SlideShare une entreprise Scribd logo

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

K
Krzysztof Binkowski

"eMail Foreniscs" - presenation form PEPUG 58 meeting at Microsoft Polska 15.05.2014 (Polish language)

Technologie
1  sur  40
Télécharger pour lire hors ligne
eMail Forensic Krzysztof Bińkowski MCT,CEH Spotkanie PEPUG 58 – 15.05.2014
Agenda • Przestępstwa z wykorzystaniem wiadomości Email • Jak działa email i jakie pozostawia ślady? • Klient poczty elektronicznej • Analiza nagłówka • Analiza plików PST/OST • Analiza WebMail • Krótko o Logach, Dyskusja • Czy musze udostępnić logi jako Administrator ? • Czy aby na pewno z Twojego serwera nie wyciekają dane - steganografia DEMO • Dyskusja
Przestępstwa z wykorzystaniem eMail • SPAM • Phishing • Podszywanie się pod inną osobę/firmę (socjotechnika) • Kradzież tożsamości oraz „pranie pieniędzy” • Oszustwo nigeryjskie (z ang. 419 Fraud, West African Fraud) - oszustwo na zaliczkę • Wysłanie złośliwego kodu (malware) • Pogróżki, żądanie okupu • Stalking (nękanie) • Oszustwa finansowe / Fałszywe oferty kupna/sprzedaży • Wyciek danych • Szpiegostwo przemysłowe • Email bombing • Terrorryzm
Postępowanie osoby pokrzywdzonej • Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa) ma prawo złożyć zawiadomienie o popełnieniu przestępstwa w jednostce Policji lub w prokuraturze, najlepiej najbliższej dla miejsca zamieszkania lub miejsca, w którym w danym momencie się znajduje. • Ze względu na możliwość utraty lub zniszczenia danych informatycznych zawiadomienie o popełnieniu tego typu przestępstwa, należy złożyć możliwie w jak najkrótszym czasie od momentu jego ujawnienia. Zwiększa to szanse organów ścigania na zabezpieczenie kompletnego materiału dowodowego i ustalenie sprawcy. • Źródło: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/77773,OSZUSTWA-INTERNETOWE-JAK- SIE-BRONIC-JAK-POSTEPOWAC-BEDAC-POKRZYWDZONYM.html
Co to jest eMail ? Krzysztof.Binkowski@gmail.com Wg Wikipedii – Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (ang. electronic mail, e-mail) – usługa internetowa, w nomenklaturze prawnej określana zwrotem świadczenie usług drogą elektroniczną, służąca do przesyłania wiadomości tekstowych, tzw. listów elektronicznych – stąd zwyczajowa nazwa tej usługi. W 1971, - pierwsza wysłana wiadomość , w Polsce 1991
Czy email jest dokumentem ? • Dokument prywatny • Czy może być podpisany podpisem elektronicznym ? • Czy może być podpisany podpisem cyfrowym ? • Czy może być szyfrowany (S-MIME, MS RMS) ? • Czy przez wszystkich traktowany jest jako dokument ? • Możemy złożyć zamówienie, udzielić informacji, przesłać potwierdzenie przelewu/zapłaty, fakturę • A co w przypadku złożenia wypowiedzenia umowy o świadczenie usług (Tak, ale proszę zeskanować podpisany dokument i wysłać emailem ) ?
Jak działa eMail ? Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html
Jak działa eMail ? Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/
Email Time Stamping źródło: Investigations Involving the Internet and Computer Networks - NIJ 2007
Gdzie eMail pozostawia ślady ? • Po stronie klienta nadawcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
Gdzie eMail pozostawia ślady ? • Po stronie serwera wysyłającego (jeśli taki jest) o Skrzynka nadawcza (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi wysyłanie eMail, śledzenie wiadomości , etc) o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
Gdzie eMail pozostawia ślady ? • Po stronie serwera odbierającego o Skrzynka odbiorca (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi odebranie eMail, śledzenie wiadomości , etc) o Logi rozwiązań ANTISPAM,AntiVirus o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
Gdzie eMail pozostawia ślady ? • Po stronie klienta odbiorcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
Typy klienta poczty elektronicznej • MS Outlook, Lotus Notes, ThunderBird, The Bat, Outlook Express, Windows live Mail, i wiele innych, rożne pliki i różne ścieżki dostępu do plików • WebMail/Office 365 inne usługi w chmurze • Telefon/Tablet
Klient poczty elektronicznej MS Outlook – co warto wiedzieć • Jak przechowywane są emaile ? Plik – baza danych, limity wielkości pliku ? • MS Outlook – PST/OST • Format i ścieżka dostępu – różne dla wersji klienta i wersji systemu operacyjnego • Możliwe szyfrowanie (zabezpieczenie hasłem) pliku i wiadomości eMail • Możliwe odzyskanie wykasowanych danych • Przydatna funkcja (Previous version) • Kopie zapasowe (Backup) • Narzędzia do naprawy i odzyskania wykasowanych danych
Prezentacja wiadomości email jako dowód elektroniczny na potrzeby wewnętrznego śledztwa lub zabezpieczenia procesowego • Kopia binarna dysku (najpełniejsza) • Wszystkie istniejące logi serwera pocztowego, routera, firewall’a, inne • Kopia pliku bazy email klienta pocztowego • Kopia skrzynki użytkownika (np. Exchange) • Kopia pojedynczej wiadomości email • Koniecznie spisać protokół z wykonanych czynności wraz z opisem technicznym
Email jako dowód elektroniczny – jak dostarczyć pojedynczy email ? • Wydruk czy plik ? • Czy wydruk zawiera pełne informacje ? • Jak przedstawić załączniki ? • Plik w jakim formacie ? • MSG, MHT, HTML, PDF ? • Podpisać pliki z wykorzystaniem podpisu cyfrowego lub elektronicznego lub zrobić obraz logiczny informatyki śledczej AD1 • Kopia wiadomości z MS Outlook vs Webmail
Email jako dowód elektroniczny • Kopia pojedynczej wiadomości email • Wydruk PEŁNY (łącznie z nagłówkiem) • Wersja elektroniczna w formacie MSG (lub natywnym) – płyta CD/DVD • Zabezpieczona kopia binarna dysku lub plik archwium klienta poczty użytkownika
Struktura wiadomości eMail – kilka przydatnych informacji • Struktura wiadomości eMail • Przydatne RFC 2822 - Internet Message Format, RFC 2821- SMTP specifications • RFC MIME document RFC2045, RFC2046, RFC2049 • Kodowanie MIME (Multipurpose Internet Mail Extensions) definiuje mechanizmy do przesyłania innego rodzaju informacji wewnątrz wiadomości e-mail: • tekstu w językach używających innego kodowania znaków niż ASCII, • 8-bitowych danych binarnych, takich jak pliki zawierające obrazy, dźwięki i filmy, a także programy komputerowe.
Co znajdziemy w wiadomości eMail ? • Informacje o nadawcy/odbiorcy • Temat • Treść • Załączniki • Łącza / Links • Dane dotyczące ruch nadawcy i odbiorcy • Informacje dotyczące routingu • Data i czas • Informacje opcjonalne ( np. typ klienta )
Struktura wiadomości • Message Envelope: The message envelope consists of information about the transmission and delivery of the message. This information is generated by the transmission process and is not a part of the message. The message envelope is created by the client who submits the message, and contains information relevant for successful transmission of the message. The message envelope is defined in RFC2821. • For more information about SMTP specifications, see RFC 2821. • Message content: The message content is the part of the e-mail message that is delivered to the recipient. This portion has two elements as defined in RFC2822: the message header and the message body. The e-mail client program uses this information to display the message. • Message Header: The message header is a collection of header fields. • Message Body: The message body is a collection of lines of US-ASCII text that follow the message headers. Źródło: http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx
Struktura wiadomości http://technet.microsoft.com/en- us/library/hh547013(v=exchg.141).aspx
Struktura wiadomości eMail - nagłówek • Zawiera co najmniej: • From: The E-Mail address, and optionally the name of the author(s). In many E-Mail clients not changeable except through changing account settings. • To: The E-Mail address/addresses and optionally name(s) of the message's recipient(s). Indicates primary recipients (multiple allowed). Cc: Carbon copy; many E- Mail clients will mark E-Mail in your inbox differently depending on whether you are in the To: or Cc: list. • Bcc: Blind Carbon Copy; addresses added to the SMTP delivery list but not (usually) listed in the message data, remaining invisible to other recipients. • Subject: A brief summary of the topic of the message. Certain abbreviations are commonly used in the subject, including “RE:” and “FW:”. • Message-ID: Also an automatically generated field; used to prevent multiple delivery and for reference in In-Reply-To.
Struktura wiadomości eMail - nagłówek • Received: These lines indicate the route that the E-Mail has taken and which systems have handled it and the times that it was handled. • Date: The date and time at which the message was sent including time zone. • From: The sender. The part in angle brackets is a real electronic mail address. This field may be user settable, so may not reflect the true sender. • Sender: The sender. This is inserted by some systems if the actual sender is different from the text in the From: field. This makes E-Mail more difficult to forge, although this too can be set by the sender. There are other uses for a sender field. In the example above, the sender is set to the list owner by the mailing list system. This allows error messages to be returned to the list owner rather than the original sender of the message
Struktura wiadomości eMail - nagłówek • To: Who the mail is sent to. This may be a list or an individual. However it may bear no relation to the person that the E-Mail is delivered to. Mail systems used a different mechanism for determining the recipient of a message. • Cc: Addresses of recipients who will also receive copies. • Subject: Subject of the message as specified by the sender. • Message-id: A unique system generated id. This can sometimes be useful in fault tracing if multiple copies of a message have been received. • Reply-to: Where any reply should be sent to (in preference to any electronic mail address in the From: field if present). This may be inserted by the sender, usually when they want replies to go to a central address rather than the address of the system they are using. It is also inserted automatically by some systems • X-Mailer: Any field beginning with X can be inserted by a mail system for any purpose. • Oraz inne opcjonalne !
Email Header – Office 365 • DEMO online – outlook.com
Analiza nagłówka - Tools Online: • http://mxtoolbox.com/EmailHeaders.aspx • http://www.iptrackeronline.com/email-header-analysis.php • https://toolbox.googleapps.com/apps/messageheader/ Aplikacje • Email Tracker PRO • inne
Analiza nagłówka - DEMO • ONLINE • Email Tracker PRO
Autentyczność wiadomości eMail • Podpis cyfrowy PGP lub S/MIME (niezaprzeczalność, integralność,szyfrowanie) Metody zabezpieczania: - SPF - SenderID - DKIM - DomainKeys
Analiza archiwów poczty elektronicznej Problemy : • Np.. Przeszukanie 10 skrzynek po 6 GB • Przeszukanie wg słów kluczowych i informacji • Przeszukanie załączników • Prezentacja wyników śledztwa, dowodów (Np. ujawnienie 1000 emaili) • Różne programy pocztowe, formaty lub ich brak Narzędzia wspomagające • Aplikacje computer forensics • np. AccessData FTK, inne
Analiza plików poczty elektronicznej Analiza pliku PST z wykorzystaniem narzędzia AccessData FTK
Analiza śladów WebMail • Trudna ! , czasem nie przyniesie oczekiwanych efektów • Nie znajdziemy całych wiadomości email, tylko ślady wiadomości (treść, załącznik, słowa kluczowe) • Przeszukujemy cache, historię, pliki cookies, pliki tymczasowe (załączniki), ulubione, autouzupełnianie dla właściwej przeglądarki (IE,FF, Chrome, Safari etc) • Nie będzie kompletna, a tylko poszlakowa
Analiza śladów WebMail • DEMO, jak zdążymy
Analiza logów • Trudna i czasochłonna • Wszystko zależy od tego, jakie i za jakich okres posiadamy logi • Musimy jasno określić jakie logi nas interesują i wskazać okres • Weryfikacja i korelacja czasu w logach ! • Wyzwania: Exchange Online i Google Apps – brak lokalnych logów w Polsce • Zależy od systemów pocztowych
Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej Dyskusja
Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjne Art. 168. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych przechowuje dane, o których mowa w ust. 1, co najmniej przez okres 12 miesięcy, a w przypadku wniesienia reklamacji – przez okres niezbędny do rozstrzygnięcia sporu. Art. 2 31) publicznie dostępna usługa telekomunikacyjna – usługę telekomunikacyjną dostępną dla ogółu użytkowników; • Polityka bezpieczeństwa • Inne przepisy obowiązujące dla organizacji
Exchange in the cloud Investigative and forensic aspects of Office 365 • Warto przeczytać Źródło: http://digital-forensics.sans.org/summit- archives/Prague_Summit/Exchange_in_the_Cloud_Investigative_and_Forensic_Aspects_of_Office_365_Owen_ O_Connor.pdf
Anti Email Forensics • Anonimizery (Anonymous Email) • 10 minute Mail • TOR • inne
Czy aby na pewno z Twojego serwera nie wyciekają dane ? - steganografia
• Dziękuję za uwagę • Zapraszam do dyskusji

Recommandé

Embalagens
EmbalagensEmbalagens
Embalagenscmecc
 
Doenças Sexualmente Transmissíveis
Doenças Sexualmente TransmissíveisDoenças Sexualmente Transmissíveis
Doenças Sexualmente TransmissíveisTCHOKAN
 
Exame físico geral
Exame físico geralExame físico geral
Exame físico geralpauloalambert
 
História do TIFO
História do TIFOHistória do TIFO
História do TIFOMariana Freire
 
Lupus Eritematoso Sistêmico
Lupus Eritematoso SistêmicoLupus Eritematoso Sistêmico
Lupus Eritematoso SistêmicoPaulo Alambert
 
Propriedades Gerais do Sistema Imune
Propriedades Gerais do Sistema ImunePropriedades Gerais do Sistema Imune
Propriedades Gerais do Sistema ImuneLys Duarte
 
Curso de aperfeiçoamento em entrevista
Curso de aperfeiçoamento em entrevistaCurso de aperfeiçoamento em entrevista
Curso de aperfeiçoamento em entrevistacrisantoadriana
 
Histologia do tecido nervoso
Histologia do tecido nervosoHistologia do tecido nervoso
Histologia do tecido nervosoCaio Maximino
 

Recommandé

Embalagens
EmbalagensEmbalagens
Embalagenscmecc
 
Doenças Sexualmente Transmissíveis
Doenças Sexualmente TransmissíveisDoenças Sexualmente Transmissíveis
Doenças Sexualmente TransmissíveisTCHOKAN
 
Exame físico geral
Exame físico geralExame físico geral
Exame físico geralpauloalambert
 
História do TIFO
História do TIFOHistória do TIFO
História do TIFOMariana Freire
 
Lupus Eritematoso Sistêmico
Lupus Eritematoso SistêmicoLupus Eritematoso Sistêmico
Lupus Eritematoso SistêmicoPaulo Alambert
 
Propriedades Gerais do Sistema Imune
Propriedades Gerais do Sistema ImunePropriedades Gerais do Sistema Imune
Propriedades Gerais do Sistema ImuneLys Duarte
 
Curso de aperfeiçoamento em entrevista
Curso de aperfeiçoamento em entrevistaCurso de aperfeiçoamento em entrevista
Curso de aperfeiçoamento em entrevistacrisantoadriana
 
Histologia do tecido nervoso
Histologia do tecido nervosoHistologia do tecido nervoso
Histologia do tecido nervosoCaio Maximino
 
Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041Jhon Almeida
 
Itu de re..
Itu de re..Itu de re..
Itu de re..Hospital Universitário - Universidade Federal do Rio de Janeiro
 
Seminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptxSeminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptxSamilaAlves7
 
Apresentação caso clínico
Apresentação caso clínicoApresentação caso clínico
Apresentação caso clínicojaninemagalhaes
 
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativosMetodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativosLeticia Strehl
 
Perfil corpo-humano
Perfil corpo-humanoPerfil corpo-humano
Perfil corpo-humanozezinhojc
 
Aula endoscopia - Atualidade
Aula endoscopia - AtualidadeAula endoscopia - Atualidade
Aula endoscopia - AtualidadeVictorAndrade121
 
Semiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas FontesSemiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas FontesLucas Fontes
 
Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1Heraldo Maia
 
Caso clínico sífilis
Caso clínico sífilisCaso clínico sífilis
Caso clínico sífilisProfessor Robson
 
Espiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema PallidumEspiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema PallidumThaline Eveli Martins
 
Transplante renal
Transplante renalTransplante renal
Transplante renalMarcos Dias
 
Anamnese: Anemia
Anamnese: AnemiaAnamnese: Anemia
Anamnese: AnemiaAmanda Thomé
 
Microbiologia slide
Microbiologia slideMicrobiologia slide
Microbiologia slideInstituto Federal de Ciência e Tecnologia de Pernambuco
 
Respiração Orotraqueal
Respiração OrotraquealRespiração Orotraqueal
Respiração OrotraquealAndressa Macena
 
Aula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactadoAula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactadoRenata Sousa
 
Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014Pibid Letras Português Ufal
 
Síndromes pulmonares
Síndromes pulmonaresSíndromes pulmonares
Síndromes pulmonarespauloalambert
 
Aula sobre DPOC
Aula sobre DPOCAula sobre DPOC
Aula sobre DPOCKarynne Alves do Nascimento
 
Curativos
CurativosCurativos
CurativosRodrigo Abreu
 
Technologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-pocztaTechnologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-pocztaEwaB
 
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...Ziemek Borowski
 

Contenu connexe

Tendances

Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041Jhon Almeida
 
Seminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptxSeminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptxSamilaAlves7
 
Apresentação caso clínico
Apresentação caso clínicoApresentação caso clínico
Apresentação caso clínicojaninemagalhaes
 
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativosMetodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativosLeticia Strehl
 
Perfil corpo-humano
Perfil corpo-humanoPerfil corpo-humano
Perfil corpo-humanozezinhojc
 
Aula endoscopia - Atualidade
Aula endoscopia - AtualidadeAula endoscopia - Atualidade
Aula endoscopia - AtualidadeVictorAndrade121
 
Semiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas FontesSemiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas FontesLucas Fontes
 
Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1Heraldo Maia
 
Espiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema PallidumEspiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema PallidumThaline Eveli Martins
 
Transplante renal
Transplante renalTransplante renal
Transplante renalMarcos Dias
 
Respiração Orotraqueal
Respiração OrotraquealRespiração Orotraqueal
Respiração OrotraquealAndressa Macena
 
Aula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactadoAula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactadoRenata Sousa
 
Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014Pibid Letras Português Ufal
 
Síndromes pulmonares
Síndromes pulmonaresSíndromes pulmonares
Síndromes pulmonarespauloalambert
 

Tendances (20)

Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041Imunohematologia e-sistema-abo-731041
Imunohematologia e-sistema-abo-731041
 
Itu de re..
Itu de re..Itu de re..
Itu de re..
 
Seminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptxSeminário A Morte e o Morrer.pptx
Seminário A Morte e o Morrer.pptx
 
Apresentação caso clínico
Apresentação caso clínicoApresentação caso clínico
Apresentação caso clínico
 
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativosMetodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
Metodos Pesquisa 1 Introdução aos métodos de pesquisa. 1, Métodos quaLitativos
 
Perfil corpo-humano
Perfil corpo-humanoPerfil corpo-humano
Perfil corpo-humano
 
Aula endoscopia - Atualidade
Aula endoscopia - AtualidadeAula endoscopia - Atualidade
Aula endoscopia - Atualidade
 
Semiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas FontesSemiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
Semiologia para Enfermagem No Caminho da Enfermagem Lucas Fontes
 
Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1Assistencia enfermagem-cirurgica-1
Assistencia enfermagem-cirurgica-1
 
Caso clínico sífilis
Caso clínico sífilisCaso clínico sífilis
Caso clínico sífilis
 
Espiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema PallidumEspiroquetas orais e Treponema Pallidum
Espiroquetas orais e Treponema Pallidum
 
Transplante renal
Transplante renalTransplante renal
Transplante renal
 
Anamnese: Anemia
Anamnese: AnemiaAnamnese: Anemia
Anamnese: Anemia
 
Microbiologia slide
Microbiologia slideMicrobiologia slide
Microbiologia slide
 
Respiração Orotraqueal
Respiração OrotraquealRespiração Orotraqueal
Respiração Orotraqueal
 
Aula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactadoAula 08- verificação de sinais vitais-compactado
Aula 08- verificação de sinais vitais-compactado
 
Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014Classificação Qualis periódicos Letras e Linguística 2014
Classificação Qualis periódicos Letras e Linguística 2014
 
Síndromes pulmonares
Síndromes pulmonaresSíndromes pulmonares
Síndromes pulmonares
 
Aula sobre DPOC
Aula sobre DPOCAula sobre DPOC
Aula sobre DPOC
 
Curativos
CurativosCurativos
Curativos
 

Similaire à eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

Technologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-pocztaTechnologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-pocztaEwaB
 
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...Ziemek Borowski
 
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój PROIDEA
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektronicznaguest1fa2cd
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektronicznaguest1fa2cd
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektronicznaguest1fa2cd
 
DynamoDB – podstawy modelowania danych dla opornych
DynamoDB – podstawy modelowania danych dla opornychDynamoDB – podstawy modelowania danych dla opornych
DynamoDB – podstawy modelowania danych dla opornychThe Software House
 
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PROIDEA
 

Similaire à eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski (13)

Technologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-pocztaTechnologia Informacyjna - cwiczenia, internet-poczta
Technologia Informacyjna - cwiczenia, internet-poczta
 
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
 
Poczta
PocztaPoczta
Poczta
 
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój
PLNOG 9: Tomasz Leśniewski - nazwa.pl - Nieustanny rozwój
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektroniczna
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektroniczna
 
Poczta Elektroniczna
Poczta ElektronicznaPoczta Elektroniczna
Poczta Elektroniczna
 
DynamoDB – podstawy modelowania danych dla opornych
DynamoDB – podstawy modelowania danych dla opornychDynamoDB – podstawy modelowania danych dla opornych
DynamoDB – podstawy modelowania danych dla opornych
 
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące Internet
 
SSC Master overview
SSC Master overviewSSC Master overview
SSC Master overview
 
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
 
Zajecia4 progbiz
Zajecia4 progbizZajecia4 progbiz
Zajecia4 progbiz
 
Wmailer v1
Wmailer v1Wmailer v1
Wmailer v1
 

Plus de Krzysztof Binkowski

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goKrzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportKrzysztof Binkowski
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Krzysztof Binkowski
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Krzysztof Binkowski
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKKrzysztof Binkowski
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Krzysztof Binkowski
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Krzysztof Binkowski
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...Krzysztof Binkowski
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejKrzysztof Binkowski
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7Krzysztof Binkowski
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Krzysztof Binkowski
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Krzysztof Binkowski
 

Plus de Krzysztof Binkowski (15)

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_go
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
 
Podpis cyfrowy office2010
Podpis cyfrowy office2010Podpis cyfrowy office2010
Podpis cyfrowy office2010
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
 

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

  • 2. Agenda • Przestępstwa z wykorzystaniem wiadomości Email • Jak działa email i jakie pozostawia ślady? • Klient poczty elektronicznej • Analiza nagłówka • Analiza plików PST/OST • Analiza WebMail • Krótko o Logach, Dyskusja • Czy musze udostępnić logi jako Administrator ? • Czy aby na pewno z Twojego serwera nie wyciekają dane - steganografia DEMO • Dyskusja
  • 3. Przestępstwa z wykorzystaniem eMail • SPAM • Phishing • Podszywanie się pod inną osobę/firmę (socjotechnika) • Kradzież tożsamości oraz „pranie pieniędzy” • Oszustwo nigeryjskie (z ang. 419 Fraud, West African Fraud) - oszustwo na zaliczkę • Wysłanie złośliwego kodu (malware) • Pogróżki, żądanie okupu • Stalking (nękanie) • Oszustwa finansowe / Fałszywe oferty kupna/sprzedaży • Wyciek danych • Szpiegostwo przemysłowe • Email bombing • Terrorryzm
  • 4. Postępowanie osoby pokrzywdzonej • Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa) ma prawo złożyć zawiadomienie o popełnieniu przestępstwa w jednostce Policji lub w prokuraturze, najlepiej najbliższej dla miejsca zamieszkania lub miejsca, w którym w danym momencie się znajduje. • Ze względu na możliwość utraty lub zniszczenia danych informatycznych zawiadomienie o popełnieniu tego typu przestępstwa, należy złożyć możliwie w jak najkrótszym czasie od momentu jego ujawnienia. Zwiększa to szanse organów ścigania na zabezpieczenie kompletnego materiału dowodowego i ustalenie sprawcy. • Źródło: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/77773,OSZUSTWA-INTERNETOWE-JAK- SIE-BRONIC-JAK-POSTEPOWAC-BEDAC-POKRZYWDZONYM.html
  • 5. Co to jest eMail ? Krzysztof.Binkowski@gmail.com Wg Wikipedii – Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (ang. electronic mail, e-mail) – usługa internetowa, w nomenklaturze prawnej określana zwrotem świadczenie usług drogą elektroniczną, służąca do przesyłania wiadomości tekstowych, tzw. listów elektronicznych – stąd zwyczajowa nazwa tej usługi. W 1971, - pierwsza wysłana wiadomość , w Polsce 1991
  • 6. Czy email jest dokumentem ? • Dokument prywatny • Czy może być podpisany podpisem elektronicznym ? • Czy może być podpisany podpisem cyfrowym ? • Czy może być szyfrowany (S-MIME, MS RMS) ? • Czy przez wszystkich traktowany jest jako dokument ? • Możemy złożyć zamówienie, udzielić informacji, przesłać potwierdzenie przelewu/zapłaty, fakturę • A co w przypadku złożenia wypowiedzenia umowy o świadczenie usług (Tak, ale proszę zeskanować podpisany dokument i wysłać emailem ) ?
  • 7. Jak działa eMail ? Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html
  • 8. Jak działa eMail ? Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/
  • 9. Email Time Stamping źródło: Investigations Involving the Internet and Computer Networks - NIJ 2007
  • 10. Gdzie eMail pozostawia ślady ? • Po stronie klienta nadawcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
  • 11. Gdzie eMail pozostawia ślady ? • Po stronie serwera wysyłającego (jeśli taki jest) o Skrzynka nadawcza (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi wysyłanie eMail, śledzenie wiadomości , etc) o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
  • 12. Gdzie eMail pozostawia ślady ? • Po stronie serwera odbierającego o Skrzynka odbiorca (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi odebranie eMail, śledzenie wiadomości , etc) o Logi rozwiązań ANTISPAM,AntiVirus o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
  • 13. Gdzie eMail pozostawia ślady ? • Po stronie klienta odbiorcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
  • 14. Typy klienta poczty elektronicznej • MS Outlook, Lotus Notes, ThunderBird, The Bat, Outlook Express, Windows live Mail, i wiele innych, rożne pliki i różne ścieżki dostępu do plików • WebMail/Office 365 inne usługi w chmurze • Telefon/Tablet
  • 15. Klient poczty elektronicznej MS Outlook – co warto wiedzieć • Jak przechowywane są emaile ? Plik – baza danych, limity wielkości pliku ? • MS Outlook – PST/OST • Format i ścieżka dostępu – różne dla wersji klienta i wersji systemu operacyjnego • Możliwe szyfrowanie (zabezpieczenie hasłem) pliku i wiadomości eMail • Możliwe odzyskanie wykasowanych danych • Przydatna funkcja (Previous version) • Kopie zapasowe (Backup) • Narzędzia do naprawy i odzyskania wykasowanych danych
  • 16. Prezentacja wiadomości email jako dowód elektroniczny na potrzeby wewnętrznego śledztwa lub zabezpieczenia procesowego • Kopia binarna dysku (najpełniejsza) • Wszystkie istniejące logi serwera pocztowego, routera, firewall’a, inne • Kopia pliku bazy email klienta pocztowego • Kopia skrzynki użytkownika (np. Exchange) • Kopia pojedynczej wiadomości email • Koniecznie spisać protokół z wykonanych czynności wraz z opisem technicznym
  • 17. Email jako dowód elektroniczny – jak dostarczyć pojedynczy email ? • Wydruk czy plik ? • Czy wydruk zawiera pełne informacje ? • Jak przedstawić załączniki ? • Plik w jakim formacie ? • MSG, MHT, HTML, PDF ? • Podpisać pliki z wykorzystaniem podpisu cyfrowego lub elektronicznego lub zrobić obraz logiczny informatyki śledczej AD1 • Kopia wiadomości z MS Outlook vs Webmail
  • 18. Email jako dowód elektroniczny • Kopia pojedynczej wiadomości email • Wydruk PEŁNY (łącznie z nagłówkiem) • Wersja elektroniczna w formacie MSG (lub natywnym) – płyta CD/DVD • Zabezpieczona kopia binarna dysku lub plik archwium klienta poczty użytkownika
  • 19. Struktura wiadomości eMail – kilka przydatnych informacji • Struktura wiadomości eMail • Przydatne RFC 2822 - Internet Message Format, RFC 2821- SMTP specifications • RFC MIME document RFC2045, RFC2046, RFC2049 • Kodowanie MIME (Multipurpose Internet Mail Extensions) definiuje mechanizmy do przesyłania innego rodzaju informacji wewnątrz wiadomości e-mail: • tekstu w językach używających innego kodowania znaków niż ASCII, • 8-bitowych danych binarnych, takich jak pliki zawierające obrazy, dźwięki i filmy, a także programy komputerowe.
  • 20. Co znajdziemy w wiadomości eMail ? • Informacje o nadawcy/odbiorcy • Temat • Treść • Załączniki • Łącza / Links • Dane dotyczące ruch nadawcy i odbiorcy • Informacje dotyczące routingu • Data i czas • Informacje opcjonalne ( np. typ klienta )
  • 21. Struktura wiadomości • Message Envelope: The message envelope consists of information about the transmission and delivery of the message. This information is generated by the transmission process and is not a part of the message. The message envelope is created by the client who submits the message, and contains information relevant for successful transmission of the message. The message envelope is defined in RFC2821. • For more information about SMTP specifications, see RFC 2821. • Message content: The message content is the part of the e-mail message that is delivered to the recipient. This portion has two elements as defined in RFC2822: the message header and the message body. The e-mail client program uses this information to display the message. • Message Header: The message header is a collection of header fields. • Message Body: The message body is a collection of lines of US-ASCII text that follow the message headers. Źródło: http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx
  • 23. Struktura wiadomości eMail - nagłówek • Zawiera co najmniej: • From: The E-Mail address, and optionally the name of the author(s). In many E-Mail clients not changeable except through changing account settings. • To: The E-Mail address/addresses and optionally name(s) of the message's recipient(s). Indicates primary recipients (multiple allowed). Cc: Carbon copy; many E- Mail clients will mark E-Mail in your inbox differently depending on whether you are in the To: or Cc: list. • Bcc: Blind Carbon Copy; addresses added to the SMTP delivery list but not (usually) listed in the message data, remaining invisible to other recipients. • Subject: A brief summary of the topic of the message. Certain abbreviations are commonly used in the subject, including “RE:” and “FW:”. • Message-ID: Also an automatically generated field; used to prevent multiple delivery and for reference in In-Reply-To.
  • 24. Struktura wiadomości eMail - nagłówek • Received: These lines indicate the route that the E-Mail has taken and which systems have handled it and the times that it was handled. • Date: The date and time at which the message was sent including time zone. • From: The sender. The part in angle brackets is a real electronic mail address. This field may be user settable, so may not reflect the true sender. • Sender: The sender. This is inserted by some systems if the actual sender is different from the text in the From: field. This makes E-Mail more difficult to forge, although this too can be set by the sender. There are other uses for a sender field. In the example above, the sender is set to the list owner by the mailing list system. This allows error messages to be returned to the list owner rather than the original sender of the message
  • 25. Struktura wiadomości eMail - nagłówek • To: Who the mail is sent to. This may be a list or an individual. However it may bear no relation to the person that the E-Mail is delivered to. Mail systems used a different mechanism for determining the recipient of a message. • Cc: Addresses of recipients who will also receive copies. • Subject: Subject of the message as specified by the sender. • Message-id: A unique system generated id. This can sometimes be useful in fault tracing if multiple copies of a message have been received. • Reply-to: Where any reply should be sent to (in preference to any electronic mail address in the From: field if present). This may be inserted by the sender, usually when they want replies to go to a central address rather than the address of the system they are using. It is also inserted automatically by some systems • X-Mailer: Any field beginning with X can be inserted by a mail system for any purpose. • Oraz inne opcjonalne !
  • 26. Email Header – Office 365 • DEMO online – outlook.com
  • 27. Analiza nagłówka - Tools Online: • http://mxtoolbox.com/EmailHeaders.aspx • http://www.iptrackeronline.com/email-header-analysis.php • https://toolbox.googleapps.com/apps/messageheader/ Aplikacje • Email Tracker PRO • inne
  • 28. Analiza nagłówka - DEMO • ONLINE • Email Tracker PRO
  • 29. Autentyczność wiadomości eMail • Podpis cyfrowy PGP lub S/MIME (niezaprzeczalność, integralność,szyfrowanie) Metody zabezpieczania: - SPF - SenderID - DKIM - DomainKeys
  • 30. Analiza archiwów poczty elektronicznej Problemy : • Np.. Przeszukanie 10 skrzynek po 6 GB • Przeszukanie wg słów kluczowych i informacji • Przeszukanie załączników • Prezentacja wyników śledztwa, dowodów (Np. ujawnienie 1000 emaili) • Różne programy pocztowe, formaty lub ich brak Narzędzia wspomagające • Aplikacje computer forensics • np. AccessData FTK, inne
  • 31. Analiza plików poczty elektronicznej Analiza pliku PST z wykorzystaniem narzędzia AccessData FTK
  • 32. Analiza śladów WebMail • Trudna ! , czasem nie przyniesie oczekiwanych efektów • Nie znajdziemy całych wiadomości email, tylko ślady wiadomości (treść, załącznik, słowa kluczowe) • Przeszukujemy cache, historię, pliki cookies, pliki tymczasowe (załączniki), ulubione, autouzupełnianie dla właściwej przeglądarki (IE,FF, Chrome, Safari etc) • Nie będzie kompletna, a tylko poszlakowa
  • 33. Analiza śladów WebMail • DEMO, jak zdążymy
  • 34. Analiza logów • Trudna i czasochłonna • Wszystko zależy od tego, jakie i za jakich okres posiadamy logi • Musimy jasno określić jakie logi nas interesują i wskazać okres • Weryfikacja i korelacja czasu w logach ! • Wyzwania: Exchange Online i Google Apps – brak lokalnych logów w Polsce • Zależy od systemów pocztowych
  • 35. Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej Dyskusja
  • 36. Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjne Art. 168. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych przechowuje dane, o których mowa w ust. 1, co najmniej przez okres 12 miesięcy, a w przypadku wniesienia reklamacji – przez okres niezbędny do rozstrzygnięcia sporu. Art. 2 31) publicznie dostępna usługa telekomunikacyjna – usługę telekomunikacyjną dostępną dla ogółu użytkowników; • Polityka bezpieczeństwa • Inne przepisy obowiązujące dla organizacji
  • 37. Exchange in the cloud Investigative and forensic aspects of Office 365 • Warto przeczytać Źródło: http://digital-forensics.sans.org/summit- archives/Prague_Summit/Exchange_in_the_Cloud_Investigative_and_Forensic_Aspects_of_Office_365_Owen_ O_Connor.pdf
  • 38. Anti Email Forensics • Anonimizery (Anonymous Email) • 10 minute Mail • TOR • inne
  • 39. Czy aby na pewno z Twojego serwera nie wyciekają dane ? - steganografia
  • 40. • Dziękuję za uwagę • Zapraszam do dyskusji