[sec-tools] unmask.py

Karena penasaran dengan tools ini yang beberapa hari belakangan digunakan untuk tes identitas LMH terhadap David Maynor, maka saya mencoba untuk melakukan sedikit testing yang ditujukan pada text blog cyberheb dengan y3dips (semoga tidak masalah blog nya di jadikan tes ya om 🙂 ). Tools unmask.py dapat di download pada http://www.immunitysec.com/downloads/unmask1.0.tar.gz

Berikut ini cuplikan dari readme tools unmask.py milik dave aitel:

‘This is version 1.0 of Unmask – a python script that attempts to unmask
anonymous text by matching its statistical properties against someone
else’s text with a known identity.

Other uses include determining “area of origin”,gender,age, occupation,
sexual orientation, etc from text’s statistical properties. Any decision
YOU can make against an unknown author, Unmask will also make. Of course,
it may be less or more accurate than your determination.

You should probably fiddle with it as you go, to make it work on whatever
sample set you have, before using it in the wild.

To use it, simple “store” text (with -s bob -f file.txt). Then just
compare your unknown file to that particular store, or use -i to compare
it to all stores. Make up a store of all male and all female text and
then compare some random weblog, just for kicks.’

Selanjutnya saya akan menggunakan data teks pada blog http://cyberheb.wordpress.com/2007/07/24/white-hats-drama/ dan membandingkan nya dengan isi blog http://cyberheb.wordpress.com/2007/07/24/exploiting-the-iphone/ . Selanjut nya akan mengambil data dari blog y3dips di wordpress http://y3dips.wordpress.com/2007/07/16/naik-motor/ dan menggunakan salah satu isi blog y3dips pada id-ubuntu http://ubuntulinux.or.id/blog/2006/06/04/the-blog-is-broken/, pada akhir cerita akan saya kemukakan mengapa memilih blog y3dips di ubuntulinux sebagai tes review (again, hope you don’t mind).

macbook:~/toolz/unmask-dave-aitel cyberheb$ ./unmask.py -s cyberheb -f RAWTEXT/white-hat-drama.txt
macbook:~/toolz/unmask-dave-aitel cyberheb$ ./unmask.py -f RAWTEXT/iphone.txt -i
 Comparing against cyberheb.pkl
 Compared to store/cyberheb.pkl with match value of: 86.0
 Matched closest with matchfile store/cyberheb.pkl:
 Identification information - file: store/cyberheb.pkl matchvalue:86.0 

Pada contoh tersebut, hasil blog saya yang kedua di bandingkan dengan hasil blog pertama dan nilai match nya 86.0. Selanjut nya saya akan mencoba compare blog milik y3dips di wordpress dengan ubuntulinux dan juga blog milis saya:

macbook:~/toolz/unmask-dave-aitel cyberheb$ ./unmask.py -s y3dips -f RAWTEXT/y3dips-wordpress.txt
macbook:~/toolz/unmask-dave-aitel cyberheb$ ./unmask.py -i -f RAWTEXT/y3dips-ubuntu.txt
Comparing against cyberheb.pkl
Compared to store/cyberheb.pkl with match value of: 81.0
Comparing against y3dips.pkl
Compared to store/y3dips.pkl with match value of: 85.0
Matched closest with matchfile store/y3dips.pkl:
Identification information - file: store/y3dips.pkl matchvalue:85.0

Blog y3dips yang di ubuntu menggunakan bahasa formal, dan yang di wordpress menggunakan bahasa informal. Hasil perbandingan nya masih tetap benar, yaitu blog tersebut di tulis oleh orang yang sama, dalam hal ini y3dips. Namun jika di bandingkan dengan blog milik saya juga hampir mendekati nilai nya, kenapa?!karena pada blog saya yang di jadikan referensi juga menggunakan bahasa informal (penggunaan kata ‘gw’ banyak di pakai misal nya), hal ini menjadi salah satu parameter yang digunakan oleh tools unmask.

Tes ini dilakukan sangat sederhana, tools unmask dapat di kustomisasi walaupun tidak terlalu dalam (seperti penambahan data pada file store untuk lebih meyakinkan identifikasi). Namun tools ini dipublish oleh dave aitel pada tahun 2002, tools berusia 5 tahun yang belum di update lagi inilah yang dijadikan salah satu acuan pembuktian apakah maynor identitas di balik LMH, pantas kah tools ini dijadikan salah satu tools andalan untuk meng-identifiasi dokumen seseorang yang bersifat anonymous?

Silakan coba, mungkin ada yang tertarik untuk membongkar identitas nick tertentu di dunia underground (double identity thing) ;-).

Advertisements

2 thoughts on “[sec-tools] unmask.py

  1. bah… gw ampe terima pingback di wordpress, gw kirain apaan, gara-gara kasih link malah jadi “tertuduh” yang dijadikan “kelinci percobaan” , whahahahahhaha…
    enjoy!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s