IP Editing: Privacy Enhancement and Abuse Mitigation/Privacy enhancement

This page is a translated version of the page IP Editing: Privacy Enhancement and Abuse Mitigation/Privacy enhancement and the translation is 65% complete.

IP-osoite

Mitä tietoa voi saada IP-osoitteesta?

Kuka tahansa vähänkin teknistä tietoa omaava voi saada paljon tietoa IP-osoitteen perusteella. Modernien hakukoneiden myötä iso osa tiedosta löytyy helposti mille tahansa IP-osoitteelle. Alla on WMF:n toimiston IP-osoitteelle tehty WHOIS-haku, joka näyttää minkälaista tietoa IP-osoitteesta voidaan nähdä:

$ whois 198.73.209.241 

NetRange:       198.73.209.0 - 198.73.209.255
CIDR:           198.73.209.0/24
NetName:        WMFOIT
NetHandle:      NET-198-73-209-0-1
Parent:         NET198 (NET-198-0-0-0-0)
NetType:        Direct Assignment
OriginAS:       AS11820
Organization:   Wikimedia Foundation, Inc. (WF-44)
RegDate:        2013-11-21
Updated:        2013-11-21
Ref:            https://rdap.arin.net/registry/ip/198.73.209.0

OrgName:        Wikimedia Foundation, Inc.
OrgId:          WF-44
Address:        1 Montgomery Street
Address:        16th Floor
City:           San Francisco
StateProv:      CA
PostalCode:     94105
Country:        US
RegDate:        2013-09-10
Updated:        2017-09-25
Ref:            https://rdap.arin.net/registry/entity/WF-44

OrgAbuseHandle: WOI-ARIN
OrgAbuseName:   WMF Office IT
OrgAbusePhone:  +1-415-839-6885 
OrgAbuseEmail:  officeit-bgp@wikimedia.org
OrgAbuseRef:    https://rdap.arin.net/registry/entity/WOI-ARIN

OrgNOCHandle: WOI-ARIN
OrgNOCName:   WMF Office IT
OrgNOCPhone:  +1-415-839-6885 
OrgNOCEmail:  officeit-bgp@wikimedia.org
OrgNOCRef:    https://rdap.arin.net/registry/entity/WOI-ARIN

OrgTechHandle: WOI-ARIN
OrgTechName:   WMF Office IT
OrgTechPhone:  +1-415-839-6885 
OrgTechEmail:  officeit-bgp@wikimedia.org
OrgTechRef:    https://rdap.arin.net/registry/entity/WOI-ARIN

Kyseinen IP-osoite antaa seuraavia tietoja:

  • Yritys, jolle kyseinen IP on rekisteröity. Etenkin pienten yritysten kohdalla tässä näkyy yrityksen itsensä sijasta se palveluntarjoaja, jonka IP-osoitetta yritys sillä hetkellä käyttää.
  • IP-osoitteen rekisteröitymispäivä.
  • Kyseisen yrityksen osoite, puhelinnumero, sähköpostiosoite ja muuta tietoa.

Alla on joitakin muita IP-osoitteisiin liittyviä termejä.

rDNS (reverse domain name system)

DNS eli Domain Name System on nimipalvelujärjestelmä, joka on kuin internetin puhelinluettelo. Se muuttaa nimet kuten en.wikipedia.org IP-osoitteiksi kuten 198.35.26.96. rDNS eli käänteisnimipalvelu toimii päinvastoin: se muuttaa IP-osoitteet nimiksi. Internet-sivustojen kohdalla nimi saattaa olla sama nimi, jonka olet tottunut näkemään, mutta ei välttämättä. Esimerkiksi lukijoille, jotka asuvat läntisessä Pohjois-Amerikassa, Wikipedian IP-osoite on 198.35.26.96. Käytämme toimintoa nimeltä host, joka on valmiiksi asennettuna Linux- ja Mac OSX -käyttöjärjestelmissä:

$ host 198.35.26.96
96.26.35.198.in-addr.arpa domain name pointer text-lb.ulsfo.wikimedia.org.

Kuten yllä olevasta nähdään, käänteisnimipalvelun toiminto ei vastaa nimeä "en.wikipedia.org". Se kuitenkin näyttää hallinnollista tietoa IP-osoitteesta ja eritoten sen, että se on Wikimedian IP, ja se kuuluu ulsfo:hon, joka on Wikimedian datakeskus San Franciscossa. Vaikka text-lb.ulsfo.wikimedia.org ei ole sama kuin en.wikipedia.org, se on silti domain-nimi. Voit jopa mennä osoitteeseen http://text-lb.ulsfo.wikimedia.org, tosin selaimesi hämääntyy ja luulee, että joku salakuuntelee yhteyttäsi. Domain-osoite voidaan myös muuttaa takaisin IP-osoitteeksi:

$ host text-lb.ulsfo.wikimedia.org
text-lb.ulsfo.wikimedia.org has address 198.35.26.96
text-lb.ulsfo.wikimedia.org has IPv6 address 2620:0:863:ed1a::1

There is no requirement that a reverse DNS entry exists, or that the reverse DNS entry is convertible back to an IP address, but it is fairly common.

Kuluttajien käyttämien IP-osoitteiden kohdalla on paljon vaihtelua siinä, mitä käänteisnimipalvelu niistä näyttää. Useimmiten se kuitenkin sisältää palveluntarjoajan nimen ja jotakin tietoa IP:stä. Alla on esimerkkinä Charter Communications -yhtiölle kuuluva Ip osoite:

$ host 24.123.4.5
5.4.123.24.in-addr.arpa domain name pointer rrcs-24-123-4-5.central.biz.rr.com.

Se ei kerro paljoa muuta kuin kyseisen palveluntarjoajan. Tämä toiminto on todennäköisesti hyödyllisempi instituutioiden kohdalla. Esimerkiksi kirjaston IP:lle tehty rDNS saattaa sisältää sanan "kirjasto".

GeoIP

Monet yritykset keräävät listoja IP-osoitteista ja niiden summittaisesta sijainnista maapallolla. IP-osoitteiden omistus voi muuttua usein, joten tehtävä ei ole helppo. Yleensä tieto on suhteellisen tarkka ainakin valtion tasolla. Yhdysvalloissa ja Kanadassa se kertoo usein oikein myös osavaltion/provinssin. Sen pienemmille alueille se on yleensä epätarkka. Tunnetuinta tällaista listaa ylläpitää MaxMind. Wikimedia käyttää MaxMindin listaa, kun tietyillä alueilla oleville lukijoille halutaan näyttää CentralNotice-banneri. (Jos esimerkiksi halutaan mainostaa paikallista wikitapahtumaa.)

Interenetissä on useita (jonkin verran epäilyttäviäkin) sivustoja, joita käyttämällä voi katsoa IP-osoitteen sijainnin. https://ipstack.com/ on yksi tällainen sivusto.

Blacklists

Monet ryhmät ylläpitävät listoja erilaisista IP-osoitteista, joita käytetään esimerkiksi spämmäämiseen tai muuhun pahantahtoiseen toimintaan. Tällaiset listat voivat auttaa päättelemään, onko tietty IP avoin välityspalvelin tai käytetäänkö sitä haitalliseen toimintaan.

AS-numero (Autonominen järjestelmä)

Internetissä toimivilla organisaatioilla on AS-numero (Autonomic System, Autonominen järjestelmä), jota käytetään hallinnollisiin ja reititystarpeisiin. Se yleensä sisältyy whois-tietoihin, mutta AS-numeroita varten on myös erityisiä välineitä. Yksityisyyden kannalta tämä tieto ei ole kovin tärkeää, mutta se kertoo tietoja IP-osoitteen omistavasta organisaatiosta. Esimerkiksi tässä on tiedot Wikimediasta (AS14907).

Traceroute

Traceroute is a tool to see the path a message takes when you send it somewhere on the internet. While it is useful for debugging, it mostly isn't all that useful from a privacy perspective. It can help find rough geographic locations, as usually the hops along the path get closer, and often these hops have location info in their reverse DNS. However, generally GeoIP databases are much better at this task.

For example, here is the traceroute coming from west coast North America, going to tools.wmflabs.org (Which is located in Ashburn, Virginia)

$ traceroute tools.wmflabs.org
traceroute to tools.wmflabs.org (185.15.56.11), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  344.557 ms  344.503 ms  344.487 ms
[... early hops omitted for privacy]
 5  sea-b2-link.telia.net (213.248.66.92)  308.709 ms  309.344 ms  308.181 ms
 6  chi-b21-link.telia.net (62.115.117.49)  653.177 ms  138.452 ms  151.218 ms
 7  * * nyk-bb2-link.telia.net (62.115.137.58)  158.432 ms
 8  ash-bb3-link.telia.net (62.115.141.244)  159.748 ms  159.100 ms *
 9  ash-b1-link.telia.net (62.115.143.121)  161.286 ms ash-b1-link.telia.net (62.115.143.79)  161.425 ms ash-b1-link.telia.net (62.115.143.121)  148.632 ms
10  wikimedia-ic-308845-ash-b1.c.telia.net (80.239.132.226)  148.194 ms  172.348 ms  171.331 ms
11  toolforge.org (185.15.56.11)  170.768 ms  204.919 ms  204.886 ms

As you can see, some of the reverse DNS entries have the phrase "ash" in them, hinting that messages are passing through Ashburn. In this particular case, this is more useful than GeoIP, which seems to think toolforge is in the Netherlands for some reason.

Knowing when someone is connected to the internet

In rare circumstances, knowing someone's IP allows you to know if they are currently connected to the internet (E.g. their computer is on) by pinging them. In an age of NAT and ICMP filtering, this is usually not actually possible.

Similarly, sometimes you can use fingerprinting to determine what operating system (e.g. nmap -O). Again, this is not really possible for most consumers who have some sort of NAT sitting between them and the internet

Various ways in which IP addresses are used

Osa esimerkeistä on otettu näistä keskusteluista:

  • IP:n aiemman muokkaushistorian näkeminen. Jotkin IP-osoitteet ovat hyvin pysyviä, ja tiedän ihmisiä, jotka ovat muokanneet anonyymisti vuosia samasta IP:stä ja tehneet kymmeniä artikkeleita samalla IP:llä (mutta mahdollisesti he ovat myös rikkoneet sääntöjä). On tietenkin hyödyllistä, että pystyy kommunikoimaan tällaisten ihmisten kanssa, jotka eivät halua rekisteröidä tunnusta. Heidän tunnisteensa täytyy kuitenkin pysyä samana eikä muuttua päivittäin, koska he saattavat muokata samaa artikkelia samasta IP:stä jopa vuosia.
  • IP-alueen muokkausten tarkistaminen. IP:n ollessa dynaaminen on erittäin hyödyllistä tietää, onko sen läheisillä IP-alueilla aktiviteettia. Esimerkiksi jos vandaalilla on tietynlainen häiriköivä muokkaustapa (esim. päivämäärien muuttaminen artikkeleissa), ja muokkaukset ovat dynaamisella IP-alueella, on tietenkin hyödyllistä nähdä kaikki kyseisen alueen muokkaukset.
  • Väärinkäyttösuodattimen asettaminen osoitealueelle. Jos joltakin IP-alueelta tulee jatkuvasti tietynlaista vandalismia (esim. tiettyjä sanoja, jotka voivat olla OK tietyissä artikkeleissa, mutta eivät kaikissa), voimme joutua rajoittamaan sentyyppisiä muokkauksia kyseiseltä osoitealueelta. Tämä on vaihtoehto sille, että asettaisimme muokkauseston kokonaiselle, mahdollisesti laajalle osoitealueelle, mikä taas estäisi myös hyödyllisiä muokkauksia muilta käyttäjiltä.
  • Järjestelmänlaajuisten muokkausten näkeminen. On erityisen tärkeää, että tunnisteet ovat samat kaikissa wikeissä, jotta wikien välistä vandalismia voidaan estää. Tämä on tärkeää etenkin sellaisten spämmääjien kohdalla, jotka lisäävät spämmäyslinkkejä moneen wikiin samasta IP-osoitteesta.
  • Check if an IP is a proxy, VPN or Tor node. This is usually more advanced than automatic tools can allow, particularly in cases when people use proxies or VPNs to hide links with their main accounts in an abusive way. Sometimes I literally google an IP to find if I happen to find it in some proxy or VPN list.
  • Check if users/IPs belong to same network/geography. Some providers use multiple ranges with very different IP patterns (like a 128.*.0.0/16 and a 192.*.0.0/16), and a user (both registered and anon) might move from one to another without notice. Some users (both registered and anon) use two different providers (like home and mobile) but in a very specific location, and we can link accounts by this location. For example, if two IPs from the same town but different networks in Malaysia participate in the same discussion in Ukrainian Wikipedia, they very likely belong to the same person.
  • Check location of an IP. Unlike the previous case, location can be used in a positive context. For instance, an IP adding information of some obscure politician in China is possibly a vandalism. However, a Chinese IP adding information about a Chinese politician is less likely to be reverted.
  • Check organisation of an IP. This is needed for paid editing / COI matters. For example, an edit to an article about an MP made from the Parliament's IP (be it a registered or an anon user) is very likely an undisclosed paid editing or a COI and requires relevant actions.
  • Running the IP over various abuse databases such as stopforumspam, and the cbl