KELA Presentacion Costa Rica 2024 - evento Protégeles
Conferencia Rastreo de Correos Electrónicos (On-line)
1. Rastreo de Correos Electrónicos
Conferencia Privada ON-LINE
Alonso Eduardo Caballero Quezada Network Professional Security Perú
Consultor de NPROS Perú S.A.C. NPROS Perú S.A.C.
Sitio Web: http://www.ReYDeS.com Sitio Web: http://www.npros.com.pe
e-mail: ReYDeS@gmail.com e-mail: cursos@npros.com.pe
Jueves 13 de Octubre del 2011. Perú
2. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Agenda:
- Encontrando correos electrónicos
- Conversión de formatos de correos electrónicos
- Obteniendo correos electrónicos basados en web (Webmail)
- Correos electrónicos basados en cliente
- Correos electrónicos basados en web
- Investigando cabeceras de correos electrónicos
2
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
3. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Sobre NPROS Perú S.A.C.
NPROS Perú se creó en enero del 2008 para brindar servicios de
capacitación especializada en Perú y enfocarse en el dictado de
cursos en Seguridad de la Información, contamos con experiencia
dictando cursos a: Universidades, Sector Financiero: Bancos,
Cajas; Sector Gobierno y Municipios, entre otras instituciones del
sector privado y público.
Servicios de Capacitación:
Cursos de Hacking Ético, Hacking Aplicaciones Web, Hacking
Windows, Hacking GNU/Linux, Informática Forense & Antiforense.
Servicios de Hacking & Forense:
Análisis de Vulnerabilidades, Pruebas de Penetración & Forense.
3
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
4. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
NPROS Perú S.A.C.
Información de Contacto:
Correo electrónico: cursos@npros.com.pe
Teléfono: 948351218
Página Web: http://www.npros.com.pe
Twitter: http://twitter.com/#!/NPROSPeru
FaceBook:
http://www.facebook.com/pages/NPROS-Per%C3%BA/215242575183641
LinkedIn:
http://pe.linkedin.com/pub/npros-per%C3%BA-sac/37/235/3a5
4
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
5. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Introducción
Reporte estadístico de Correos Electrónicos 2011 - 2015
Fuente: The Radicatti Groups Inc. - www.radicati.com
5
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
6. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Encontrando Correos Electrónicos
Existen productos comerciales para visualizar datos de correos
electrónicos y extraer artefactos relevantes. Otros métodos
incluyen utilizar clientes de correo
electrónico o algunos trucos.
Existen varias herramientas y métodos disponibles para buscar y
analizar datos. Se debe seleccionar las herramientas que mejor se
ajusten a las necesidades.
Los lectores de correo electrónico basado en web o en un cliente
comparten mucho en común. Ambos tienen cabeceras, prueba de
recepción, adjuntos y más. Sin embargo también tienen algunas
diferencias a explorar, incluyendo métodos de visualización,
ubicación de evidencia, y la facilidad con la cual se puede acceder
y recuperar la evidencia.
6
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
7. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Conversión de Formatos de Correos Electrónicos
En algunos escenarios será necesario la conversión de correos
electrónicos de un formato a otro antes de iniciar la investigación, o
tal vez sea necesario presentar los resultados del correo
electrónico en un formato que sea más fácil de analizar y revisar.
La versión forense de Transend Migrator permite
convertir varios formatos de correo electrónico.
Con Kernel for OST to PST de Nucleos Data Recovery
se puede convertir archivos OST a PST.
Network E-mail Examiner ofrece algunas raras y valiosas
características, tal como la conversión de buzones
Novell GroupWise, Lotus Notes o bases de datos EDB a
Outlook PST, MSG o EML. Con Búsquedas y exploración.
7
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
8. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Obteniéndo Correos Electrónicos Basados en Web
En algunos escenarios, se necesita descargar correo web de
Yahoo, Gmail, o Hotmail.
Para esto se puede utilizar algunas herramietnas como Outlook
Express para Windows Live Mail (hotmail), o clientes POP(Post
Office Protocol)/IMAP(Internet Message Access Protocol), como
Outlook o Thunderbird para Gmail o Yahoo.
Programas como Trasend Migrator Forensics Edition, permiten
descargar correos como un cliente POP/IMAP.
8
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
9. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en el Cliente
Los correos electrónicos basados en un cliente incluyen programas
como Outlook y Outlook Express. Generalmente se almacenan en
el disco duro como un archivo de correos. Esto incrementa la
probabilidad de encontrar la información que se necesita.
Son más fáciles de trabajar que un correo hospedado en internet
debido a que el correo electrónico existe sobre un valor propiedad
de la empresa. En este caso el correo electrónico entrante y
saliente es registrado, lo cual no siempre es el caso en otros.
Los investigadores pueden tener acceso
al correo electrónico de la computadora
del sospechoso o a los servidores
propiedad de la empresa.
9
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
10. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en el Cliente (Cont.)
Microsoft Outlook (PST)
Outlook, instalado con la suite Microsoft Office, es uno
de los clientes más populares utilizados en grandes
corporaciones. Y es también uno de los formatos de archivo más
populares encontrados en investigaciones corporativas.
Archivos de Datos Outlook (PST)
Unidad:Documents and Settings<user>Local SettingsApplication
DataMicrosoftOutlook
Examinando Artefactos:
- Paraben E-mail Examiner - EnCASE
- FTK - Microsoft Outlook
- ReadPST (Paquete libPST)
10
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
11. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en el Cliente (Cont.)
Outlook Express (DBX)
Es un cliente de noticias de internet y correo electrónico.
Instalado por defecto sobre Windows con Internet
explorer, utilizado como cliente de correo por defecto. Outlook
Express almacena los correo electrónicos en un tipo de archivo de
base de datos utilizando un extensión de archivo .DBX.
Windows 2000/XP/2003
Unidad:Documents and Settings<local username>Local
SettingsApplication DataIdentities<cadena
única>MicrosoftOutlook Express
Examinando Artefactos:
- ReadDBX -Outlook Express
- Los mismos utilizados con Microsost Outlook. 11
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
12. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en el Cliente (Cont.)
Linux e-mail
Correo Linux es utilizado en muchas organizaciones,
sobre todo en aquellos que están acostumbrados a
utilizar Linux o UNIX. Con el incremento de popularidad de Linux en
el escritorio, la probabilidad de encontrar correo electrónico en
Linux es creciente.
Herramientas
A diferencia de Windows, no contiene información binaria. Utiliza
texto ASCII plano. Los adjuntos son codificados con codificación
MIME en Base64. Hay que decodificarlos para analizarlos.
Examinando Artefactos:
- Paraben E-mail Examiner - EnCASE
- FTK - grep (comando) 12
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
13. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en Web
El correo electrónico basado en web como Yahoo, Gmail o Hotmail
reta al investigador a encontrar correo electrónico en la
computadora, reconstruir actividad, e identificar usuarios de
manera diferente a los correos electrónicos basados en cliente.
Dependiendo del servicio de correo web, donde se almacena el
correo electrónico, como se almacena, y otros factores, se puede
encontrar “nada”, el correo completo, o un remanente del correo.
Los remanentes del correo electrónico son
almacenados sobre la unidad encontrada
sobre un medio durante el análisis. Por
ejemplo, correos electrónicos borrados,
correos electrónicos basados en web y
correos electrónicos parcialmente
sobreescritos.
13
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
14. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en Web (Cont.)
Correo hospedado en Internet
El impacto en una investigación es alta, debido a que el contenido
del correo en Internet es personal y revela algo sobre el usuario. El
correo en internet requiere credenciales, proporcionando evidencia
de que el usuario estuvo en la computadora durante el tiempo en
que se leyó el correo, asumiendo que de alguna manera se puede
ligar el ID del usuario con el del sospechoso.
Toma tiempo y energía obtener registros del
correo electrónico, los adjuntos, y correo de los
proveedores del servicio de correo. Este no es
un mundo perfecto y algunos métodos pueden
no funcionar. Por ejemplo si el sospechoso
utiliza un navegador con una característica
de “privacidad”. 14
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
15. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Correo Electrónico basado en Web (Cont.)
Correo electrónico de Hotmail
Así como ha crecido la popularidad de este servicio, así mismo lo
ha hecho el uso de hotmail en los activos de la empresa.
Nuevamente, debido a la naturaleza personal del correo electrónico
hospedado en web, el impacto y riesgo posterior es alto.
Herramientas para examinar
Las herramientas y métodos
son las mismas que las antes
descritas. Los archivos de
interés podrían ser: InboxLight,
calendar, ContactMainLight,
entre otros.
15
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
16. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
¿Cómo funciona el correo electrónico?
16
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
17. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Investigando Cabeceras de Correo Electrónico
Las cabeceras del correo electrónico contienen
información general, incluyendo la dirección de
correo del aparente autor, y el receptor del
correo. Las cabeceras también contienen
información de la ruta desde el punto de origen
al destino. Los servidores ensamblan esta
información en el camino al destino final y adjuntan está en la parte
superior del correo.
Algunas veces, dependiendo del cliente utilizado y los servidores
de correo, la información contenida en las cabeceras ayuda al
analista a rastrear el origen de un correo a la computadora o
conexión de internet del remitente. Otra información incluye, tipo de
cliente de correo utilizado, pasarela de correo, nombres de los
adjuntos.
17
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
18. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Investigando Cabeceras de Correo Electrónico (Cont.)
Componentes de la cabecera del correo electrónico
From: Identifica al remitente. Es un componente
fácilmente falsificable y por lo tanto poco confiable.
From Diferente al anterior y no es parte de la cabecera del correo.
Es insertada algunas veces por los servidores de correo después
de recibido el correo. Es común en UNIX, el cual utiliza esta línea
para separar los mensajes en una carpeta de correo, también es
falsificable, pero no siempre.
Reply-To: o Return-Path: Contiene la dirección de correo
electrónico para enviar las réplicas. Fácilmente falsificable. En el
mundo del spam, esta línea es bastante útil. Este campo es
usualmente legitima debido a que estos desean recibir ordenes.
18
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
19. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Investigando Cabeceras de Correo Electrónico (Cont.)
Componentes de la cabecera del correo electrónico (Cont.)
Sender o X-Sender: El Software de correo inserta esta línea si el
usuario modifica la línea From: Sin embargo muchos “mailers”
ignoran esta regla, así es que raramente está presente.
Message-ID: La única línea asignada por el sistema del
correo cuando se crea el correo. Más difícil de falsificar
que la línea From, pero no imposible.
Received: La línea más confiable en la cabecera y útil para
identificar aproximaciones de fechas/horas y ubicaciones
geográficas. Forma una lista de todos los sitios por el cual a viajado
el mensaje en camino al receptor. Son falsificables, hasta el punto
en que el mensaje es insertado en internet hacia el receptor.
Después de esto son auténticas y exactas. 19
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
20. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Demostración
Análisis de las cabeceras de correos electrónicos
Se tienen 2 cuentas de correo electrónico:
- Una cuenta de correo electrónico en Hotmail.
- Una cuenta de correo electrónico en Gmail.
Se analizarán los siguientes escenarios:
- Un correo enviado desde Hotmail hacia Gmail.
- Un correo enviado desde Gmail hacia Gmail.
- Un correo enviado desde Gmail hacia Hotmail.
- Un correo enviado desde Hotmail hacia Hotmail.
20
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
21. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Demostración (Cont.)
Un correo enviado desde hotmail hacia gmail.
Tue, 20 Sep 2011 03:27:52 +0000 (GMT)
Perú Lun, 19 Set 2011 10:27:52pm (GMT - 5:00)
21
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
22. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Demostración (Cont.)
Un correo enviado desde gmail hacia gmail.
SPF: Sender Policy Framework. Sistema de validación de correo
electrónico diseñado para prevenir SPAM.
22
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
23. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Demostración (Cont.)
Un correo enviado desde gmail hacia hotmail.
DKIM: DomainKeys Identified Mail. Es un método para asociar un
nombre de dominio a un correo electrónico.
23
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
24. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Demostración (Cont.)
Un correo enviado desde hotmail hacia hotmail.
X-headers. Las cabeceras que inician con una X no son parte del
estándar oficial y se proporcionan solo para información.
24
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
25. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
Últimos Cursos del año 2011
NPROS Perú los invita cordialmente a participar en los últimos cursos del
presente año:
Curso de Cómputo Forense (Lima)
(CNCF) Certificado NPROS Perú en Cómputo Forense
Martes 18 & Miércoles 19 de Octubre del 2011 (9:00am a 6:00pm)
Curso de Hacking Ético (Lima)
(CNHE) Certificado NPROS Perú en Hacking Ético
Jueves 20 & Viernes 21 de Octubre del 2011 (9:00am a 6:00pm)
Curso de Hacking Ético (Trujillo)
(CNHE) Certificado NPROS Perú en Hacking Ético
Sábado 5 & Domingo 6 de Noviembre del 2011 (9:00am a 6:00pm)
Más información: cursos@npros.com.pe / 948351218 /
www.npros.com.pe 25
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
26. NETWORK PROFESSIONAL SECURITY PERÚ S.A.C.
CONFERENCIA: RASTREO DE CORREOS ELECTRÓNICOS
¿Preguntas?
Comentarios, dudas, sugerencias, anotaciones, correcciones, aclaraciones,
etc.
26
Alonso Eduardo Caballero Quezada - Consultor de NPROS Perú S.A.C. - http://www.npros.com.pe - trujillo@npros.com.pe
27. ¡Muchas Gracias!
Conferencia Privada ON-LINE
Alonso Eduardo Caballero Quezada Network Professional Security Perú
Consultor de NPROS Perú S.A.C. NPROS Perú S.A.C.
Sitio Web: http://www.ReYDeS.com Sitio Web: http://www.npros.com.pe
e-mail: ReYDeS@gmail.com e-mail: cursos@npros.com.pe
Jueves 13 de Octubre del 2011. Perú