2. Agenda
• Przestępstwa z wykorzystaniem wiadomości Email
• Jak działa email i jakie pozostawia ślady?
• Klient poczty elektronicznej
• Analiza nagłówka
• Analiza plików PST/OST
• Analiza WebMail
• Krótko o Logach, Dyskusja
• Czy musze udostępnić logi jako Administrator ?
• Czy aby na pewno z Twojego serwera nie wyciekają
dane - steganografia DEMO
• Dyskusja
3. Przestępstwa z wykorzystaniem eMail
• SPAM
• Phishing
• Podszywanie się pod inną osobę/firmę (socjotechnika)
• Kradzież tożsamości oraz „pranie pieniędzy”
• Oszustwo nigeryjskie (z ang. 419 Fraud, West African Fraud) - oszustwo na
zaliczkę
• Wysłanie złośliwego kodu (malware)
• Pogróżki, żądanie okupu
• Stalking (nękanie)
• Oszustwa finansowe / Fałszywe oferty kupna/sprzedaży
• Wyciek danych
• Szpiegostwo przemysłowe
• Email bombing
• Terrorryzm
4. Postępowanie osoby pokrzywdzonej
• Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa)
ma prawo złożyć zawiadomienie o popełnieniu przestępstwa w jednostce
Policji lub w prokuraturze, najlepiej najbliższej dla miejsca zamieszkania
lub miejsca, w którym w danym momencie się znajduje.
• Ze względu na możliwość utraty lub zniszczenia danych informatycznych
zawiadomienie o popełnieniu tego typu przestępstwa, należy złożyć
możliwie w jak najkrótszym czasie od momentu jego ujawnienia. Zwiększa
to szanse organów ścigania na zabezpieczenie kompletnego materiału
dowodowego i ustalenie sprawcy.
• Źródło: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/77773,OSZUSTWA-INTERNETOWE-JAK-
SIE-BRONIC-JAK-POSTEPOWAC-BEDAC-POKRZYWDZONYM.html
5. Co to jest eMail ?
Krzysztof.Binkowski@gmail.com
Wg Wikipedii –
Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (ang.
electronic mail, e-mail) – usługa internetowa, w
nomenklaturze prawnej określana zwrotem świadczenie usług
drogą elektroniczną, służąca do przesyłania wiadomości
tekstowych, tzw. listów elektronicznych – stąd zwyczajowa
nazwa tej usługi.
W 1971, - pierwsza wysłana wiadomość , w Polsce 1991
6. Czy email jest dokumentem ?
• Dokument prywatny
• Czy może być podpisany podpisem elektronicznym ?
• Czy może być podpisany podpisem cyfrowym ?
• Czy może być szyfrowany (S-MIME, MS RMS) ?
• Czy przez wszystkich traktowany jest jako dokument ?
• Możemy złożyć zamówienie, udzielić informacji, przesłać potwierdzenie
przelewu/zapłaty, fakturę
• A co w przypadku złożenia wypowiedzenia umowy o świadczenie usług
(Tak, ale proszę zeskanować podpisany dokument i wysłać emailem ) ?
7. Jak działa eMail ?
Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html
8. Jak działa eMail ?
Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/
10. Gdzie eMail pozostawia ślady ?
• Po stronie klienta nadawcy
o Urządzenie (komputer, telefon, tablet)
o Program - klient poczty elektronicznej
o Przeglądarka WebMail
o Połączenie internetowe do serwera pocztowego
(firewall/router)
o inne
11. Gdzie eMail pozostawia ślady ?
• Po stronie serwera wysyłającego (jeśli taki jest)
o Skrzynka nadawcza (IMAP,Exchange,WebMail etc)
o Logi ( połączenie z serwerem, logi wysyłanie eMail,
śledzenie wiadomości , etc)
o Wykasowane emaile (deleted)
o Kopie zapasowe (backupy) logów/skrzynek użytkownika
o Router’y/firewall’e
o inne
12. Gdzie eMail pozostawia ślady ?
• Po stronie serwera odbierającego
o Skrzynka odbiorca (IMAP,Exchange,WebMail etc)
o Logi ( połączenie z serwerem, logi odebranie eMail,
śledzenie wiadomości , etc)
o Logi rozwiązań ANTISPAM,AntiVirus
o Wykasowane emaile (deleted)
o Kopie zapasowe (backupy) logów/skrzynek użytkownika
o Router’y/firewall’e
o inne
13. Gdzie eMail pozostawia ślady ?
• Po stronie klienta odbiorcy
o Urządzenie (komputer, telefon, tablet)
o Program - klient poczty elektronicznej
o Przeglądarka WebMail
o Połączenie internetowe do serwera pocztowego
(firewall/router)
o inne
14. Typy klienta poczty elektronicznej
• MS Outlook, Lotus Notes, ThunderBird, The
Bat, Outlook Express, Windows live Mail, i
wiele innych, rożne pliki i różne ścieżki
dostępu do plików
• WebMail/Office 365 inne usługi w chmurze
• Telefon/Tablet
15. Klient poczty elektronicznej MS Outlook – co
warto wiedzieć
• Jak przechowywane są emaile ?
Plik – baza danych, limity wielkości pliku ?
• MS Outlook – PST/OST
• Format i ścieżka dostępu – różne dla wersji klienta i wersji
systemu operacyjnego
• Możliwe szyfrowanie (zabezpieczenie hasłem) pliku i
wiadomości eMail
• Możliwe odzyskanie wykasowanych danych
• Przydatna funkcja (Previous version)
• Kopie zapasowe (Backup)
• Narzędzia do naprawy i odzyskania wykasowanych danych
16. Prezentacja wiadomości email jako dowód
elektroniczny na potrzeby wewnętrznego śledztwa lub
zabezpieczenia procesowego
• Kopia binarna dysku (najpełniejsza)
• Wszystkie istniejące logi serwera pocztowego,
routera, firewall’a, inne
• Kopia pliku bazy email klienta pocztowego
• Kopia skrzynki użytkownika (np. Exchange)
• Kopia pojedynczej wiadomości email
• Koniecznie spisać protokół z wykonanych
czynności wraz z opisem technicznym
17. Email jako dowód elektroniczny – jak dostarczyć
pojedynczy email ?
• Wydruk czy plik ?
• Czy wydruk zawiera pełne informacje ?
• Jak przedstawić załączniki ?
• Plik w jakim formacie ?
• MSG, MHT, HTML, PDF ?
• Podpisać pliki z wykorzystaniem podpisu cyfrowego lub elektronicznego
lub zrobić obraz logiczny informatyki śledczej AD1
• Kopia wiadomości z MS Outlook vs Webmail
18. Email jako dowód elektroniczny
• Kopia pojedynczej wiadomości email
• Wydruk PEŁNY (łącznie z nagłówkiem)
• Wersja elektroniczna w formacie MSG (lub
natywnym) – płyta CD/DVD
• Zabezpieczona kopia binarna dysku lub plik
archwium klienta poczty użytkownika
19. Struktura wiadomości eMail
– kilka przydatnych informacji
• Struktura wiadomości eMail
• Przydatne RFC 2822 - Internet Message Format, RFC 2821-
SMTP specifications
• RFC MIME document RFC2045, RFC2046, RFC2049
• Kodowanie MIME (Multipurpose Internet Mail Extensions)
definiuje mechanizmy do przesyłania innego rodzaju
informacji wewnątrz wiadomości e-mail:
• tekstu w językach używających innego kodowania znaków niż ASCII,
• 8-bitowych danych binarnych, takich jak pliki zawierające obrazy, dźwięki i filmy, a także
programy komputerowe.
20. Co znajdziemy w wiadomości eMail ?
• Informacje o nadawcy/odbiorcy
• Temat
• Treść
• Załączniki
• Łącza / Links
• Dane dotyczące ruch nadawcy i odbiorcy
• Informacje dotyczące routingu
• Data i czas
• Informacje opcjonalne ( np. typ klienta )
21. Struktura wiadomości
• Message Envelope: The message envelope
consists of information about the transmission
and delivery of the message. This information is
generated by the transmission process and is not
a part of the message. The message envelope is
created by the client who submits the message,
and contains information relevant for successful
transmission of the message. The message
envelope is defined in RFC2821.
• For more information about SMTP specifications,
see RFC 2821.
• Message content: The message content is the
part of the e-mail message that is delivered to
the recipient. This portion has two elements as
defined in RFC2822: the message header and the
message body. The e-mail client program uses
this information to display the message.
• Message Header: The message header is a
collection of header fields.
• Message Body: The message body is a collection
of lines of US-ASCII text that follow the message
headers.
Źródło: http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx
23. Struktura wiadomości eMail -
nagłówek
• Zawiera co najmniej:
• From: The E-Mail address, and optionally the name of the author(s). In
many E-Mail clients not changeable except through changing account
settings.
• To: The E-Mail address/addresses and optionally name(s) of the message's
recipient(s). Indicates primary recipients (multiple allowed). Cc: Carbon copy; many E-
Mail clients will mark E-Mail in your inbox differently depending on whether you are in
the To: or Cc: list.
• Bcc: Blind Carbon Copy; addresses added to the SMTP delivery list but
not (usually) listed in the message data, remaining invisible to other
recipients.
• Subject: A brief summary of the topic of the message. Certain
abbreviations are commonly used in the subject, including “RE:” and
“FW:”.
• Message-ID: Also an automatically generated field; used to prevent
multiple delivery and for reference in In-Reply-To.
24. Struktura wiadomości eMail -
nagłówek
• Received: These lines indicate the route that the E-Mail has taken and which
systems have handled it and the times that it was handled.
• Date: The date and time at which the message was sent including time zone.
• From: The sender. The part in angle brackets is a real electronic mail address. This
field may be user settable, so may not reflect the true sender.
• Sender: The sender. This is inserted by some systems if the actual sender is
different from the text in the From: field. This makes E-Mail more difficult to forge,
although this too can be set by the sender. There are other uses for a sender field.
In the example above, the sender is set to the list owner by the mailing list system.
This allows error messages to be returned to the list owner rather than the original
sender of the message
25. Struktura wiadomości eMail -
nagłówek
• To: Who the mail is sent to. This may be a list or an individual. However it may
bear no relation to the person that the E-Mail is delivered to. Mail systems used a
different mechanism for determining the recipient of a message.
• Cc: Addresses of recipients who will also receive copies.
• Subject: Subject of the message as specified by the sender.
• Message-id: A unique system generated id. This can sometimes be useful in fault
tracing if multiple copies of a message have been received.
• Reply-to: Where any reply should be sent to (in preference to any electronic mail
address in the From: field if present). This may be inserted by the sender, usually
when they want replies to go to a central address rather than the address of the
system they are using. It is also inserted automatically by some systems
• X-Mailer: Any field beginning with X can be inserted by a mail system for any
purpose.
• Oraz inne opcjonalne !
30. Analiza archiwów poczty elektronicznej
Problemy :
• Np.. Przeszukanie 10 skrzynek po 6 GB
• Przeszukanie wg słów kluczowych i informacji
• Przeszukanie załączników
• Prezentacja wyników śledztwa, dowodów (Np.
ujawnienie 1000 emaili)
• Różne programy pocztowe, formaty lub ich brak
Narzędzia wspomagające
• Aplikacje computer forensics
• np. AccessData FTK, inne
32. Analiza śladów WebMail
• Trudna ! , czasem nie przyniesie oczekiwanych
efektów
• Nie znajdziemy całych wiadomości email, tylko
ślady wiadomości (treść, załącznik, słowa
kluczowe)
• Przeszukujemy cache, historię, pliki cookies, pliki
tymczasowe (załączniki), ulubione,
autouzupełnianie dla właściwej przeglądarki
(IE,FF, Chrome, Safari etc)
• Nie będzie kompletna, a tylko poszlakowa
34. Analiza logów
• Trudna i czasochłonna
• Wszystko zależy od tego, jakie i za jakich okres
posiadamy logi
• Musimy jasno określić jakie logi nas interesują i
wskazać okres
• Weryfikacja i korelacja czasu w logach !
• Wyzwania: Exchange Online i Google Apps – brak
lokalnych logów w Polsce
• Zależy od systemów pocztowych
35. Czy muszę i jak długo przechowywać
logi serwera poczty elektronicznej
Dyskusja
36. Czy muszę i jak długo przechowywać
logi serwera poczty elektronicznej
USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Art. 168.
2. Dostawca publicznie dostępnych usług telekomunikacyjnych
przechowuje dane, o których mowa w ust. 1, co najmniej przez okres
12 miesięcy, a w przypadku wniesienia reklamacji – przez okres
niezbędny do rozstrzygnięcia sporu.
Art. 2
31) publicznie dostępna usługa telekomunikacyjna – usługę
telekomunikacyjną dostępną dla ogółu użytkowników;
• Polityka bezpieczeństwa
• Inne przepisy obowiązujące dla organizacji
37. Exchange in the cloud
Investigative and forensic aspects of Office 365
• Warto przeczytać
Źródło:
http://digital-forensics.sans.org/summit-
archives/Prague_Summit/Exchange_in_the_Cloud_Investigative_and_Forensic_Aspects_of_Office_365_Owen_
O_Connor.pdf