eMail Forensic

Krzysztof BińkowskiMCT,CEH

Spotkanie PEPUG 58 – 15.05.2014

Agenda

• Przestępstwa z wykorzystaniem wiadomości Email• Jak działa email i jakie pozostawia ślady?• Klient poczty elektronicznej • Analiza nagłówka• Analiza plików PST/OST • Analiza WebMail• Krótko o Logach, Dyskusja • Czy musze udostępnić logi jako Administrator ?• Czy aby na pewno z Twojego serwera nie wyciekają

dane - steganografia DEMO• Dyskusja

Przestępstwa z wykorzystaniem eMail

• SPAM

• Phishing

• Podszywanie się pod inną osobę/firmę (socjotechnika)

• Kradzież tożsamości oraz „pranie pieniędzy”

• Oszustwo nigeryjskie (z ang. 419 Fraud, West African Fraud) - oszustwo na zaliczkę

• Wysłanie złośliwego kodu (malware)

• Pogróżki, żądanie okupu

• Stalking (nękanie)

• Oszustwa finansowe / Fałszywe oferty kupna/sprzedaży

• Wyciek danych

• Szpiegostwo przemysłowe

• Email bombing

• Terrorryzm

Postępowanie osoby pokrzywdzonej

• Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa) ma prawo złożyć zawiadomienie o popełnieniu przestępstwa w jednostce Policji lub w prokuraturze, najlepiej najbliższej dla miejsca zamieszkania lub miejsca, w którym w danym momencie się znajduje.

• Ze względu na możliwość utraty lub zniszczenia danych informatycznych zawiadomienie o popełnieniu tego typu przestępstwa, należy złożyć możliwie w jak najkrótszym czasie od momentu jego ujawnienia. Zwiększa to szanse organów ścigania na zabezpieczenie kompletnego materiału dowodowego i ustalenie sprawcy.

• Źródło: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/77773,OSZUSTWA-INTERNETOWE-JAK-SIE-BRONIC-JAK-POSTEPOWAC-BEDAC-POKRZYWDZONYM.html

Co to jest eMail ?

Krzysztof.Binkowski@gmail.com

Wg Wikipedii –Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (ang. electronic mail, e-mail) – usługa internetowa, w nomenklaturze prawnej określana zwrotem świadczenie usług drogą elektroniczną, służąca do przesyłania wiadomości tekstowych, tzw. listów elektronicznych – stąd zwyczajowa nazwa tej usługi.

W 1971, - pierwsza wysłana wiadomość , w Polsce 1991

Czy email jest dokumentem ?

• Dokument prywatny • Czy może być podpisany podpisem elektronicznym ?• Czy może być podpisany podpisem cyfrowym ?• Czy może być szyfrowany (S-MIME, MS RMS) ?

• Czy przez wszystkich traktowany jest jako dokument ?

• Możemy złożyć zamówienie, udzielić informacji, przesłać potwierdzenie przelewu/zapłaty, fakturę

• A co w przypadku złożenia wypowiedzenia umowy o świadczenie usług (Tak, ale proszę zeskanować podpisany dokument i wysłać emailem ) ?

Jak działa eMail ?

Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html

Jak działa eMail ?

Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/

Email Time Stamping

źródło: Investigations Involving the Internet and Computer Networks - NIJ 2007

Gdzie eMail pozostawia ślady ?

• Po stronie klienta nadawcy

o Urządzenie (komputer, telefon, tablet)

o Program - klient poczty elektronicznej

o Przeglądarka WebMail

o Połączenie internetowe do serwera pocztowego (firewall/router)

o inne

Gdzie eMail pozostawia ślady ?

• Po stronie serwera wysyłającego (jeśli taki jest)

o Skrzynka nadawcza (IMAP,Exchange,WebMail etc)

o Logi ( połączenie z serwerem, logi wysyłanie eMail, śledzenie wiadomości , etc)

o Wykasowane emaile (deleted)

o Kopie zapasowe (backupy) logów/skrzynek użytkownika

o Router’y/firewall’e

o inne

Gdzie eMail pozostawia ślady ?

• Po stronie serwera odbierającego

o Skrzynka odbiorca (IMAP,Exchange,WebMail etc)

o Logi ( połączenie z serwerem, logi odebranie eMail, śledzenie wiadomości , etc)

o Logi rozwiązań ANTISPAM,AntiVirus

o Wykasowane emaile (deleted)

o Kopie zapasowe (backupy) logów/skrzynek użytkownika

o Router’y/firewall’e

o inne

Gdzie eMail pozostawia ślady ?

• Po stronie klienta odbiorcy

o Urządzenie (komputer, telefon, tablet)

o Program - klient poczty elektronicznej

o Przeglądarka WebMail

o Połączenie internetowe do serwera pocztowego (firewall/router)

o inne

Typy klienta poczty elektronicznej

• MS Outlook, Lotus Notes, ThunderBird, The Bat, Outlook Express, Windows live Mail, i wiele innych, rożne pliki i różne ścieżki dostępu do plików

• WebMail/Office 365 inne usługi w chmurze

• Telefon/Tablet

Klient poczty elektronicznej MS Outlook – co warto wiedzieć

• Jak przechowywane są emaile ?Plik – baza danych, limity wielkości pliku ?

• MS Outlook – PST/OST • Format i ścieżka dostępu – różne dla wersji klienta i wersji

systemu operacyjnego• Możliwe szyfrowanie (zabezpieczenie hasłem) pliku i

wiadomości eMail• Możliwe odzyskanie wykasowanych danych• Przydatna funkcja (Previous version) • Kopie zapasowe (Backup)• Narzędzia do naprawy i odzyskania wykasowanych danych

Prezentacja wiadomości email jako dowód elektroniczny na potrzeby wewnętrznego śledztwa lub

zabezpieczenia procesowego

• Kopia binarna dysku (najpełniejsza)

• Wszystkie istniejące logi serwera pocztowego, routera, firewall’a, inne

• Kopia pliku bazy email klienta pocztowego

• Kopia skrzynki użytkownika (np. Exchange)

• Kopia pojedynczej wiadomości email

• Koniecznie spisać protokół z wykonanych czynności wraz z opisem technicznym

Email jako dowód elektroniczny – jak dostarczyć pojedynczy email ?

• Wydruk czy plik ?

• Czy wydruk zawiera pełne informacje ?

• Jak przedstawić załączniki ?

• Plik w jakim formacie ?

• MSG, MHT, HTML, PDF ?

• Podpisać pliki z wykorzystaniem podpisu cyfrowego lub elektronicznego lub zrobić obraz logiczny informatyki śledczej AD1

• Kopia wiadomości z MS Outlook vs Webmail

Email jako dowód elektroniczny

• Kopia pojedynczej wiadomości email

• Wydruk PEŁNY (łącznie z nagłówkiem)

• Wersja elektroniczna w formacie MSG (lub natywnym) – płyta CD/DVD

• Zabezpieczona kopia binarna dysku lub plik archwium klienta poczty użytkownika

Struktura wiadomości eMail– kilka przydatnych informacji

• Struktura wiadomości eMail

• Przydatne RFC 2822 - Internet Message Format, RFC 2821-SMTP specifications

• RFC MIME document RFC2045, RFC2046, RFC2049

• Kodowanie MIME (Multipurpose Internet Mail Extensions)definiuje mechanizmy do przesyłania innego rodzaju informacji wewnątrz wiadomości e-mail:

• tekstu w językach używających innego kodowania znaków niż ASCII,

• 8-bitowych danych binarnych, takich jak pliki zawierające obrazy, dźwięki i filmy, a także programy komputerowe.

Co znajdziemy w wiadomości eMail ?

• Informacje o nadawcy/odbiorcy• Temat• Treść• Załączniki• Łącza / Links

• Dane dotyczące ruch nadawcy i odbiorcy• Informacje dotyczące routingu• Data i czas • Informacje opcjonalne ( np. typ klienta )

Struktura wiadomości• Message Envelope: The message envelope

consists of information about the transmission and delivery of the message. This information is generated by the transmission process and is not a part of the message. The message envelope is created by the client who submits the message, and contains information relevant for successful transmission of the message. The message envelope is defined in RFC2821.

• For more information about SMTP specifications, see RFC 2821.

• Message content: The message content is the part of the e-mail message that is delivered to the recipient. This portion has two elements as defined in RFC2822: the message header and the message body. The e-mail client program uses this information to display the message.

• Message Header: The message header is a collection of header fields.

• Message Body: The message body is a collection of lines of US-ASCII text that follow the message headers.

Źródło: http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx

Struktura wiadomości

http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx

Struktura wiadomości eMail -nagłówek

• Zawiera co najmniej:• From: The E-Mail address, and optionally the name of the author(s). Inmany E-Mail clients not changeable except through changing accountsettings.• To: The E-Mail address/addresses and optionally name(s) of the message'srecipient(s). Indicates primary recipients (multiple allowed). Cc: Carbon copy; many E-Mail clients will mark E-Mail in your inbox differently depending on whether you are in the To: or Cc: list.• Bcc: Blind Carbon Copy; addresses added to the SMTP delivery list butnot (usually) listed in the message data, remaining invisible to otherrecipients.• Subject: A brief summary of the topic of the message. Certainabbreviations are commonly used in the subject, including “RE:” and“FW:”.• Message-ID: Also an automatically generated field; used to preventmultiple delivery and for reference in In-Reply-To.

Struktura wiadomości eMail -nagłówek

• Received: These lines indicate the route that the E-Mail has taken and which systems have handled it and the times that it was handled.

• Date: The date and time at which the message was sent including time zone.

• From: The sender. The part in angle brackets is a real electronic mail address. This field may be user settable, so may not reflect the true sender.

• Sender: The sender. This is inserted by some systems if the actual sender is different from the text in the From: field. This makes E-Mail more difficult to forge, although this too can be set by the sender. There are other uses for a sender field. In the example above, the sender is set to the list owner by the mailing list system. This allows error messages to be returned to the list owner rather than the original sender of the message

Struktura wiadomości eMail -nagłówek

• To: Who the mail is sent to. This may be a list or an individual. However it may bear no relation to the person that the E-Mail is delivered to. Mail systems used a different mechanism for determining the recipient of a message.

• Cc: Addresses of recipients who will also receive copies.

• Subject: Subject of the message as specified by the sender.

• Message-id: A unique system generated id. This can sometimes be useful in fault tracing if multiple copies of a message have been received.

• Reply-to: Where any reply should be sent to (in preference to any electronic mail address in the From: field if present). This may be inserted by the sender, usually when they want replies to go to a central address rather than the address of the system they are using. It is also inserted automatically by some systems

• X-Mailer: Any field beginning with X can be inserted by a mail system for any purpose.

• Oraz inne opcjonalne !

Email Header – Office 365

• DEMO online – outlook.com

Analiza nagłówka - Tools

Online:

• http://mxtoolbox.com/EmailHeaders.aspx

• http://www.iptrackeronline.com/email-header-analysis.php

• https://toolbox.googleapps.com/apps/messageheader/

Aplikacje

• Email Tracker PRO

• inne

Analiza nagłówka - DEMO

• ONLINE

• Email Tracker PRO

Autentyczność wiadomości eMail

• Podpis cyfrowy PGP lub S/MIME (niezaprzeczalność, integralność,szyfrowanie)

Metody zabezpieczania:- SPF- SenderID- DKIM- DomainKeys

Analiza archiwów poczty elektronicznej

Problemy :• Np.. Przeszukanie 10 skrzynek po 6 GB • Przeszukanie wg słów kluczowych i informacji• Przeszukanie załączników• Prezentacja wyników śledztwa, dowodów (Np.

ujawnienie 1000 emaili)• Różne programy pocztowe, formaty lub ich brak

Narzędzia wspomagające• Aplikacje computer forensics• np. AccessData FTK, inne

Analiza plików poczty elektronicznej

Analiza pliku PST z wykorzystaniem narzędzia AccessData FTK

Analiza śladów WebMail

• Trudna ! , czasem nie przyniesie oczekiwanych efektów

• Nie znajdziemy całych wiadomości email, tylko ślady wiadomości (treść, załącznik, słowa kluczowe)

• Przeszukujemy cache, historię, pliki cookies, pliki tymczasowe (załączniki), ulubione, autouzupełnianie dla właściwej przeglądarki (IE,FF, Chrome, Safari etc)

• Nie będzie kompletna, a tylko poszlakowa

Analiza śladów WebMail

• DEMO, jak zdążymy

Analiza logów

• Trudna i czasochłonna

• Wszystko zależy od tego, jakie i za jakich okres posiadamy logi

• Musimy jasno określić jakie logi nas interesują i wskazać okres

• Weryfikacja i korelacja czasu w logach !

• Wyzwania: Exchange Online i Google Apps – brak lokalnych logów w Polsce

• Zależy od systemów pocztowych

Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej

Dyskusja

Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej

USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjne

Art. 168. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych przechowuje dane, o których mowa w ust. 1, co najmniej przez okres 12 miesięcy, a w przypadku wniesienia reklamacji – przez okres niezbędny do rozstrzygnięcia sporu. Art. 231) publicznie dostępna usługa telekomunikacyjna – usługę telekomunikacyjną dostępną dla ogółu użytkowników;

• Polityka bezpieczeństwa• Inne przepisy obowiązujące dla organizacji

Exchange in the cloudInvestigative and forensic aspects of Office 365

• Warto przeczytać

Źródło: http://digital-forensics.sans.org/summit-archives/Prague_Summit/Exchange_in_the_Cloud_Investigative_and_Forensic_Aspects_of_Office_365_Owen_O_Connor.pdf

Anti Email Forensics

• Anonimizery (Anonymous Email)

• 10 minute Mail

• TOR

• inne

Czy aby na pewno z Twojego serwera nie wyciekają dane ? - steganografia

• Dziękuję za uwagę

• Zapraszam do dyskusji