eMail Forensic
Krzysztof Bińkowski
MCT,CEH
Spotkanie PEPUG 58 – 15.05.2014
Agenda
• Przestępstwa z wykorzystaniem wiadomości Email
• Jak działa email i jakie pozostawia ślady?
• Klient poczty elekt...
Przestępstwa z wykorzystaniem eMail
• SPAM
• Phishing
• Podszywanie się pod inną osobę/firmę (socjotechnika)
• Kradzież to...
Postępowanie osoby pokrzywdzonej
• Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa)
ma prawo złoży...
Co to jest eMail ?
Krzysztof.Binkowski@gmail.com
Wg Wikipedii –
Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (an...
Czy email jest dokumentem ?
• Dokument prywatny
• Czy może być podpisany podpisem elektronicznym ?
• Czy może być podpisan...
Jak działa eMail ?
Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html
Jak działa eMail ?
Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/
Email Time Stamping
źródło: Investigations Involving the Internet and Computer Networks - NIJ 2007
Gdzie eMail pozostawia ślady ?
• Po stronie klienta nadawcy
o Urządzenie (komputer, telefon, tablet)
o Program - klient po...
Gdzie eMail pozostawia ślady ?
• Po stronie serwera wysyłającego (jeśli taki jest)
o Skrzynka nadawcza (IMAP,Exchange,WebM...
Gdzie eMail pozostawia ślady ?
• Po stronie serwera odbierającego
o Skrzynka odbiorca (IMAP,Exchange,WebMail etc)
o Logi (...
Gdzie eMail pozostawia ślady ?
• Po stronie klienta odbiorcy
o Urządzenie (komputer, telefon, tablet)
o Program - klient p...
Typy klienta poczty elektronicznej
• MS Outlook, Lotus Notes, ThunderBird, The
Bat, Outlook Express, Windows live Mail, i
...
Klient poczty elektronicznej MS Outlook – co
warto wiedzieć
• Jak przechowywane są emaile ?
Plik – baza danych, limity wie...
Prezentacja wiadomości email jako dowód
elektroniczny na potrzeby wewnętrznego śledztwa lub
zabezpieczenia procesowego
• K...
Email jako dowód elektroniczny – jak dostarczyć
pojedynczy email ?
• Wydruk czy plik ?
• Czy wydruk zawiera pełne informac...
Email jako dowód elektroniczny
• Kopia pojedynczej wiadomości email
• Wydruk PEŁNY (łącznie z nagłówkiem)
• Wersja elektro...
Struktura wiadomości eMail
– kilka przydatnych informacji
• Struktura wiadomości eMail
• Przydatne RFC 2822 - Internet Mes...
Co znajdziemy w wiadomości eMail ?
• Informacje o nadawcy/odbiorcy
• Temat
• Treść
• Załączniki
• Łącza / Links
• Dane dot...
Struktura wiadomości
• Message Envelope: The message envelope
consists of information about the transmission
and delivery ...
Struktura wiadomości
http://technet.microsoft.com/en-
us/library/hh547013(v=exchg.141).aspx
Struktura wiadomości eMail -
nagłówek
• Zawiera co najmniej:
• From: The E-Mail address, and optionally the name of the au...
Struktura wiadomości eMail -
nagłówek
• Received: These lines indicate the route that the E-Mail has taken and which
syste...
Struktura wiadomości eMail -
nagłówek
• To: Who the mail is sent to. This may be a list or an individual. However it may
b...
Email Header – Office 365
• DEMO online – outlook.com
Analiza nagłówka - Tools
Online:
• http://mxtoolbox.com/EmailHeaders.aspx
• http://www.iptrackeronline.com/email-header-an...
Analiza nagłówka - DEMO
• ONLINE
• Email Tracker PRO
Autentyczność wiadomości eMail
• Podpis cyfrowy PGP lub S/MIME
(niezaprzeczalność, integralność,szyfrowanie)
Metody zabezp...
Analiza archiwów poczty elektronicznej
Problemy :
• Np.. Przeszukanie 10 skrzynek po 6 GB
• Przeszukanie wg słów kluczowyc...
Analiza plików poczty elektronicznej
Analiza pliku PST z wykorzystaniem narzędzia
AccessData FTK
Analiza śladów WebMail
• Trudna ! , czasem nie przyniesie oczekiwanych
efektów
• Nie znajdziemy całych wiadomości email, t...
Analiza śladów WebMail
• DEMO, jak zdążymy
Analiza logów
• Trudna i czasochłonna
• Wszystko zależy od tego, jakie i za jakich okres
posiadamy logi
• Musimy jasno okr...
Czy muszę i jak długo przechowywać
logi serwera poczty elektronicznej
Dyskusja
Czy muszę i jak długo przechowywać
logi serwera poczty elektronicznej
USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyj...
Exchange in the cloud
Investigative and forensic aspects of Office 365
• Warto przeczytać
Źródło:
http://digital-forensics...
Anti Email Forensics
• Anonimizery (Anonymous Email)
• 10 minute Mail
• TOR
• inne
Czy aby na pewno z Twojego serwera
nie wyciekają dane ? - steganografia
• Dziękuję za uwagę
• Zapraszam do dyskusji
Upcoming SlideShare
Loading in …5
×

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

1,143 views

Published on

"eMail Foreniscs" - presenation form PEPUG 58 meeting at Microsoft Polska 15.05.2014 (Polish language)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,143
On SlideShare
0
From Embeds
0
Number of Embeds
26
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

  1. 1. eMail Forensic Krzysztof Bińkowski MCT,CEH Spotkanie PEPUG 58 – 15.05.2014
  2. 2. Agenda • Przestępstwa z wykorzystaniem wiadomości Email • Jak działa email i jakie pozostawia ślady? • Klient poczty elektronicznej • Analiza nagłówka • Analiza plików PST/OST • Analiza WebMail • Krótko o Logach, Dyskusja • Czy musze udostępnić logi jako Administrator ? • Czy aby na pewno z Twojego serwera nie wyciekają dane - steganografia DEMO • Dyskusja
  3. 3. Przestępstwa z wykorzystaniem eMail • SPAM • Phishing • Podszywanie się pod inną osobę/firmę (socjotechnika) • Kradzież tożsamości oraz „pranie pieniędzy” • Oszustwo nigeryjskie (z ang. 419 Fraud, West African Fraud) - oszustwo na zaliczkę • Wysłanie złośliwego kodu (malware) • Pogróżki, żądanie okupu • Stalking (nękanie) • Oszustwa finansowe / Fałszywe oferty kupna/sprzedaży • Wyciek danych • Szpiegostwo przemysłowe • Email bombing • Terrorryzm
  4. 4. Postępowanie osoby pokrzywdzonej • Osoba, która stała się ofiarą oszustwa internetowego (cyberprzestępstwa) ma prawo złożyć zawiadomienie o popełnieniu przestępstwa w jednostce Policji lub w prokuraturze, najlepiej najbliższej dla miejsca zamieszkania lub miejsca, w którym w danym momencie się znajduje. • Ze względu na możliwość utraty lub zniszczenia danych informatycznych zawiadomienie o popełnieniu tego typu przestępstwa, należy złożyć możliwie w jak najkrótszym czasie od momentu jego ujawnienia. Zwiększa to szanse organów ścigania na zabezpieczenie kompletnego materiału dowodowego i ustalenie sprawcy. • Źródło: http://www.policja.pl/pol/kgp/biuro-sluzby-kryminaln/cyberprzestepczosc/77773,OSZUSTWA-INTERNETOWE-JAK- SIE-BRONIC-JAK-POSTEPOWAC-BEDAC-POKRZYWDZONYM.html
  5. 5. Co to jest eMail ? Krzysztof.Binkowski@gmail.com Wg Wikipedii – Poczta elektroniczna, e-poczta, e-mail, potocznie mejl (ang. electronic mail, e-mail) – usługa internetowa, w nomenklaturze prawnej określana zwrotem świadczenie usług drogą elektroniczną, służąca do przesyłania wiadomości tekstowych, tzw. listów elektronicznych – stąd zwyczajowa nazwa tej usługi. W 1971, - pierwsza wysłana wiadomość , w Polsce 1991
  6. 6. Czy email jest dokumentem ? • Dokument prywatny • Czy może być podpisany podpisem elektronicznym ? • Czy może być podpisany podpisem cyfrowym ? • Czy może być szyfrowany (S-MIME, MS RMS) ? • Czy przez wszystkich traktowany jest jako dokument ? • Możemy złożyć zamówienie, udzielić informacji, przesłać potwierdzenie przelewu/zapłaty, fakturę • A co w przypadku złożenia wypowiedzenia umowy o świadczenie usług (Tak, ale proszę zeskanować podpisany dokument i wysłać emailem ) ?
  7. 7. Jak działa eMail ? Źróło: http://support.kavi.com/khelp/kmlm/user_help/html/how_email_works.html
  8. 8. Jak działa eMail ? Źródło: http://www.xonomail.com/blog/a-step-by-step-guide-on-how-email-works/
  9. 9. Email Time Stamping źródło: Investigations Involving the Internet and Computer Networks - NIJ 2007
  10. 10. Gdzie eMail pozostawia ślady ? • Po stronie klienta nadawcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
  11. 11. Gdzie eMail pozostawia ślady ? • Po stronie serwera wysyłającego (jeśli taki jest) o Skrzynka nadawcza (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi wysyłanie eMail, śledzenie wiadomości , etc) o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
  12. 12. Gdzie eMail pozostawia ślady ? • Po stronie serwera odbierającego o Skrzynka odbiorca (IMAP,Exchange,WebMail etc) o Logi ( połączenie z serwerem, logi odebranie eMail, śledzenie wiadomości , etc) o Logi rozwiązań ANTISPAM,AntiVirus o Wykasowane emaile (deleted) o Kopie zapasowe (backupy) logów/skrzynek użytkownika o Router’y/firewall’e o inne
  13. 13. Gdzie eMail pozostawia ślady ? • Po stronie klienta odbiorcy o Urządzenie (komputer, telefon, tablet) o Program - klient poczty elektronicznej o Przeglądarka WebMail o Połączenie internetowe do serwera pocztowego (firewall/router) o inne
  14. 14. Typy klienta poczty elektronicznej • MS Outlook, Lotus Notes, ThunderBird, The Bat, Outlook Express, Windows live Mail, i wiele innych, rożne pliki i różne ścieżki dostępu do plików • WebMail/Office 365 inne usługi w chmurze • Telefon/Tablet
  15. 15. Klient poczty elektronicznej MS Outlook – co warto wiedzieć • Jak przechowywane są emaile ? Plik – baza danych, limity wielkości pliku ? • MS Outlook – PST/OST • Format i ścieżka dostępu – różne dla wersji klienta i wersji systemu operacyjnego • Możliwe szyfrowanie (zabezpieczenie hasłem) pliku i wiadomości eMail • Możliwe odzyskanie wykasowanych danych • Przydatna funkcja (Previous version) • Kopie zapasowe (Backup) • Narzędzia do naprawy i odzyskania wykasowanych danych
  16. 16. Prezentacja wiadomości email jako dowód elektroniczny na potrzeby wewnętrznego śledztwa lub zabezpieczenia procesowego • Kopia binarna dysku (najpełniejsza) • Wszystkie istniejące logi serwera pocztowego, routera, firewall’a, inne • Kopia pliku bazy email klienta pocztowego • Kopia skrzynki użytkownika (np. Exchange) • Kopia pojedynczej wiadomości email • Koniecznie spisać protokół z wykonanych czynności wraz z opisem technicznym
  17. 17. Email jako dowód elektroniczny – jak dostarczyć pojedynczy email ? • Wydruk czy plik ? • Czy wydruk zawiera pełne informacje ? • Jak przedstawić załączniki ? • Plik w jakim formacie ? • MSG, MHT, HTML, PDF ? • Podpisać pliki z wykorzystaniem podpisu cyfrowego lub elektronicznego lub zrobić obraz logiczny informatyki śledczej AD1 • Kopia wiadomości z MS Outlook vs Webmail
  18. 18. Email jako dowód elektroniczny • Kopia pojedynczej wiadomości email • Wydruk PEŁNY (łącznie z nagłówkiem) • Wersja elektroniczna w formacie MSG (lub natywnym) – płyta CD/DVD • Zabezpieczona kopia binarna dysku lub plik archwium klienta poczty użytkownika
  19. 19. Struktura wiadomości eMail – kilka przydatnych informacji • Struktura wiadomości eMail • Przydatne RFC 2822 - Internet Message Format, RFC 2821- SMTP specifications • RFC MIME document RFC2045, RFC2046, RFC2049 • Kodowanie MIME (Multipurpose Internet Mail Extensions) definiuje mechanizmy do przesyłania innego rodzaju informacji wewnątrz wiadomości e-mail: • tekstu w językach używających innego kodowania znaków niż ASCII, • 8-bitowych danych binarnych, takich jak pliki zawierające obrazy, dźwięki i filmy, a także programy komputerowe.
  20. 20. Co znajdziemy w wiadomości eMail ? • Informacje o nadawcy/odbiorcy • Temat • Treść • Załączniki • Łącza / Links • Dane dotyczące ruch nadawcy i odbiorcy • Informacje dotyczące routingu • Data i czas • Informacje opcjonalne ( np. typ klienta )
  21. 21. Struktura wiadomości • Message Envelope: The message envelope consists of information about the transmission and delivery of the message. This information is generated by the transmission process and is not a part of the message. The message envelope is created by the client who submits the message, and contains information relevant for successful transmission of the message. The message envelope is defined in RFC2821. • For more information about SMTP specifications, see RFC 2821. • Message content: The message content is the part of the e-mail message that is delivered to the recipient. This portion has two elements as defined in RFC2822: the message header and the message body. The e-mail client program uses this information to display the message. • Message Header: The message header is a collection of header fields. • Message Body: The message body is a collection of lines of US-ASCII text that follow the message headers. Źródło: http://technet.microsoft.com/en-us/library/hh547013(v=exchg.141).aspx
  22. 22. Struktura wiadomości http://technet.microsoft.com/en- us/library/hh547013(v=exchg.141).aspx
  23. 23. Struktura wiadomości eMail - nagłówek • Zawiera co najmniej: • From: The E-Mail address, and optionally the name of the author(s). In many E-Mail clients not changeable except through changing account settings. • To: The E-Mail address/addresses and optionally name(s) of the message's recipient(s). Indicates primary recipients (multiple allowed). Cc: Carbon copy; many E- Mail clients will mark E-Mail in your inbox differently depending on whether you are in the To: or Cc: list. • Bcc: Blind Carbon Copy; addresses added to the SMTP delivery list but not (usually) listed in the message data, remaining invisible to other recipients. • Subject: A brief summary of the topic of the message. Certain abbreviations are commonly used in the subject, including “RE:” and “FW:”. • Message-ID: Also an automatically generated field; used to prevent multiple delivery and for reference in In-Reply-To.
  24. 24. Struktura wiadomości eMail - nagłówek • Received: These lines indicate the route that the E-Mail has taken and which systems have handled it and the times that it was handled. • Date: The date and time at which the message was sent including time zone. • From: The sender. The part in angle brackets is a real electronic mail address. This field may be user settable, so may not reflect the true sender. • Sender: The sender. This is inserted by some systems if the actual sender is different from the text in the From: field. This makes E-Mail more difficult to forge, although this too can be set by the sender. There are other uses for a sender field. In the example above, the sender is set to the list owner by the mailing list system. This allows error messages to be returned to the list owner rather than the original sender of the message
  25. 25. Struktura wiadomości eMail - nagłówek • To: Who the mail is sent to. This may be a list or an individual. However it may bear no relation to the person that the E-Mail is delivered to. Mail systems used a different mechanism for determining the recipient of a message. • Cc: Addresses of recipients who will also receive copies. • Subject: Subject of the message as specified by the sender. • Message-id: A unique system generated id. This can sometimes be useful in fault tracing if multiple copies of a message have been received. • Reply-to: Where any reply should be sent to (in preference to any electronic mail address in the From: field if present). This may be inserted by the sender, usually when they want replies to go to a central address rather than the address of the system they are using. It is also inserted automatically by some systems • X-Mailer: Any field beginning with X can be inserted by a mail system for any purpose. • Oraz inne opcjonalne !
  26. 26. Email Header – Office 365 • DEMO online – outlook.com
  27. 27. Analiza nagłówka - Tools Online: • http://mxtoolbox.com/EmailHeaders.aspx • http://www.iptrackeronline.com/email-header-analysis.php • https://toolbox.googleapps.com/apps/messageheader/ Aplikacje • Email Tracker PRO • inne
  28. 28. Analiza nagłówka - DEMO • ONLINE • Email Tracker PRO
  29. 29. Autentyczność wiadomości eMail • Podpis cyfrowy PGP lub S/MIME (niezaprzeczalność, integralność,szyfrowanie) Metody zabezpieczania: - SPF - SenderID - DKIM - DomainKeys
  30. 30. Analiza archiwów poczty elektronicznej Problemy : • Np.. Przeszukanie 10 skrzynek po 6 GB • Przeszukanie wg słów kluczowych i informacji • Przeszukanie załączników • Prezentacja wyników śledztwa, dowodów (Np. ujawnienie 1000 emaili) • Różne programy pocztowe, formaty lub ich brak Narzędzia wspomagające • Aplikacje computer forensics • np. AccessData FTK, inne
  31. 31. Analiza plików poczty elektronicznej Analiza pliku PST z wykorzystaniem narzędzia AccessData FTK
  32. 32. Analiza śladów WebMail • Trudna ! , czasem nie przyniesie oczekiwanych efektów • Nie znajdziemy całych wiadomości email, tylko ślady wiadomości (treść, załącznik, słowa kluczowe) • Przeszukujemy cache, historię, pliki cookies, pliki tymczasowe (załączniki), ulubione, autouzupełnianie dla właściwej przeglądarki (IE,FF, Chrome, Safari etc) • Nie będzie kompletna, a tylko poszlakowa
  33. 33. Analiza śladów WebMail • DEMO, jak zdążymy
  34. 34. Analiza logów • Trudna i czasochłonna • Wszystko zależy od tego, jakie i za jakich okres posiadamy logi • Musimy jasno określić jakie logi nas interesują i wskazać okres • Weryfikacja i korelacja czasu w logach ! • Wyzwania: Exchange Online i Google Apps – brak lokalnych logów w Polsce • Zależy od systemów pocztowych
  35. 35. Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej Dyskusja
  36. 36. Czy muszę i jak długo przechowywać logi serwera poczty elektronicznej USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjne Art. 168. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych przechowuje dane, o których mowa w ust. 1, co najmniej przez okres 12 miesięcy, a w przypadku wniesienia reklamacji – przez okres niezbędny do rozstrzygnięcia sporu. Art. 2 31) publicznie dostępna usługa telekomunikacyjna – usługę telekomunikacyjną dostępną dla ogółu użytkowników; • Polityka bezpieczeństwa • Inne przepisy obowiązujące dla organizacji
  37. 37. Exchange in the cloud Investigative and forensic aspects of Office 365 • Warto przeczytać Źródło: http://digital-forensics.sans.org/summit- archives/Prague_Summit/Exchange_in_the_Cloud_Investigative_and_Forensic_Aspects_of_Office_365_Owen_ O_Connor.pdf
  38. 38. Anti Email Forensics • Anonimizery (Anonymous Email) • 10 minute Mail • TOR • inne
  39. 39. Czy aby na pewno z Twojego serwera nie wyciekają dane ? - steganografia
  40. 40. • Dziękuję za uwagę • Zapraszam do dyskusji

×