Reading
Add Comment
"RASTREAR MEDIANTE LOS HEADERS DE LOS EMAILS"
"Analisis Forense E Investigacion A diversos Correos"
en el gran campo de la informatica forense no faltan los rastreos que tenemos que hacer para investigar todos los movimientos del atacante o el delincuente, dicho rastreo nos podra llevar consecuentemente hasta el objetivo, lo malo de esta tecnica es que en algunas ocasiones, dependiendo de los conocimientos informaticos del atacante, este metodo de investigacion sera un poco mas dificil o un poco mas facil todo depende de las circunstancias posibles del caso que se este investigando.
la cuestion etica aqui radica en hasta donde debemos avanzar en el caso de investigacion ante posibles eventos inesperados, como? pues resulta que internet es libre en todo el mundo y cada pais tiene sus regulaciones muy diferentes en delitos ciberneticos, aqui entra el dilema paradojico que todos los investigadores informaticos nos preguntamos? , y si el delito se cometio en un pais donde la regulacion sobre internet es nula?, y la victima se encuentra en un pais donde las regulaciones de internet si son my estrictas? y si el servidor esta en otro pais ?, este dilema trae diversos fracasos en la investigacion o retrasos en lo absoluto, ya que las regulaciones son muy distintas alrededor del mundo.
primero deberemos ver la estructura del protocolo de envio de correos SMTP y ESMTP, dichos formatos los veremos un poco mas adelante.
debemos analizar muy bien el formato original ya que lo que sucede es que estos servicios nos ocultan lo que sucede tras bambalinas mediante las interfaces web de usuario y graficas.
vemos un acercamiento de como verificar esta informacion en gmail para despues pasaros a hotmail.
y vemos toda la informacion resultante de los servidores por donde paso el mensaje hasta ser entregado hacia nosotros.
una vez obtenida esta informacion podemos apuntarla en algun lugar seguro, en alguna linea del tiempo del analisis forense informatico.
primero deberemos ver la estructura del protocolo de envio de correos SMTP y ESMTP, dichos formatos los veremos un poco mas adelante.
debemos analizar muy bien el formato original ya que lo que sucede es que estos servicios nos ocultan lo que sucede tras bambalinas mediante las interfaces web de usuario y graficas.
vemos un acercamiento de como verificar esta informacion en gmail para despues pasaros a hotmail.
vamos hacer un tracert a ver por donde pueden pasar los paquetes.
como podemos ver , pimero pasa en la puerta de enlace y despues va enrutando los paquetes hacia el servidor de destino y luego de regreso de nuevo hacia nuestra puerta de enlace, que en este caso es la 192.168.0.1 , poco despues , la puerta de enlace redirige los paquetes correspondientes hacia nuestra computadora.
ahora nos dirigmos hacia algun servicio de localizacion de ip para que nos de un poco mas de informacion.
como podemos ver, nos da una localizacion de atlanta en los estados unidos de america, nos resulta informacion como la latitud y la longitud para una localizacion mas preciable.
nos da el nombre del server dentro de un dominio especificado, dicho host me hace pensar e intuir que es parte de una granja de servidores.
lo que no nos proporciona es el ISP, o el proveedor de servicios de internet que en algunas ocasiones si nos proporcionara y en este caso necesitamos de una investigacion forense mas profunda y legal para investigar en aspectos de descrubrimiento y pruebas fisicas forenses que incriminen al real responsable.
ahora llego la hora de ver y estudiar un poco los formatos que maneja los protocolos SMTP y ESMTP.
veamos .
cabe destacar que tambien podemos utilizar el email pro tracker para generar un reporte, ya que en cualquier labor ya sea de investigacion forense o de pentesting, nuestros clientes necesitaran reportes para pasarlos al area correspondiente y trazar nuevas soluciones en cuanto a la cyberseguridad e informatica forense.
hay que recalcar que en un acuerdo de investigacion en informatica forense se deben exitir acuerdos legales correspondientes para que la investigacion siga su buen curso, luego de haber encontrado la direccion correspondiente se debe actuar en consecuencia como por ejemplo si tenemos un servidor extanjero, se debera tener una orden judicial previamente firmada por la oficina de relaciones exteriores y en conjunto con la policia de determinado pais para efectuar la investigacion internacional e investigar los logs de dichos servidores, todo esto requiere de tiempo/coste e investigacion profunda entre diversos contratos de expedicion internacionales de los paises involucrados, es por ello que siempre se toma un tiempo desde que se realizo la intrusion hasta que el verdadero responsable es capturado.
algunas veces se tiene que investigar primero los servidores donde se actuo sobre la conexion, por ejemplo si el atacante o el quie mando el correo electronico primero se conecto a un proxy , entonces primero se debe recatar o conseguir mediante las agencias especializadas una orden para proceder a investigar en los logs del proxy a que hroa determinada y sobre que ubicacion geografica e ip real se realizo dicha conexion, desde este punto se debe proceder a investigar despues la direccion ip real, todo es dependiendo de la magnitud del ataque y de los recursos que tenga la ivnestigacion y las victimas.
ahora pegamos los headers del correo dentro de la aplicacion emailTrackerPro y le damos en siguiente con lo cual el rastreo comenzara y nos dara las conexiones que tiene que atravesar desde nuestra puerta de enlace hacia el mundo exterior (internet) con lo cual algunas veces el programa atravesara varios paises o lugares, dependiendo del servicio.
una vez obtenido los datos, podemos analizar a detalle y minuciosamente todo lo que hemos obtenido hasta el momento para nuestro analisis forense, podemos utilizar alguna otra herramienta para hacer la documentacion o podemos crear un documento profesional respetando los formatos profesionales de una investigacion informatica forense.
ahora podemos ver el resultado del traceo del email headers:
como podemos ver a los lados laterales nos dice informacion acerca del servidor de correo electronico como por ejemplo , los numeros de puerto abiertos, el tipo de version o servidor, el software que esta corriendo.
la anterior imagen nos esta mostrando los bloques corresoinduientes, esta realizando un whois o una busqueda de informacion profunda en las bases de datos donde se aloja la direccion ip o las direcciones ip por quien han sido contratadas.
teniendo esto en cuenta es solo uno de los pasos del ciclo del analisis forense y de la documentacion del analisis forense.
todavia faltaria realizar una investigacion mas profunda para arrestrar al responsable, como recoger mas evidencias digitales como memorias ram, memorias fisicas, imagenes clonadas , datos obtenidos de bases de datos, etc.
REFERENCIAS Y ENLACES TECNICOS:
https://es.wikipedia.org/wiki/Protocolo_para_transferencia_simple_de_correo
https://es.wikipedia.org/wiki/Protocolo_de_oficina_de_correo
analisis forense
email tracking
evidencias digitales
gmail
hotmail
informatica forense
investigacion
servidores de correo
traceo de rutas
traceroute
tracert
ahora nos dirigmos hacia algun servicio de localizacion de ip para que nos de un poco mas de informacion.
nos da el nombre del server dentro de un dominio especificado, dicho host me hace pensar e intuir que es parte de una granja de servidores.
lo que no nos proporciona es el ISP, o el proveedor de servicios de internet que en algunas ocasiones si nos proporcionara y en este caso necesitamos de una investigacion forense mas profunda y legal para investigar en aspectos de descrubrimiento y pruebas fisicas forenses que incriminen al real responsable.
ahora llego la hora de ver y estudiar un poco los formatos que maneja los protocolos SMTP y ESMTP.
veamos .
cabe destacar que tambien podemos utilizar el email pro tracker para generar un reporte, ya que en cualquier labor ya sea de investigacion forense o de pentesting, nuestros clientes necesitaran reportes para pasarlos al area correspondiente y trazar nuevas soluciones en cuanto a la cyberseguridad e informatica forense.
hay que recalcar que en un acuerdo de investigacion en informatica forense se deben exitir acuerdos legales correspondientes para que la investigacion siga su buen curso, luego de haber encontrado la direccion correspondiente se debe actuar en consecuencia como por ejemplo si tenemos un servidor extanjero, se debera tener una orden judicial previamente firmada por la oficina de relaciones exteriores y en conjunto con la policia de determinado pais para efectuar la investigacion internacional e investigar los logs de dichos servidores, todo esto requiere de tiempo/coste e investigacion profunda entre diversos contratos de expedicion internacionales de los paises involucrados, es por ello que siempre se toma un tiempo desde que se realizo la intrusion hasta que el verdadero responsable es capturado.
algunas veces se tiene que investigar primero los servidores donde se actuo sobre la conexion, por ejemplo si el atacante o el quie mando el correo electronico primero se conecto a un proxy , entonces primero se debe recatar o conseguir mediante las agencias especializadas una orden para proceder a investigar en los logs del proxy a que hroa determinada y sobre que ubicacion geografica e ip real se realizo dicha conexion, desde este punto se debe proceder a investigar despues la direccion ip real, todo es dependiendo de la magnitud del ataque y de los recursos que tenga la ivnestigacion y las victimas.
una vez obtenido los datos, podemos analizar a detalle y minuciosamente todo lo que hemos obtenido hasta el momento para nuestro analisis forense, podemos utilizar alguna otra herramienta para hacer la documentacion o podemos crear un documento profesional respetando los formatos profesionales de una investigacion informatica forense.
ahora podemos ver el resultado del traceo del email headers:
teniendo esto en cuenta es solo uno de los pasos del ciclo del analisis forense y de la documentacion del analisis forense.
todavia faltaria realizar una investigacion mas profunda para arrestrar al responsable, como recoger mas evidencias digitales como memorias ram, memorias fisicas, imagenes clonadas , datos obtenidos de bases de datos, etc.
REFERENCIAS Y ENLACES TECNICOS:
https://es.wikipedia.org/wiki/Protocolo_para_transferencia_simple_de_correo
https://es.wikipedia.org/wiki/Protocolo_de_oficina_de_correo
![Pinterest](http://pinterest.com/pin/create/button/?url=https://thepentesterdiaries.blogspot.com/2017/11/rastrear-mediante-los-headers-de-los.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUyAJFkT1nqSVaWIJ-lWwiXdVVAopMCB0mxdQ32RzmSrX_IhVrraq4A07XSzIcEFtLFi-GeGPlmMMRtUA7C-e5PmNwmXiTDRDbRdzbre4uao8RExdREVXEpC91FldyxfQTQcm5PF5Fjffw/s72-c/buzones-correo-extra%25C3%25B1os-unicos-diferentes-cartas37.jpg&description="RASTREAR MEDIANTE LOS HEADERS DE LOS EMAILS" "Analisis Forense E Investigacion A diversos Correos" en el gran c...){kind=link}
0 comments:
Publicar un comentario