Categoria: Forense Digital

Análise forense de cabeçalho de e-mail

Análise forense de cabeçalho de e-mail

Os cabeçalhos de e-mail contêm informações importantes sobre a origem e o caminho percorrido por um e-mail antes de chegar ao seu destino final, incluindo o endereço IP do remetente, o provedor de serviços de Internet, o cliente de e-mail e até o local. As informações podem ser usadas para bloquear futuros e-mails do remetente (no caso de spam) ou para determinar a legitimidade de um e-mail suspeito. Uma revisão dos cabeçalhos também pode ajudar a identificar a “falsificação de cabeçalho”, uma forte indicação de que o e-mail foi enviado com intenção maliciosa.

A análise forense do cabeçalho do e-mail basicamente indica o exame realizado no corpo da mensagem de e-mail e a origem e o caminho seguidos por ele. Isso também inclui a identificação de remetente, horário ou destinatário genuíno dos e-mails. A análise forense do cabeçalho do e-mail pode trazer evidências francas de vários componentes incluídos na parte do cabeçalho. Vamos ver quais componentes são úteis para forense de cabeçalho;

Como é composto o e-mail?
Os e-mails são basicamente compostos pela junção de dois padrões, a RFC822/RFC2822 e MIME, sendo a RFC2822 o padrão para o formato de mensagens de texto na Internet ARPA, que especifica um conjunto padrão de cabeçalhos de mensagens que são seguidos pelo conteúdo da mensagem. O problema com o RFC2822 é que ele permite o conteúdo da mensagem que consiste apenas em texto ASCII. As “Multipurpose Internet Mail Extensions” ou MIME superam essa limitação e permitem que as mensagens contenham conjuntos de caracteres diferentes de ASCII, dados não textuais (anexos), mensagens com várias partes etc.

Neste artigo iremos considerar as duas RFCs, tanto a RFC822 quanto a RFC2822, visto que muitos autores ainda mantém a referência à RFC822 e não à mais atual que é a RFC2822, a qual atualiza a RFC anterior. Sendo assim, toda vez que falarmos de RFC neste contexto, estaremos abordando o mesmo assunto.

Compreendendo os campos do cabeçalho
Para a correta interpretação dos cabeçalhos de e-mails, o analista deverá ler a sua estrutura cronologicamente de baixo para cima. Estruturalmente, os cabeçalhos de e-mail podem ser divididos em três categorias principais:

Informações da mensagem
Cabeçalhos X e
Informações de retransmissão do servidor.
Existe uma ferramenta excelente para analisar cabeçalhos disponíveis on-line em http://mxtoolbox.com/E-mailHeaders.aspx, como obter cabeçalhos de e-mails dos clientes mais comuns https://mxtoolbox.com/Public/Content/EmailHeaders/.

RFC822 e RFC2822- Padrão para o formato de mensagens de texto da Internet ARPA

O padrão RFC2822 substitui o especificado na RFC 822 , “Padrão para o formato do texto da Internet ARPA Mensagens”[RFC822], atualizando-o para refletir as práticas atuais e incorporando alterações incrementais que foram especificadas em outras RFCs [ DST3 ].

Uma mensagem consiste em campos de cabeçalho e, opcionalmente, um corpo. O corpo é basicamente uma sequência de linhas contendo caracteres ASCII, sendo separado dos cabeçalhos por uma linha nula. Cada campo de cabeçalho pode ser visualizado como uma única linha lógica de caracteres ASCII, compreendendo um nome de campo seguido de dois pontos (“:”), seguido de um corpo de campo. Dependendo do nome do campo, o corpo do campo pode ser Estruturado ou Não Estruturado.

Estruturado – Para campos de endereço, como “To”, uma estrutura é predefinida. O corpo do campo deve estar em conformidade com a especificação.
Não estruturado – Para alguns campos, como “Subject” e “Comments”, nenhuma estrutura é assumida e eles são tratados simplesmente como texto.
Nem todos os campos de cabeçalho recebidos pelo destinatário podem ter sido especificados pelo remetente. Há uma distinção entre os cabeçalhos “mensagem” e “envelope”. Resumidamente, os cabeçalhos do “envelope” são realmente gerados pela máquina que recebe uma mensagem, e não pelo remetente. Os cabeçalhos do envelope são adicionados no início dos dados do correio. Os servidores de retransmissão SMTP que manipulam a mensagem no caminho para o destinatário final inserem alguns campos de cabeçalho no cabeçalho da mensagem. Por exemplo:

Quando o receptor-SMTP aceita uma mensagem para retransmissão ou entrega final, ele insere no início dos dados do correio uma linha de carimbo de data/hora (Received: cabeçalho). A linha do carimbo de data/hora indica a identidade do host que enviou a mensagem e a identidade do host que recebeu a mensagem (e está inserindo esse carimbo de hora) e a data e hora em que a mensagem foi recebida. As mensagens retransmitidas terão várias linhas de carimbo de data/hora. Quando o receptor-SMTP faz a “entrega final” de uma mensagem, ele insere no início dos dados do correio uma linha de caminho de retorno.
Alguns sistemas permitem que os destinatários de e-mail encaminhem uma mensagem. Este padrão suporta esse serviço, através do prefixo “Resent-” para nomes de campos. Sempre que a string ” Resent-” inicia um nome de campo, o campo tem a mesma semântica que um campo cujo nome não tem o prefixo. No entanto, supõe-se que a mensagem tenha sido encaminhada por um destinatário original que anexou o campo “Reenviar-“. Este novo campo é tratado como sendo mais recente que o campo equivalente, campo original.
Além do campo de cabeçalho predefinido, os usuários podem definir e usar seus próprios campos de cabeçalho. Esses campos podem ser usados ​​para transferir informações específicas do aplicativo. Esses campos devem ter nomes que ainda não estão sendo usados ​​na especificação atual. Os nomes dos campos definidos pelo usuário geralmente começam com “X-” porque é garantido que os campos predefinidos nunca terão nomes começando com essa sequência.

consulte Mais informação

Importância forense dos cartões SIM (SIM Forensics) como evidência digital

Os cartões SIM são o tipo mais comum de evidência forense encontrada nos casos em que há dispositivos portáteis, um cartão SIM é imperativo, independentemente de o telefone pertencer à categoria normal de telefones celulares ou ao satélitetelefones que contenham um SIM iDEN (Rede Digital Avançada Integrada). Esses cartões estão à nossa volta e agora estão sendo integrados em carteiras de motorista, cartões de débito, cartões de crédito, cartões ATM, cartões de identidade, etc. A Ciência Forense Digital é a habilidade de um especialista forense em aplicar o conhecimento das ciências da computação e das medidas investigativas por uma causa legal que requer a análise de evidências digitais. É o processo de identificação, preservação, análise e apresentação de evidências digitais de uma maneira que seja legalmente aceitável. O motivo do processo é preservar qualquer evidência digital em sua forma mais original, enquanto realiza uma análise planejada, identificando, coletando e validando as informações digitais com o objetivo de reconstruir eventos passados.

consulte Mais informação

Identificação manual do fuso horário do computador suspeito

Em um exame forense digital, o estabelecimento do fuso horário em que o sistema foi definido deve ser uma das primeiras tarefas de exame. Se essas informações não forem estabelecidas em um estágio inicial e levadas em consideração, a validade da evidência Data/Hora poderá ser posta em causa. Isso não só é verdade para o exame do Histórico do navegador e artefatos relacionados, mas também é importante ao examinar os metadados do sistema de arquivos.

Eu também acredito que isso é algo que todo examinador deve ser capaz de fazer manualmente, em vez de confiar em apontar e clicar ou em script forense. Embora o apontar e clicar certamente tenha um lugar e as ferramentas de software possam aumentar bastante a eficiência do processo de exame, os profissionais forenses digitais precisam possuir as habilidades e a capacidade de verificar os resultados.

Alguns valores de Data / Hora armazenados em arquivos binários são afetados pela configuração de Fuso horário do computador suspeito original e muitos aplicativos forenses digitais podem alterar a representação dessas datas pela configuração de Fuso horário da estação de trabalho forense.

Isso se torna particularmente complicado quando o computador suspeito foi definido como um fuso horário incorreto e o relógio do computador foi definido para corresponder ao fuso horário local. Muitos carimbos de data / hora armazenam os dados como valores UTC. Em tais circunstâncias, o sistema operacional (ou aplicativo) precisa converter o valor da hora local para o UTC.

consulte Mais informação

Curso – Computação Forense e Investigação Digital

Olá pessoal, orgulhosamente em parceria com o Instituto Êxito, está sendo lançado o curso de Computação Forense e Investigação Digital.

Este curso é baseado nas principais técnicas utilizadas para a produção de provas, além de ser totalmente em português e prepara o profissional para os desafios do dia a dia do perito, seja ele judicial, criminal, entre outros.

DESCRIÇÃO
Liberação do Evento: 02/09/2019
Fim do acesso ao Evento: 02/09/2020
Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado

OBJETIVO DO CURSO:
Apresentar as técnicas e ferramentas mais utilizadas para Investigação e Computação Forense.

PÚBLICO ALVO:
Entusiastas, peritos criminais, judiciais, profissionais de segurança da informação, técnicos em TI, estudantes e profissionais de todas as áreas ligadas a tecnologia da informação.

consulte Mais informação
Carregando
× Como posso te ajudar?