چند روز پیش هشداری در مورد استفاده از آی پی و پورتهای رایگان یا فروشی برای عبور از فیلترینگ داده شد و از یک شخص ایرانی نام برده شد که تعدادی از این آی پی ها به نام او می باشد : Ehsan Tatasadi .
اکنون میخواهیم کمی بیشتر با این شخص آشنا شویم و دلیل این متن و گزارش این است که متوجه شوید گاهی اوقات انتخاب راحت ترین راه برای عبور از فیلترینگ که همان خرید ساکس یا وی پی ان است چگونه میتواند خطرناک هم باشد. (البته خطرناک فقط برای کسانی که در اینترنت فعالیتی دارند که می تواند برای آنها از طرف نهادهای امنیتی مشکل ایجاد شود)
در تاریخ 28 فوریه 213 سایت Silicon Angle گزارشی را به نقل از نهادهای امنیتی آمریکا و اسرائیل منتشر می کند که بر اساس آن یک گروه هکر در ایران به نام پرستو قصد هک کردن چند سایت مهم امنیتی در اسرائیل و آمریکا را داشتند که هدف آنها دسترسی به اطلاعات هسته ای و اطلاعات زیر ساختی اسرائیل و آمریکا بوده است. بعد از این حمله اینترنتی و ردیابی هکرها توسط نهادهای امنیتی این دو کشور, متوجه می شوند که این حملات اینترنتی از داخل ایران صورت گرفته و آی پی کامپیوتری که حملات از آن صورت گرفته به اسم شخصی به نام Ehsan Tatasadi ثبت شده است. (عکس زیر مربوط است به مشخصات آی پی کامپیوتر حمله کننده که توسط سایت Silicon Angle منتشر شده است)
و اما Ehsan Tatasadi کیست؟
این شخص به احتمال زیاد صاحب یک شرکت اینترنتی در تهران در خیابان کوهستان میدان کتاب شماره 42 ( احتمالا در منطقه شهریار تهران ) می باشد که در پوشش یک شرکت اینترنتی و کامپیوتری فعالیتهای دیگر از قبیل هک نیز دارند. بر اساس تحقیقاتی که صورت گرفته یک سرور در کشور آلمان به اسم خودش خریداری کرده و حدود 149 سایت ایرانی توسط این شرکت و بر روی این سرور آلمانی ایجاد شده است. یکی از سایتهایی که به اسم این شخص بر روی سرور آلمانی ثبت شده سایت روزنامه ورزشی نود می باشد. تعدادی از این سایتها هم مربوط است به بنگاه همسریابی و بازی آنلاین.
(برای بزرگنمایی عکس روی آن کلیک کنید)
تعدای از سایتهای ثبت شده به نام این شخص
(برای بزرگنمایی عکس روی آن کلیک کنید)
(برای بزرگنمایی عکس روی آن کلیک کنید)
و آی پی هایی که به اسم این شخص منتشر شده و خیلی از آنها برای عبور از فیلترینگ در اینترنت منتشر می شود را در زیر می بینید: (توجه کنید که خط فاصله بین هر دو آدرس به معنای تا می باشد. مثلا از 88.198.75.96 تا 88.198.75.111)
88.198.75.96 - 88.198.75.111
88.198.237.128 - 88.198.237.159
88.198.233.240 - 88.198.233.255
88.198.162.144 - 88.198.162.159
88.198.162.128 - 88.198.162.143
88.198.159.0 - 88.198.159.15
88.198.156.176 - 88.198.156.191
88.198.156.128 - 88.198.156.143
88.198.133.192 - 88.198.133.207
88.198.237.128 - 88.198.237.159
88.198.233.240 - 88.198.233.255
88.198.162.144 - 88.198.162.159
88.198.162.128 - 88.198.162.143
88.198.159.0 - 88.198.159.15
88.198.156.176 - 88.198.156.191
88.198.156.128 - 88.198.156.143
88.198.133.192 - 88.198.133.207
5.9.197.42
5.9.197.43
5.9.197.48
5.9.197.57
5.9.197.62
5.9.209.20
5.9.232.165
5.9.232.166
(برای بزرگنمایی عکس روی آن کلیک کنید)
...............................
توضیحاتی در مورد نظرات دوستان
بعضی ها عقیده دارند که ممکن است این شخص فعال آزادی اینترنت باشد. در جواب به این دوستان باید گفت که بی شک هیچ فرد یا گروهی که قصد کمک به آزادی اینترنت در ایران را دارند هرگز به اسم خود و با آدرس واقعی خود آی پی ها را خریداری نمی کنند.
در گزارش گفته نشده که این شخص خودش هکر است و در این حمله اینترنتی دست داشته. ممکن است هکر باشد و می تواند هم نباشد. اما چیزی که مهمه این است که مرکز حمله به اسم او هست. یعنی همان کامپیوتری که از آن حمله اینترنتی صورت گرفته است. چیزی که مشخصه این هست که اون شرکت به اسم Ehsan Tatasadi ثبت شده در پوشش یک شرکت اینترنتی فعالیت می کند و از طریق آن فعالیتهای دیگر هم به صورت مخفیانه انجام میگیرد که قطعا پشتوانه محکمی دارند.
همانطور که یکی از دوستان در نظرات گفته سایتهای مهم و بزرگ امکان رصد کردن دقیق کاربران را دارند. مثل فیسبوک که با توجه به فیلتر بودن سایتش در ایران باز در بخش آمار صفحه, ورودی کشور ایران را هم نشان می دهد. این به این معنا است که فیلترشکنها نمی توانند در این گونه سایتها آی پی اصلی را مخفی نگه دارند.
گزارش این حمله اینترنتی بر اساس ادعاهای وزارت دفاع آمریکا داده شده است و بی شک وزارت دفاع آمریکا هم توانایی رصد کردن آی پی اصلی هکرها را دارد.
توضیحاتی در مورد نظرات دوستان
بعضی ها عقیده دارند که ممکن است این شخص فعال آزادی اینترنت باشد. در جواب به این دوستان باید گفت که بی شک هیچ فرد یا گروهی که قصد کمک به آزادی اینترنت در ایران را دارند هرگز به اسم خود و با آدرس واقعی خود آی پی ها را خریداری نمی کنند.
در گزارش گفته نشده که این شخص خودش هکر است و در این حمله اینترنتی دست داشته. ممکن است هکر باشد و می تواند هم نباشد. اما چیزی که مهمه این است که مرکز حمله به اسم او هست. یعنی همان کامپیوتری که از آن حمله اینترنتی صورت گرفته است. چیزی که مشخصه این هست که اون شرکت به اسم Ehsan Tatasadi ثبت شده در پوشش یک شرکت اینترنتی فعالیت می کند و از طریق آن فعالیتهای دیگر هم به صورت مخفیانه انجام میگیرد که قطعا پشتوانه محکمی دارند.
همانطور که یکی از دوستان در نظرات گفته سایتهای مهم و بزرگ امکان رصد کردن دقیق کاربران را دارند. مثل فیسبوک که با توجه به فیلتر بودن سایتش در ایران باز در بخش آمار صفحه, ورودی کشور ایران را هم نشان می دهد. این به این معنا است که فیلترشکنها نمی توانند در این گونه سایتها آی پی اصلی را مخفی نگه دارند.
گزارش این حمله اینترنتی بر اساس ادعاهای وزارت دفاع آمریکا داده شده است و بی شک وزارت دفاع آمریکا هم توانایی رصد کردن آی پی اصلی هکرها را دارد.
انصافا دمتون گرم. ببخشید یه سئوال احتمالا شماها عضو fbi نیستید؟ شوخی کردم ولی عجب اطلاعات توپی از این هکر پیدا کردید. زنده باشید.
پاسخحذفسلام
پاسخحذفاین چیزایی که گفتید دلیل نمیشه که شخص ایشون هکر باشه یا با دولت همکاری داشته باشه !
معمولا همه هک های مهم این چنینی بر پایه DDOS انجام میشه و هکرها در این روش نمیرن پول بدن سرور بخرن یا آیپی بخرن !!! اونم با اسم و آدرس خودشون!! بلکه از همین برنامه های فیلتر شکن رایگان و آیپی های رایگان مانند همین آیپی هایی که ایشون گذاشته استفاده میکنن
شما با اکثر فیلتر شکن های رایگان وارد این سایت :
http://whoer.net
که بشید در قسمت Black list میبینید که آیپی شما توی بلک لیست قرار داره اگه روش کلیک کنید میبینید که دلایل مختلفی میتونه داشته باشه از استفاده یک سود جو از این آیپی برای ایمیل های اسپم بگیر تا استفاده برای هک و مسائل دیگه ...
پس صرف استفاده از یک آیپی در یک هک دلیل بر این نمیشه که اون شخص که آیپی به نامشه هم از این موضوع خبر داشته !!
لذا به جای قضاوت زود هنگام فقط بهتر بود در این باره یک هشداری داده میشد
ولی این که ایشون تعداد بسیار زیادی آیپی خریده اونهم تو این گرونی ها و برای استفاده رایگان (طبق گفته شما ) میده به مردم یکم عجیبه !!
البته باز این هم دلیل نمیشه که به این شخص تهمت بزنیم !
ممنونم
در پاسخ به کامنت قبلی:
پاسخحذفاین آقا هکر هستند! دستش هم رو شده!
حالا هرچقدر هم بخواد پشت نقاب بیزینس و خرید و فروش پراکسی و... پنهان بشه، باز هم فایده ای نداره. البته "مرکز پخش فیلتر شکن" نگفت که این هکر از این آیپی ها واسه هک کردن مراکز مهم و امنیتی استفاده کرده! فقط این هکر و این آیپی ها رو بعنوان عامل خطرناک معرفی کرد...
در ضمن اینکه چرا شما از ایشون حمایت میکنید، خودش جای سواله!
eyval
پاسخحذفdametoon garm. mamnoon az in etelaate mofid
سلام جناب ایران پراکسی من یه سوال داشتم امیدوارم جواب بدید مرسی.اونم اینکه قبلا وقتی هات اسپات شیلد رو فعال میکردم در قسمت با سمت راست مرورگر دو عدد in و out با گذشت زمان افزایش پیدا میکرد و میرفت بالا و سرعتش هم بالا میرفت ولی الان موقع نصب تو(in و out) عدد ثابت میمونه و عددها اصلا تکون نمیخورن و بالا یا همون زیاد نمیشن.میخواستم ببینم مشکل از کجاست.ممنون میشم اگه جواب بدبد.
پاسخحذفدر جواب به اون نظر دومی. یعنی هکرها اینقدر احمق بودند که از یک ای پی ایرانی استفاده کنند. با توجه به اینکه خودشون رو معرفی کردند وگفتند که از ایران هستند. در ضمن وقتی مراکز مهمی مثل سایتهای مهم امریکا هک میشه تغییر ای پی هیچ فایده ای نداره. پس بی شک ای پی لو رفته دقیقا مربوط به هکرها هست اما چون توی ایران هستند کاری نمیتونن برای دستگیری اونا انجام بدهند.
پاسخحذفسلام جناب ایران پراکسی من یه سوال داشتم امیدوارم جواب بدید مرسی.اونم اینکه قبلا وقتی هات اسپات شیلد رو فعال میکردم در قسمت با سمت راست مرورگر دو عدد in و out با گذشت زمان افزایش پیدا میکرد و میرفت بالا و سرعتش هم بالا میرفت ولی الان موقع نصب تو(in و out) عدد ثابت میمونه و عددها اصلا تکون نمیخورن و بالا یا همون زیاد نمیشن.میخواستم ببینم مشکل از کجاست.ممنون میشم اگه جواب بدبد.
پاسخحذفدرود. من مهندس امنیت شبکه هستم و میخوام توضیحی در رابطه با این گزارش و هشدار بدم.
پاسخحذفمعمولا پیدا کردن مشخصات فرد حمله کننده کار آسانی نیست. اما این برای افراد عادی صدق می کند. سایتهای مهم که وابسته به نهادهای مهم هستند همیشه کنترل دقیقی روی تمام کاربرانی که به سایت مراجعه می کنند دارند.
در روند هک کردن تغییر آی پی تاثیری بر روی ناشناس ماندن هکرها ندارد (البته اگر متخصصین امنیت شبکه این حمله را رصد کنند) یعنی کسانی که تخصص در امنیت شبکه دارند نه به راحتی اما میتوانند مسیر اصلی هکرها را پیدا کنند.
اینجا چند نکته قابل اشاره هست: یکی اینکه هکرها خودشان اعتراف کردند که از ایران هستند (متن گزارش سایت Silicon Angle این را می گوید)
عکسی که از مشخصات هکر گذاشته شده هم گویای همین هست.
در هک کردنهای خیلی مهم و پیچیده مثل همین موضوع استفاده از آی پی دیگران کارساز نیست چرا که اون آی پی میتونه سرعتش پایین بیاد یا کلا قطع بشه که این اتفاق در روند مراحل هک تاثیر بدی داره و میتوان گفت که شدنی نیست. پس یک آی پی نیاز هست که مطمئن باشه و سرعت خوبی داشته باشه . پس اون آی پی نمیتونه مربوط به شخص بی طرفی باشه. در جواب به یک دوست در بالا باید بگم که این DDOS نبوده چون هکرها نمیخواستن در روند سایت اختلال ایجاد کنند. اگر متن گزارش را بخوانید اشاره شده که قصد هکرها نفوذ بوده نه اختلال.
مرسی
تشکر فراوان از زحمات شما که اطلاع رسانی عالی می کنید.
پاسخحذفمن فقط میگم اون روی سکه رو هم در نظر بگیرین
پاسخحذفتصور کنید این بنده خدا یک شخص خیری هست که برای آزادی اینترنت در ایران تلاش میکنه و یه تعداد آیپی میخره و به رایگان در اختیار مردم قرار میده
اون گروه هکر هم هرچه آیپی رایگان تونستن برای هکشون جمع کردن که آیپی های این بابا هم جزو همون آیپی های رایگان بوده و روح خودش هم از این قضیه خبر نداشته !
در جواب اون دوست عزیز که میگن در این روش نیازی به تغییر آیپی نیست
اگر نیازی به تغییر آیپی نبود پس چرا از آیپی های آلمانی این بنده خدا استفاده کردن ؟! اگه براشون مهم نبود که لو برن یا نه چرا از همون آیپی های ایرانی خودشون استفاده نکردن ؟!
دقت کنین که حتی در شدیدترین هک ها هم هکر تمام تلاش خودش رو میکنه که آیپی اصلی خودش لو نره!!
این رو هم اضافه کنم که اگه خوده دولت به عمد از آیپی های این شخص و اشخاص دیگه استفاده کرده باشه که شرکت های سرویس دهنده دیگه به ایشون آیپی ندن و در نتیجه ایشون هم نتونه به رایگان در اختیار مردم بزاره چی ؟!
پاسخحذفسلام جناب ایران پراکسی من یه سوال داشتم امیدوارم جواب بدید مرسی.اونم اینکه قبلا وقتی هات اسپات شیلد رو فعال میکردم در قسمت با سمت راست مرورگر دو عدد in و out با گذشت زمان افزایش پیدا میکرد و میرفت بالا و سرعتش هم بالا میرفت ولی الان موقع نصب تو(in و out) عدد ثابت میمونه و عددها اصلا تکون نمیخورن و بالا یا همون زیاد نمیشن.میخواستم ببینم مشکل از کجاست.ممنون میشم اگه جواب بدبد.
پاسخحذفآی پی های این شخص مربوط به آلمان هست. ولی ردگیری شده و سر از ایران در آورده. این یعنی به راحتی آدرس استفاده کننده آی پی رو پیدا کردند.
پاسخحذفاز همه مهمتر تغییر آی پی به این معنا نیست که مبدا اصلی شناسایی نشه. بی شک این هکرها تغییر آی پی داده بودند اما آی پی اصلی اونا لو رفته.
مثلا وقتی ما با فیلترشکن وارد یک سایت معمولی می شویم صاحب سایت قدرت تشخیص آی پی اصلی ما رو نداره. اما مثلا در فیسبوک که در ایران فیلتر هست وقتی بخش آمار صفحه رو نگاه می کنیم دقیق نشون میده که از ایران بازدید کننده داشته. مگر فیسبوک در ایران فیلتر نیست؟ پس نباید آی پی ایرانی رو تشخیص بده چون همه از ایران آی پی خودشون رو تغییر میدن. ولی سایتهایی مثل فیسبوک یا گوگل و جی میل و سایتهای مهم امنیتی قدرت تشخیص و پیدا کردن آی پی اصلی رو دارند. این شخص هم مطمئن باشید اگر ازش سواستفاده شده بود تا الان کاری کرده بود. چون اون طوری که گزارش نشون میده شرکت مهمی داره.
پرووایدر های https هم به راحتی میتوانند فعالیت کاربر را مانیتور بکنند. به این شخص کاری ندارم ولی خیلی از افرادی کهHTTPS و kerio میدهند زیر مجموعه پلیس فتا هستن. امنیت OpenVPN و SOCKS به دلیل رمزگزاری خیلی ایمنتر هست ولی در نهایت هر سیستمی از طرف ارایه کننده همان سرویس میتواند قابل ردگیری باشد
پاسخحذفچه از اینور چه از اونور در نهایت ماداریم کنترل میشیم . و این اطلاعات ممکنه تاکید میکنم ممکنه در آینده چه از اینور چه از اونور علیه مون استفاده بشه. پس نتیجه میگیریم اینترنت خیلی هم ترسناکه iiiiiiii
پاسخحذف