"Kawan I detect IP dia. Check location memang betul rumah dia. So memang confirm la akaun tu X punya" – Netizen.

Mitos lah.

Mana boleh dapat lokasi tepat seseorang melalui IP. Kalau dapat IP pun, kau hanya boleh tahu IP tu dalam Malaysia, tapi jauh nak mampus dari orang tu

Kau tak boleh jejak IP sesiapa pun kat Twitter ni, melainkan:

- Twitter yang provide (mustahil, kita bukan siapa-siapa).
- Kau setup web untuk baca IP → hantar kat dia → dia visit.
- Kau berada dalam local network yang sama dengan dia & boleh monitor network tu.

Tapi kalau dapat IP pun, macam aku cakap tadi lah. Mana boleh dapat lokasi tepat orang tu. Boleh check sendiri kat sini http://whatismyip.com .

Memang ada servis yang kita boleh guna untuk dapatkan lokasi IP (seperti MaxMind GeoIP), tapi lokasi tersebut tidak tepat.

Run `traceroute <ip_addr>` pun tak boleh dapat lokasi tepat orang (tiber)

Jadi, agak kelakar la kalau netizen bagitahu dia jejak IP seseorang kemudian siap boleh canang IP itu berada di lokasi premis/rumah sekian-sekian.

"Possible ke untuk dapatkan lokasi tepat seseorang tanpa menghubungi Internet Service Provider (ISP)?"

Possible, tapi bukan melalui IP address.

Salah satu cara yang possible adalah menggunakan Geolocation API.

Kalau korang nak jejak lokasi seseorang guna GeoAPI ni, kau kena ada permission daripada orang tu untuk akses lokasinya guna GPS (kalau guna phone)

Kita boleh memanfaatkan GeoAPI ni menggunakan JavaScript. Kalau browser orang tu sokong Geolocation, navigator.geolocation tu akan available lah.

Di bawah ni adalah contoh kod mudah dan browser compatibility (dari http://caniuse.com ):

Hasilnya korang boleh tengok sini guna phone (VPN takde kesan ye kat sini): https://geotest.omvr.io 

Kalau allow location access, nanti korang akan dapat koordinat di mana korang berada sekarang. Jangan risau, aku tak record pun koordinat korang wallahi hehe.

Kalau korang cari koordinat tu kat Google Maps, korang akan dapat lokasi yang tepat kat atas bumbung rumah korang (bergantung kepada mekanisma yang digunakan dan ketepatan GPS)

Kalau lari sikit pun, marker tu masih berada dalam radius yang dekat-dekat (in many cases).

Kalau nak test link aku bagi kat atas tu, test la. Jangan risau, aku memang tak rekod lokasi korang – you're safe.

Kalau tak percaya aku, korang boleh tengok source codes. Korang akan dapati aku tak send data koordinat tu ke memana endpoint pun

Kesimpulannya, untuk dapatkan lokasi seseorang dengan mudah, hanya perlu setup web simple macamni je. Kemudian, hantar link (unique) tersebut kepada target.

Cuma syaratnya target kena allow location access ke website tu dulu la baru boleh dapat akses lokasi dia. Itu sahaja.

Namun, suka aku ingatkan di sini bahawa tiada benda extraordinary pun dengan cara ini.

Ini hanyalah cara biasa yang kita gunakan untuk dapatkan lokasi pengguna laman web kita sekiranya perlu. Janganlah ada pulak yang anggap benda ni "hack"

Walaupun begitu, aku rasa ia agak efektif dan berpotensi juga untuk dieksploitasi dengan kombinasi "orkestra" social engineering yang mantap.

Jadi, apa korang boleh dapat dari bebenang ini?

1. Cara akses lokasi dengan tepat.

Kalau memana website prompt untuk akses lokasi melalui GeoAPI, ini bermakna diorang sebenarnya dapat coordinate tepat kat mana korang berada, terutamanya kalau guna phone.

Give location access only when needed and if you trust the website.

2. Don't believe in horsesh_t.

Lepasni kalau ada orang cakap dia detect identiti seseorang melalui IP address, pedulikkan jelah dia dengan dunia dia haha. Sebagai rakyat marhaen, bukan boleh dapat gitu je lokasi orang.

Kau nak lokasi dia, kau mintak lah kebenaran dia dulu.

3. IP address

IP address is almost meaningless especially to non-IT person. Dengan IP, tak boleh buat apa sangat pun. Boleh detect dia duduk negara apa, guna ISP apa, etc. Namun ISP mungkin tahu lokasi anda.

Seseorang itu boleh juga sorok IP guna VPN, Tor, Proxy & sebagainya.

Tapi dengan IP boleh buat benda-benda juga. Contohnya scan open ports yang menarik seperti kamera yang disambungkan ke Internet.

Kalau kamera tu open dan tak secure, kita boleh live stream terus. Takut tak? Jangan syok sangat CCTV boleh tengok kat phone dari jauh kikiki

Peroleh sesuatu dari bebenang ni? Share dengan rakan korang!

---

Follow for more interesting topics in the future. Read my previous CSIT threads down below: https://twitter.com/omarqe/status/1155346037013221377

GLOSARI

IP = Internet Protocol. Setiap device yang terhubung ke Internet mesti akan diberikan IP address.

API = Application Programing Interface. Sebuah interface yang bertindak sebagai 'orang tengah' untuk sesebuah program berkomunikasi dengan program yang lain.

ISP = Internet Service Provider. Syarikat yang bagi akses Internet kepada pengguna. Di Malaysia contohnya TM dan syarikat-syarikat telco yang lain.

VPN = Virtual Private Network. Sebuah tunnelling service yang menghubungkan anda kepada Internet secara anonymous melalui encrypted tunnel.

ISP pun tak boleh monitor ke mana anda pergi.

Tor = The Onion Router. Sebuah network proxy yang menjadikan anda anonymous. Is juga memberikan akses kepada dark web. https://twitter.com/omarqe/status/1255397344654303234

Proxy = sebuah server yang bertindak sebagai 'orang tengah' antara anda dan server lain di Internet.

Selain VPN dan Tor, web proxy seperti http://hidester.com  juga boleh digunakan untuk jadi anonymous di Internet.

---

Nota Kaki:

Free VPN dan Web Proxy ini sebenarnya agak bahaya kerana mereka sangat berpotensi untuk log data pengguna.

Sebab kos untuk run servis begini bukannya murah. Tak logiklah diorang bagi free tanpa apa-apa benefit.