Jak zidentyfikować autora e-maila?
Kanadyjscy naukowcy z Concordia University twierdzą, że udało im się opracować metodę, która z dużą dokładnością pozwala na zidentyfikowanie autora e-maila. Może się ona przydać w sądzie, gdyż coraz więcej przestępstw jest dokonywanych za pomocą poczty elektronicznej, a jednocześnie brakuje wiarygodnej spełniającej odpowiednie kryteria metody, która umożliwi wskazanie autora listu w sytuacji, gdy z jednego adresu IP korzysta wiele osób.
W ciągu ostatnich lat zauważamy alarmujący wzrost liczby cyberprzestępstw, podczas dokonywania których wykorzystywane są e-maile. Listy elektroniczne służą do rozprzestrzeniania szkodliwego kodu, pornografii dziecięcej, ułatwiają komunikację pomiędzy przestępcami - mówi profesor Benjaming Fung, specjalista od eksploracji danych.
Policja niejednokrotnie identyfikuje adresy IP i powiązane z nimi fizyczne adresy, z których popełniono przestępstwo, jednak w sytuacji, gdy do adresu lub komputera ma dostęp wiele osób, trudno jest komukolwiek udowodnić winę.
Fung i jego zespół wykorzystali techniki używane podczas rozpoznawania mowy i eksploracji danych. Najpierw analizują oni e-maile za pomocą których popełniono przestępstwo, by wyodrębnić z nich charakterystyczne wzorce wypowiedzi. Następnie analizowane są e-maile autorstwa podejrzanych, w których również identyfikuje się cechy charakterystyczne. Porównanie znalezionych wzorców pozwala na stwierdzenie, który z podejrzanych jest autorem listu. Uczeni mówią, że nasze sposoby wypowiedzi są równie unikatowe jak odciski palców. Powiedzmy, że badany e-mail zawiera literówki, błędy gramatyczne czy że został cały napisany małymi literami. Używamy ich do stworzenia wzorca. To pozwala nam z dużym prawdopodobieństwem nie tylko zidentyfikować autora listu, ale nawet przed jego poznaniem określić jego płeć, narodowość czy poziom wykształcenia - mówi Fung.
Naukowcy przetestowali swoją technikę na Enron Email Dataset, zbiorze emaili, który zawiera ponad 200 000 autentycznych listów elektronicznych autorstwa 158 pracowników Enrona. Wykorzystano po 10 próbek 10 różnych pracowników. W sumie test przeprowadzono na 100 e-mailach. Okazało się, że skuteczność identyfikacji autorów listów wynosi 80-90 procent.
Nasza technika powstała po to, by dostarczyć wiarygodnego dowodu, który może być przedkładany sądowi. Taki dowód może być wiarygodny tylko wówczas, gdy śledczy są w stanie wyjaśnić, w jaki sposób doszli do wyciągniętych przez siebie wniosków. Ta metoda na to pozwala - dodaje Fung.
Komentarze (28)
meroving, 9 marca 2011, 14:44
Słabe, żaden sad na to nie pójdzie.
Żeby podszyć się pod kogoś i obejść tą metodę wystarczy ctrl+c ctrl+v.
Może do jakiś badań statystycznych to się przyda i do marketingu.
mnichv10, 9 marca 2011, 18:10
Nie wiem, jak wam, ale mi wynik rzędu 80-90 % w przypadku próby 10 osób jeszcze nie dowodzi rzeczywistej skuteczności. Poza tym wiedząc, jakie kryteria są brane pod uwagę przy takiej identyfikacji, przestępcy mogą celowo formułować maile inaczej, niż zwykle, bo co to za problem zwracać uwagę na dokładność pisania, zresztą autokorekta też jest. No chyba, że to już będą kompletni idioci lub rozkojarzeni ludzie.
Tolo, 9 marca 2011, 18:32
Co za bzdury.
Po pierwsze skąd wiadomo która cześć maila jest autorstwa Kowalskiego? Przecież równie dobrze może coś forwardować jawnie lub niejawnie na przykład dowcip znajomemu lub jakakolwiek inna treść której autorem nie jest i nie miał wpływu na jej cechy charakterystyczne. Kolejny problem to taki ze jak przestępca jest w miarę kumaty to zadba o to żeby nie było go tak łatwo znaleźć w oparciu o adres IP.
Jak już gościowi "wjadą na chatę" i "zawiną sprzęt" to porównywać e-maili już nie ma co, bo u takiego człowieczka dowody zbrodni znajdzie się bez większych porblemów na dysku.
Nie specjalnie widzę tez analizę maili wszystkich domowników skoro podejrzany jest jeden. Bo równie dobrze można by analizować maile wszystkich pod tym kontem już przez serwer SMTP, na przykład przez ustawowy nakaz robienia przez operatorów telekomunikacyjnych "profili emailowych".
Dlaczego służby jakieś tam miały by traktować wszystkich domowników jako winnych i naruszać ich tajemnice korespondencji skoro z góry wiadomo ze winna jest jedna osoba?
thikim, 9 marca 2011, 23:12
Wbrew temu co piszecie ma to sens. Jako poszlaka, nie jako dowód. Poszlaki także są ważne.
Jeśli świadek mówi przykładowo że przestępstwa dokonał wysoki biały mężczyzna to prawdopodobnie w 20 % świadek się myli ( bo go pamięć zawodzi, wzrok nie ten, widział co chciał widzieć, zmyśla itp.) Ale jest to poszlaka istotna przy typowaniu podejrzanych, mimo tak wielkiego marginesu błędu.
Tak samo tutaj. Błędy są znaczne. Jeśli jednak mamy dwóch podejrzanych wytypowanych na podstawie innych technik to taki program będzie decydujący.
Tak naprawdę stosowano to od dawna, tylko raczej ręcznie. Analiza Biblii od lat opiera się na tym. 1 księga Biblii, Genesis ma przynajmniej 4 autorów. I to wytypowano dzięki analizie tekstu w taki sposób, tylko nie automatyczny, ale ręczny.
Tolo, 9 marca 2011, 23:36
thikim
Masz przestępstwo masz ofiarę masz adres IP. Tobie nie jest potrzebna poszlaka tylko dowód winy. Ty nie typujesz podejrzanego boich mas juz kilku.
Poza tym "mail przestępczy" jest krótki i wcale nie jest powiedziane ze będzie charakterystyczny. Taka sama informacje tylko niezaprzeczalną możesz uzyskać z aktywności danego konta na komputerze. Czy analizy czasu w jakim dany user korzysta z komputera. Dopasujesz najlepiej do syna Kowalskiego a to syn Nowaka prze wifi Kowalskiego rozrabiał. Równie dobrze możesz sprawdzić u operatora czy Kowalski w danym czasie wysłał maila.
Jajcenty, 10 marca 2011, 07:32
Mnożenie sceanriuszy w których metoda jest bezradna nie zmienia jej stosowalności. Równie dobrze możemy wyrzuć identyfikację DNA bo przestępcy nie zawsze zostawiają DNA (np hakują kompa i kradną szmal z konta) albo łatwo wynik zniekształcić (O.J.Simpson)
Tolo, 10 marca 2011, 10:32
Ta metoda nie jest powszechnie uznana ma na to raczej nikle szanse a co za tym idzie wartość dowodowa jej jest nikła w przeciwieństwie do badań DNA które są przez uczonych po pierwsze powszechnie akceptowane po drugie badania porównawcze tego samego materiału w rożnych laboratoriach dadzą ten sam wynik z dużym prawdopodobieństwem w tej metodzie wszystko zależy od algorytmu a raczej od wag nadanym poszczególnym cechą charakterystycznym z silna dozą przyadku wynikająca na przykład z porządków w skrzynce nadawczej.
Taka metoda miała by sens jedynie gdyby profil był robiony na serwerze dla konta mail przez x lat i dla każdego maila. Tylko ze to był by BigBrotheryzm.
Jajcenty, 10 marca 2011, 11:09
1) Identyfikacja na podstawie DNA nie jest dokładna - z Angli (gdzie uruchomiono dobrowolny program zbierania "odcisków" DNA) dochodziły sygnały o wynikach fałszywie dodatnich.
2) Głowny dowód z DNA w sprawie O.J.Simpsona został obalony przez twórcę tej metody (nota bene noblistę)
3) każdy ma ulubione słowa, moje to "paradygmat" Jeśli widzisz 3 paradygmaty w jednej wiadomości to na 95% jest to mój tekst. Ale brak słowa "paradygat" nie wyklucza mojego autorstwa.
4) Masz jakikolwiek problem z identyfikacją klonów Waldiego?
Tolo, 10 marca 2011, 11:34
Tylko ze jeśli ja z jakiś powodów użyje kilka razy słowa paradygmat, bo słowa paradygmat użyłeś jako przykładu charakterystycznego dla Ciebie w tekście. Czy przez to ze pisze o paradygmatach stałeś się autorem tego posta? A za takiego mógł byś zostać wzięty przez system.
No i trochę trudno umieścić słowo paradygmat w mailu z pogruszkami czy tez w takim o treści "w szkole jest bomba!". Jeśli ktoś jest informatykiem naukowcem ekonomistą i tak dalej może mieć np jakieś naleciałości zawodowe w ogóle komunikacji którą kieruje do ludzi w swoim fachu ale wcale nie jest powiedziane ze te cechy charakterystyczne wystąpią gdzieś indziej. Przykładem może być gwara śląska. Są ludzie którzy władają tylko nią ale są ludzie którzy władają ją na zasadzie drugiego języka i się "przełączają" zależne od odbiorcy. Poza tym taka analiza się wywali jeśli osoba będzie prowadzić komunikacje w wielu językach co jest dziś relatywnie częste bo się różne rzeczy mogą rozmyć.
Jestem zdania ze tego typu emaile (przestępcze) nie rządzą się tego typu prawami co normalna korespondencja bo w większości przypadków piszący podchodzi do tego bardziej lub mniej emocjonalnie niż do zwykłej korespondencji. Badanie DNA ma porblem tylko z błędami samej metody. A w przyadku mail juz materiał wejściowy jest ze tak powiem nieobiektywny i ta metoda jest podatna na manipulacje. Jeśli napisze list 13 zgłoskowcem to winny będzie Adam Mickiewicz?
Cały czas mam przed oczami jakiś list sklejony z liter z gazet tu tak samo będzie tylko nie będzie tego widać od razu.
MikiWay, 10 marca 2011, 11:47
To samo co wycinanie z gazety litery i słowa i wklejanie ich do anonimów, równie dobrze można zestawiać całe zdania wyjęte z różnych kontekstów w nowe treści. W ten sposób można wziąć na warsztat jakiegoś blogera z dużym dorobkiem tekstowym i skierować podejrzenia na niego, pole do manipulacji jest ogromne.
pogo, 10 marca 2011, 17:15
to tylko jedna z metod, która od czasu do czsu może się przydać...
a automat do tego tylko przyspieszy pracę, która była wykonywana ręcznie...
prawie każda metode da się oszukać, kwestia tylko tego czy sprawca się wysili by tego dokonać
a mailem przestepczym może być też instrukcja budowy bomby, czy plan dokonania ataku terrorystycznego, może to też być mail, w którym siępod kogoś podszywasz usiłując wyłudzić informacje, zastraszanie kogoś całymi latami itp itd...
tutaj już tzreba się wykazać w bardzo dużym stopniu własną inwencją by coś sensownego napisać i pojawia się szansa, że Cię po tym namierzą...
temp, 11 marca 2011, 13:36
Moim zdaniem metoda bardzo łatwo do obejścia. Przykładowo, wystarczy dany tekst przepuścić przez translator w obie strony, następnie poprawić zdania tak, aby tworzyły ponownie spójną całość wykorzystując zasugerowane przez translator słownictwo czy budowę zdań.
Przepuszczam ten tekst przez translate.google.pl i tak wygląda nowa forma poniżej.
W mojej opinii, metoda jest bardzo łatwa do obejścia. Na przykład, wystarczy tylko przepuścić tekst przez tłumacza w obu kierunkach, a następnie poprawić zdania tak, aby ponownie tworzyły spójną całość używając słownictwa i konstrukcji zdaniowych, sugerowanych przez tłumacza.
Jajcenty, 11 marca 2011, 13:52
Ostatni raz: mnożenie scenariuszy w których metoda zawodzi nie czyni jej bezużyteczną. Wspomnianą metodę łatwo obejść NIE wysyłając e-maila. Nie muszę się zastanawiać, zmieniać stylu i słownictwa, używać translatorów itp. najdziksze pomysły. Wystarczy nie pisać. Tak, jak wystarczy nie zostawić swojego DNA czy odcisków palców.
temp, 12 marca 2011, 13:57
Tak, to bardzo sprytne, natomiast dałeś przykład, w którym metoda ta nie miałaby podstaw istnienia, ja natomiast pokazałem prosty sposób, przy którym funkcjonująca metoda da zupełnie nieprawidłowe wyniki, przez co jej użyteczność może zostać zredukowana tak bardzo, że jakakolwiek implementacja i przeznaczenie na to nakładów finansowych mija się z celem już w momencie tworzenia samej metody.
Oczywiście, jest to też sytuacja podobnie ekstremalna, w dzisiejszych czasach, co zaproponowanie przez Ciebie nie wysyłanie e-mailów.
Natomiast, jeśli taka metoda stała by się standardem to, również standardem stałoby się wykorzystywanie, przez co bardziej rozgarniętych oszustów tak banalnego rozwiązania w celu jej ominięcia.
Konkluzja jest taka, że skuteczność tej metody jest odwrotnie proporcjonalna do wiedzy społeczeństwa o tym, że jest ona wykorzystywana.
Aha, i zgadzam się z Tobą, że mnożenie scenariuszy, w których dana metoda zawodzi nie czyni jej bezużyteczną. Często natomiast pozwala wykluczyć scenariusze, w których implementacja danego rozwiązanie nie tylko nie da oczekiwanych rezultatów, ale również przyniesie straty finansowe. Myślenie nie boli, strata czasu czy pieniędzy przez bezmyślność już tak.
waldi888231200, 12 marca 2011, 19:01
Właśnie , a co robi fryzjer z obciętymi włosami?? wyrzuca do śmieci?? to nie bądź zdziwiony jak kiedyś przy okazji jakiegoś głupstwa Policja pobierze twoje DNA (tak jak dziś odciski palców) i zostaniesz oskarżony o seryjne morderstwa sprzed 5lat albo włamania do np: banków. Zabierajcie swoje włosy od fryzjera. Jak byłem mały, to fryzjer miał piecyk i jak skończył strzyżenie sprzątał włosy i do piecyka (zanim zapłaciłeś).
Tolo, 13 marca 2011, 11:13
Zasadniczo sprawa jest prosta. Mając dostęp do maili (czyli zajęty komputer) mamy dostęp do szeregu innych informacji. Analizę maili i tak musi przeprowadzić wyspecjalizowane laboratorium z zachowaniem pewnych procedur by wyniki miały wartość dowodową. Nie ważne czy to będzie policyjne czy zewnetrzne. W kazdym razie można w takiej procedurze uzyskać dowody znacznie bardziej obciążające niż jakaś analiza maili (dość umowna). I teraz jeśli jedynym dowodem będzie ta analiza miali to brak "twardszych" dowodów winy jest z automatu dowodem niewinności bo można tym obalić cokolwiek by z analizy maili nie wyszło, pomijając już w ogóle zastrzeżenia do metody.
mikroos, 13 marca 2011, 12:49
Z obciętego włosa bez cebulki? Byłby to nie lada przełom w kryminalistyce
wilk, 13 marca 2011, 14:15
Fajna dyskusja, ale zdaje się, że wszyscy zapominają o tym, że:
1. Po co ktoś ma wysyłać maile z groźbami albo szantażem z domowego lub firmowego komputera oraz łącza. Od tego są kafejki czy niezabezpieczone WiFi.
2. Po co ktoś ma zostawiać na kompie kopie wysłanych obciążających go dowodów? Na pamiątkę?
3. Skoro jedziemy po bandzie, to jedźmy na całego. Truecrypt.
Ta technologia jest dość wątpliwa, ale pozwala postawić poszlaki. Na ich podstawie nikogo nie skażą ani nie aresztują, ale zawęzi to grono podejrzanych i umożliwi precyzyjniejszą obserwację, poprzez np. podsłuch.
Tolo, 13 marca 2011, 14:51
wilk
Po co ktoś ma wysyłać maile z groźbami albo szantażem[..]
Sprawa jest taka ze nie chodzi o "jego" komputer tylko o jakikolwiek komputer który w jakiś sposób musi być jednak wskazany. Bo podejrzany musiałby być cały świat. Jak nie ma jakiś dowodów wskazujących w jakąś stronę to spraw umiera śmiercią naturalną. No i sprawa ma jeszcze jeden aspekt, to jest polowanie na idiotów tak naprawdę bo przy odpowiedniej wiedzy i rozumieniu pewnych mechanizmów i protokołów można bezpiecznie wysłać maila dowolnej treści nawet z domu. I niczego się nie obawiać z zarekwirowaniem komputera włącznie. Ale przy pewnych założeniach czyjeś wifi to dobry substytut tego
. No i teraz do kogoś wpada policja rekwirują komputery i okazuje się ze analiza maili wskazuje na ma pana tatusia albo panią mamusie a pani mamusia była wtedy w Tokio albo w pracy.
2. Po co ktoś ma zostawiać na kompie kopie wysłanych obciążających go dowodów? Na pamiątkę?
Dowody elektroniczne to sprawa znacnzie szersza niż jakiś zapisany plik. nawet jak go nie zapisaliśmy fizycznie to mógł się zapisać jako temp czy nawet jako zrzut pamięci. System operacyjny to jest tak wielki śmietnik ze rożne rzeczy można znaleźć co więcej nie muszą to być wcale dowody wprost.
3. Skoro jedziemy po bandzie, to jedźmy na całego. Truecrypt.
To nie jest jazda na całego
i ma pewne słabe strony. Można pojechać jeszcze ostrzej. I wcale do HDD nie trzeba strzelać czy wysadzać go w powietrze.
Żeby ta metodą można było zawęzić grono podejrzanych. To by trzeba szpiegować wszystkich na serwerach mail. Jak by to było coś warte to by to komuś sprzedali po cichu żeby nie zmniejszać użyteczności. Widać nikt nie chciał kupić.
waldi888231200, 13 marca 2011, 20:10
Wystarczy że stwierdzą iż identyczne włosy jak na twojej głowie znaleziono w 10 miejscach zbrodni i będziesz sobie musiał przypomnieć co robiłeś 10lat temu przed południem albo 5 lat temu o 16.45
Wszak biologiczny materiał łatwo znaleźć i schować jako dowód, dobrze ci radzę zabieraj obcięte włosy ze sobą.
mikroos, 13 marca 2011, 20:21
Oj, ciągle nie doczytałeś ze zrozumieniem
Włos bez cebulki NIE POSIADA MATERIAŁU GENETYCZNEGO, więc nijak nie stwierdzisz, czy jest identyczny czy też nie 
Więc nie siej zamętu.
waldi888231200, 13 marca 2011, 20:40
Oj , kiepski jesteś - napiszę więc jak to zrobić dzisiaj .
Bierzemy włos, mielimy, oblepiamy igłę , wypompowujemy powietrze, 10 min światło rentgenowskie, klisza , skan do kompa, klisza do archiwum. Po dodaniu do kompa jak już jest coś podobnego to łączymy sprawy i czekamy, aż się nóżka powinie albo się ktoś przyzna do jednej z nich.
Metoda stara tak z 60lat.
mikroos, 13 marca 2011, 20:41
Bzdura. W ciągu życia możesz włosa zapaskudzić tyloma różnymi substancjami, że potwierdzenie tożsamości właściciela praktycznie nie jest możliwe. Przykro mi.
Poza tym nie za bardzo rozumiem, po co ktokolwiek ma się bawić we fryzjera, skoro wystarczy przetrzeć komuś skórę albo wyjąć ze śmietnika jego zużytą chusteczkę do nosa.
waldi888231200, 13 marca 2011, 20:45
Wszystkie pierwiastki dadzą ślad (wczorajszy szampon również) ale wzorzec dla danego osobnika bedzie jednakowy na wszystkim (takie piętno produkcyjne DNA danego osobnika). Włos włosowi nie równy a metoda dokładna.