соответствующий домену. Чтобы такой сайт был доступен, он должен быть размещен где-то на каком-то компьютере, подключенном к интернету. Теоретически сайт может быть доступен на любом компьютере, который включен и подключен к интернету в режиме 24/7 и на котором установлено специальное программное обеспечение. Но чаще всего для размещения сайта его владельцы пользуются услугами специальных компаний, предоставляющих услуги хостинга.
Хостинг – это услуга по размещению сайтов в интернете. По сути, это мощные компьютеры, на которых установлено специальное ПО и которые умеют отображать содержимое сайта после того, как пользователь ввел его доменное имя в своем браузере или перешел по ссылке на сайт.
Часто услуги домена и хостинга предлагает одна и та же компания, но иногда доменное имя покупается в одном месте, а хостинг заказывается в другом. В этом случае в настройках доменного имени записываются данные хостинга. Это нужно для того, чтобы при обращении сайту браузер понимал, где искать его содержимое, то есть с какого хостинга ему нужно получить и отобразить контент сайта.
Если доменное имя хотя бы опосредованно может быть связано с географией сайта, хотя зарегистрировать имя в доменной зоне верхнего уровня .COM.UA или .COM может гражданин любой страны, то хостинг – это совершенно не зависящий от географии элемент существования сайта. Сайт в домене .UA может использовать виртуальный хостинг компании Amazon и его серверы (компьютеры, на которых сайт размещен физически) могут находится в США или в Великобритании.
В некоторых случаях данные о хостинге можно получить с помощью WhoIs-запроса.
На следующем изображении видны данные WhoIs для доменного имени ria.ru – российского пропагандистского сайта «РИА Новости». Данные о владельцах сайта скрыты, то можно просмотреть строку Name Servers. Информация, представленная в ней, говорит об использованных сайтом серверах имен – эти сервера указывают на компанию-хостера, хотя и эти данные могут быть неточными.
А вот данные анализа WhoIs для сайта «Украинская правда». Здесь нейм-сервер cloudflare.com ни о чем не говорит – такой адрес использует сеть доставки контента (CDN), которую популярные ресурсы используют для того, чтобы обеспечить своему сайту работоспособность даже в периоды высоких нагрузок.
На следующем скриншоте можно увидеть уникальную ситуацию – здесь не только видны данные нейм-сервера, но еще и не скрыты данные регистранта доменного имени. Мы проанализировали данные владельца доменного имени сайта — заблокированного в Украине сайта администрации города Донецка. Его данные WhoIs содержат в открытом доступе имя и контакты регистратора (кстати, с украинским номером мобильного телефона) и данные технического контакта.
Для анализа данных о хостинговой компании существуют другие, более точные онлайн-сервисы.
— Hostadvice
С помощью сервиса можно узнать данные хостинга и физическое расположение серверов сайта. На следующих скриншотах можно увидеть, что серверы сайта, как и ресурса расположены в России, а «Украинская правда» использует хостинг от Google (Google Cloud Platform) и физически он размещен в США.
— Hosting Checker
Еще один полезный сервис, с его помощью можно также получить расширенные сведения о хостинге и географическом размещении серверов
Информация о доменных именах и хостинге может стать полезной как часть комплексных мер при фактчекинге и проведении OSINT. Она важна, если неизвестный ресурс начинает распространять фейки. Для их опровержения стоит изучить, кому принадлежит сайт, где он расположен (на каком хостинге), возможно, какой была история владения доменом. Однако все это можно сделать, если владельцы домена не позаботились о том, чтобы скрыть эту информацию от посторонних глаз. В этом случае в ход пойдут дополнительные меры, как то поиск файлов и сервисы анализа других данных.
Даже обращение к регистратору или техническому контакту домена по обоснованной причине может оказаться безуспешным. Ведь в случае доменных имен опубликованные в WhoIs контакты могут счесть причину, по которой вам нужно обратиться к владельцу домена, недостаточной или потребовать решение суда, затрагивающее контент сайта или требующее связи с владельцем ресурса.
Автор Надежда Баловсяк