IPTV

Как следователите използват OSINT за проследяване на IPTV пирати

Сподели

Мерките за справяне с онлайн пиратството често се описват като игра на whac-a-mole, в този случай игра, при която пиратите биват удряни по главите само за да изскочат някъде другаде – доставка на филми, телевизионни предавания, спортове на живо и музика непокътнати.

От гледна точка на обикновения пират, играта е напълно безсмислена – безсмислена дори. Но за групите за борба с пиратството по целия свят ангажирането на пирати в тази дразнеща игра е важна форма на смущение. Това е следващата най-добра опция, като се има предвид 0% шанс за унищожаване на всички пиратства и по-голям от 0% шанс те да преминат към легална услуга.

Масовото разпространение на пиратски IPTV услуги през последните години е голям проблем за много притежатели на права. Те са в състояние да подразнят неколцина с блокиране на ISP, но зад кулисите те също затварят няколко тук долу и няколко там долу. Как правят това рядко е за обществено ползване, но документите, предоставени на TorrentFreak, хвърлят малко светлина върху основите. Но първо кратък буквар.

OSINT – Разузнаване с отворен код

На най-ниското ниво OSINT е достъпен за всички чрез просто събиране и обработка на данни, намерени с помощта на търсачка. В света на OSINT обаче търсачките представляват само шепа инструменти в изключително голяма кутия с инструменти. Когато тези инструменти се комбинират и събраните данни се обработват ефективно, е възможно да се получат обезпокоителни нива на информация за всички, освен за най-закоравелите цели.

Екранната снимка по-долу показва само някои от инструментите, изброени от OSINT рамка но дори този избор едва драска повърхността, особено ако включим свързаните умения, необходими за ефективно събиране и след това корелиране на данни.

osint рамка

Когато става въпрос за онлайн разследвания за борба с пиратството, OSINT инструментите и техниките могат да изглеждат почти пригодени за поставената задача. Всяка отделна информация за оператор на сайт (като име на домейн, IP адрес или имейл адрес) има потенциала да разкрие онлайн отпечатъка на дадено лице. И тъй като днешният онлайн живот обикновено е неразривно преплетен с този, на който се наслаждавате офлайн, не е трудно да се види къде могат да стигнат нещата.

IPTV – Примери за разследване

През 2021 г. проект, финансиран от Европейски съюз/EUIPO изнесе презентация в Азия, която се фокусира върху разследването на различни играчи в незаконната IPTV екосистема. Таблицата по-долу изброява всичко от доставчици на съдържание, агрегатори и разработчици до пари и „абонаментни мулета“ – иначе известни като „препродавачи“.

iptv екосистема

Един интересен раздел се отнася до сървърните устройства, известни като „транскодери“. Видео потоците се изпращат до тези сървъри от външни източници (телевизия на живо или IP потоци) и след това се прекодират/преобразуват в множество потоци за доставка до устройства за гледане на множество потребители, обикновено чрез друга мрежова инфраструктура.

Конкретният модел, споменат в слайдовете (TBS8520) може да се управлява с помощта на система, наречена „Kylone“, която е достъпен с помощта на уеб браузър. И така, когато следователите потърсиха „Kylone“, използвайки „ZoomEye(OSINT търсачка за „Интернет на нещата“) системата успя да предостави информация за повече от 141 транскодери. (Забележка: Използване Shodan също е вариант)

ловни транскодери

Да знаете къде се намират тези сървъри е полезна информация по очевидни причини. IP адрес (като първия резултат в диаграмата по-горе) има потенциал да доведе до a име на хост или дори използване на физическо местоположение прости инструменти.

(Забележка: Хостинг компаниите, включително тази в примера, може да нямат представа, че клиентът е замесен в незаконни дейности и, във всеки случай, въпросният клиент вероятно отдавна го няма)

Ulango.TV: Урок как да те хванат

През януари 2020 г. открихме, че Алиансът за творчество и развлечение е свалил Ulango.tv, „IPTV решение“, предлагащо хиляди канали на живо чрез приложение. Доколкото ни е известно, ACE все още не е поел отговорност, но няма съмнение, че са го свалили или са били замесени по някакъв начин.

Според слайдове в презентацията на ЕС/EUIPO, разбиването на случая е простота. Въоръжени с името на домейна на сайта (ulango.tv) и a WHOIS услугаследователите са успели да получат IP адрес и подробности за компанията, хостваща сървъра.

След това те създадоха карта на сайта ulango.tv използвайки този инструмент, който създаде списък с външни сайтове, към които домейнът .tv е свързан. Това включва връзка към акаунт в Twitter и друго парче от пъзела.

Обръщайки се след това към Hunter.io, много мощна услуга за разследвания, свързани с имейли, те потърсиха домейна Ulango.tv и намериха имейл адрес, свързан с него. На този етап изглежда, че са използвали малко измама.

Използване на услугите Фалшива поща и Генератор на фалшиви лица те направиха акаунт в Ulango.tv с фалшива информация. Очевидно има причини следователите да не искат да се излагат в ситуации като тези, тъй като това може да бъде контрапродуктивно.

ulango фалшив

Както показва слайдът, следващата стъпка беше да се премине към закупуване на премиум услугата на сайта за прекрасната сума от две евро. След това, след натискане на бутона „касиране“, им беше дадена опция за плащане с кредитна карта или банков превод.

Поради необходимост беше предоставен IBAN номер заедно с името на титуляра на сметката, име, което също се появи по-рано в разследването. Не беше трудно, но изглежда е било ефективно.

IPTV разследване с помощта на множество инструменти

И накрая, слайдовете описват подробно друго разследване, но тъй като нашите проверки показват, че платформата все още е активна, не възнамеряваме да я назоваваме тук. Вместо това просто ще преминем през стъпките.

Използвайки името на домейна на сайта, следователите са използвали Viewdns.info, за да извършат a WHOIS търсене за разкриване на името на регистранта на домейна. Въоръжени с това име те проведоха a обратно WHOIS търсенекойто показва други домейни, регистрирани от същото лице.

Общо тези стъпки извадиха име, имейл адрес, потенциален физически адрес и 10 допълнителни домейна, свързани предимно с пиратски IPTV услуги.

Следващата стъпка беше да заредите основния домейн и да видите неговия източник с помощта на обикновен браузър. Чрез търсене в този изходен код за термина „UA-“ те успяха да намерят идентификационния номер на сайта в Google Analytics. Чрез провеждане на a Обратно търсене в Google Анализдруги сайтове, използващи същия идентификатор, бяха разкрити и свързани с първия сайт.

След това беше въпрос на опит за плащане на абонамент на първия сайт и забелязване, че плащането се обработва от друг. Този сайт беше (и все още е) представен като законен бизнес и като такъв е регистриран като дружество с ограничена отговорност в Обединеното кралство.

Всички дружества с ограничена отговорност в Обединеното кралство имат регистрация на адрес Къща на компаниите (друг страхотен OSINT ресурс) и търсенето там даде името на директора (чужд гражданин), дата на раждане и адрес в Лондон. Последният е известен виртуален офис и дом на много хора, които предпочитат да не се отказват от реалния си адрес.

На този етап слайдовете не разкриват повече, така че не е ясно дали разследването е приключило дотук или все още продължава. Изглежда, че въпросните сайтове работят само за образователни и развлекателни цели, ще видим дали случаят може да бъде разбит с помощта на невероятните възможности на Малтего и Спайдърфут.

Тези инструменти позволяват на потребителите да автоматизират своите OSINT заявки и разследвания, но такова кратко описание прави огромна лоша услуга и на двамата. И двете имат безплатна опция, така че няма извинение да не ги опитате, за предпочитане във виртуална машина и със сигурност зад VPN, особено в случая на последното.

Публикациите се превеждат автоматично с google translate

Източник: torrentfreak.com


Сподели