Rastreo de correo electrónico


Había algo sospechoso en las actividades del empleado. Los análisis de nodos de la red informática y del registro del correo electrónico mostraban que todos los días a las 5 p.m. enviaba una foto a una cuenta de Hotmail. Las fotos del perro de la familia, de su auto, de su esposa e hijos, parecían bastante inocentes. Pero había algo raro. Por ejemplo, nunca había respuestas desde esa cuenta.





El personal de seguridad de la compañía observó esto por varias semanas y se preguntaba que estaría haciendo, hasta que se les ocurrió que estas fotos aparentemente inocentes podían ser una forma de espionaje corporativo. Empleando una técnica llamada “esteganografía”, en la cual se pueden esconder los 1s y los 0s de textos o imágenes dentro de los 1s y 0s que componen los pixeles de las fotografías, el empleado podría estar ocultando información dentro de las fotos. A pedido de la compañía, fuera de horas de trabajo unos consultores forenses de computación revisaron la computadora del empleado y encontraron una copia de un programa esteganográfico. Los consultores también hicieron pruebas con las fotos de la computadora del empleado y encontraron que verdaderamente había sido ocultada información dentro de las fotos. Luego se le mostró la evidencia al empleado en una reunión privada con los gerentes. Confesó que estaba vendiendo secretos de la compañía.

Este caso (basado en un incidente real al que se le han cambiado algunos detalles), ilustra cómo el correo electrónico se ha convertido en una vulnerabilidad potencial contra la seguridad. Es una puerta virtual que lleva directamente a la red informática corporativa e indirectamente a cada computadora. Puede ser usada por piratas informáticos para introducirse a hurtadillas o, como en este ejemplo, por empleados para sacar en forma encubierta secretos de propiedad de la empresa. También provee un portal para la destrucción de datos, ya sea mediante ataques aleatorios con virus o por ataques dirigidos por activistas o competidores. Las compañías tienen que ser tan adeptas para controlar el tráfico a través de esta vía de acceso como lo son para controlar el tráfico físico de ingreso y salida de la oficina principal.

Como sucede con los controles físicos de acceso, los controles electrónicos nunca pueden alcanzar un nivel de cero incidentes. Por ello, el equipo a cargo de seguridad también debe saber responder a una penetración, cómo seguir la pista electrónica para resolver el caso. Eso es básicamente lo que hicieron los representantes de la ley cuando el virus I LOVE YOU golpeó a las empresas alrededor del mundo. Al fin, el rastro del correo electrónico los condujo hasta el originador en las Filipinas.

Este tipo de rastreo legal del correo electrónico es similar al trabajo detectivesco convencional. Al verificar cada uno de los puntos por donde pasó el correo electrónico, el rastreador trabaja paso a paso para regresar hacia la computadora de donde se originó el correo y, con suerte, hacia al autor. Para ver cómo trabaja este proceso, caminaremos por las etapas básicas que sigue un investigador cuando tiene que enfrentar una incursión hecha por el correo electrónico.

Encabezamientos (headers). Mayormente, el rastreo del correo electrónico externo se inicia con la información que encabeza el mensaje electrónico enviado por la Internet. El encabezamiento de un mensaje es el texto de la parte superior de un mensaje electrónico que viaja a través de la Internet. Contiene el origen del mensaje en la línea "From" (De), mientras que en las líneas "Received" (recibidas), el encabezamiento enumera todos los puntos por los cuales pasó el mensaje durante su viaje, al igual que la fecha y hora. Es como si cada oficina postal que tramita una carta imprimiese su identidad, fecha y hora en el sobre, no sólo el sello de la oficina postal desde donde se envió el sobre.

El encabezamiento del mensaje proporciona un rastro, que puede verificarse, de los lugares por donde ha pasado un mensaje electrónico. Encontrar a la persona que envió el mensaje es asunto de recorrer el rastro en sentido inverso, punto por punto, y reunir la evidencia de que el mensaje pasó por cada punto.

Consideremos como muestra un mensaje electrónico recibido por la compañía ABCD, el cual muestra en el encabezamiento cuatro puntos de detención entre el remitente y el receptor. Dos de ellos, los pasos tres y cuatro, se encuentran dentro del sistema de correo electrónico de la compañía y aparecerán en los registros internos de mensajes electrónicos de la compañía si es que se está registrando esa información.

Si los segundos dos puntos corresponden a denominaciones electrónicas desconocidas fuera de la red informática de la empresa, los investigadores pueden apelar a algunas herramientas de investigación, como Whois y Better-Whois, ambas empleadas comunmente en estos tipos de investigaciones. Estos servicios buscan en las bases de datos de los registradores que anotan a los usuarios en línea y sus direcciones IP (Protocolo de Internet), que son identificadores numéricos de las computadoras de una red informática, equivalentes virtuales a una dirección domiciliaria. Por ejemplo, hacer una búsqueda con Whois en un nombre de dominio tal como ABCD.com, identificará el nombre y domicilio del tenedor del nombre del dominio, puntos de contacto técnicos y administrativos y los servidores de nombres de dominio responsables de ese dominio. Esto les da a los investigadores un lugar por donde empezar a rastrear el mensaje.

Si el domicilio de la persona remitente no es falso, encontrar a la persona detrás de la computadora se convierte en un asunto de averiguar quién empleó la máquina en el momento en que se remitió el mensaje. Por ejemplo, en el caso en el que una persona envió una amenaza de bomba a una compañía a través de una cuenta comercial de correo electrónico de la computadora de una biblioteca, los investigadores rastrearon el correo electrónico hasta la computadora de la biblioteca y posteriormente pudieron determinar quién había usado la computadora, al revisar los registros de usuarios.

Falsificación. Pero rara vez es tan fácil el seguimiento forense. Algunos sistemas de correo electrónico eliminan el encabezamiento del mensaje antes de entregarlo al receptor o esconden el encabezamiento del mensaje dentro del programa de correo electrónico. En otros casos, se falsifica la línea "From" del encabezamiento. Whois y Better-Whois pueden ayudar a rastrear los pasos intermedios del mensaje, pero no pueden determinar la dirección real si es que se ha insertado información falsa, ni pueden identificar quién ha robado la cuenta de otro o usado información domiciliaria falsa, de tal modo que cada vez que un remitente falsea una dirección, estas herramientas son de uso limitado.

La línea "From" puede ser adulterada de varias formas. Estas incluyen el engaño ("spoofing"), reenvío, retransmisión, robo de cuentas y creación de cuentas falsas.

Engaño. Se llama "engaño" el hacer que un correo electrónico parezca provenir de alguien (o de algún lugar) diferente del verdadero remitente. Para hacer esto, el que envía el mensaje utiliza un programa que está fácilmente disponible en la Internet, para cortar su dirección IP y reemplazarla con la dirección de otra persona. Afortunadamente, este truco no crea una barrera impenetrable para los investigadores, porque la primera computadora que recibe el mensaje "engañoso" registra la verdadera dirección IP del equipo que envía el mensaje, como un asunto de protocolo, aun cuando el IP falsificado esté en el encabezamiento. Esto le da al investigador forense una forma de encontrar el equipo real y luego empezar a rastrear al individuo que lo usó.

Reenvío (Remailing). Otra forma de sacar del camino a los investigadores, es enviar el correo electrónico a una computadora que retira la dirección IP del remitente y lo vuelve a enviar con la dirección IP de la computadora que hace el reenvío. La única manera de averiguar quién remitió el correo electrónico es tener acceso a los registros de la computadora que reenvió el mensaje. Pero como el diseño de las computadoras que reenvían las hace anónimas, normalmente no registran los mensajes electrónicos que han pasado a través de ellas.

Es difícil identificar a los remitentes que han empleado computadoras que reenvían mensajes, a menos que hayan cometido un error. Una de esas equivocaciones puede estar en el contenido que envían. Un análisis del mensaje o documento adjunto, por ejemplo, puede dar indicios sobre la identidad del remitente. La información que el programa encaja en los propios documentos también puede dar pistas sobre la identidad del sistema y de la computadora de donde vino el mensaje.

Retransmisión (Relaying). Una tercera forma en que alguien puede esconder el origen de un mensaje electrónico es hacer que el servidor de correos de otra persona se encargue de enviar el mensaje. Un servidor de correos apropiadamente configurado sólo tramitará la correspondencia de su propio sistema y no retransmitirá mensajes de direcciones IP originados fuera de su red informática. Pero si el servidor de correo no está configurado correctamente, se hace vulnerable al mal uso. Por ejemplo, los remitentes de propaganda comercial no autorizada (spammers) podrían crear un mensaje electrónico para un gran número de receptores y después canalizar el mensaje a través del servidor de correos de una compañía que no sospecha lo que sucede. El remitente lo usa como un punto de retransmisión, y el dueño del servidor podría no saber nunca que allí ha estado el que envió los mensajes electrónicos. El remitente luego desaparece antes de que alguien empiece a entrar en sospechas. Esto no es sólo un robo de servicios, sino también una potencial denegación de ellos si el volumen de correo electrónico enviado a través del servidor lo hace fallar, negando el acceso de la compañía a su propio correo o servicio.

Robo de cuentas de correo electrónico. Un cuarto medio de cubrir las huellas electrónicas es obtener el acceso a la clave y a la cuenta de correo electrónico de otra persona. Algunas de las formas más comunes de conseguir el acceso son el "shoulder-surfing" (observar por encima del hombro de otro mientras ingresa su clave y ID) o husmeando (“sniffing”)una red (observar todo el tráfico de una red e interceptar los IDs y claves de los usuarios). Una vez que un pirata informático posee una clave y un ID legítimos, toda la red está comprometida. Cuando los investigadores descubren la actividad ilegal e intentan encontrar a la persona que está detrás de ella, serán conducidos a la víctima inocente cuya cuenta ha sido secuestrada. Sin embargo, para determinar quien habría secuestrado la computadora, los investigadores necesitarían otras maneras para probar quién era el usuario al momento de producirse el delito. Las terminales públicas pueden tener una hoja de registro de ingreso o una cámara de vigilancia, lo que puede adelantar la investigación.

Cuentas falsas de correo gratuito. Otra táctica usada por los criminales es asegurarse que el rastro se diluirá cuando el investigador pase del mundo electrónico al real. En este caso, el remitente no esconde el origen del mensaje electrónico en términos de la computadora desde la cual se envió. Sin embargo, llegar a esa computadora durante la investigación no revelará nada sobre la verdadera identidad del delincuente porque esa persona habrá dado una identidad y domicilio falsos cuando abrió la cuenta. Es difícil capturar a alguien que ha hecho esto porque la compañía de correo electrónico nunca sabe quién abrió la cuenta falsa. Los que se dedican a la pornografía usan este truco con frecuencia.

El registro. En la mayoría de los casos, el rastreo forense del correo electrónico se apoya en los registros de las computadoras. Un registro de computadora es la anotación de cada mensaje de correo electrónico que pasa por una computadora de una red informática. Idealmente, los investigadores prueban que un correo electrónico viajó a través de una máquina, localizando el número de identificación del mensaje en un registro de transacciones de correo, junto con la fecha y hora en que se registró la dirección.

Desgraciadamente, esta situación ideal no es típica. Los problemas se presentan cuando no existen registros. Los límites legales y los problemas de jurisdicción internacional pueden también crear serios desafíos para los investigadores que están tratando de seguir el rastro del correo electrónico.

Ausencia de registros. El mayor desafío que enfrenta un investigador es el proveedor de servicios de Internet (ISP) que no lleva registro de los mensajes electrónicos. Los ISP más pequeños no conectan las funciones de registro de sus computadoras, sea porque tienen personal inadecuadamente entrenado o porque no desean la responsabilidad de brindar información sobre sus clientes. Algunos ISP mantienen sólo datos parciales, como las anotaciones de registros (log-ins) o las transferencias FTP (protocolo de transferencia de archivos) hacia y desde la máquina. Esto puede dificultar la labor del investigador porque no hay suficiente información para dar el siguiente paso.

Límites de la ley. Aun cuando los ISP llevan suficientes registros, varían en su interés por ayudar a los investigadores. Algunos facilmente proporcionan los registros de las computadoras para ayudar en la investigación, mientras que otros se rehusan a entregar los registros si no existe una orden o citación judicial. (Tienen la legítima preocupación de ser llevados ante la justicia por violar los derechos de privacidad de los usuarios).

Para el investigador privado que no tiene el respaldo de la ley, conseguir una orden judicial puede ser difícil o imposible. Para superar este impedimento a su avance, los investigadores pueden trabajar con organizaciones policíacas cuando investigan un delito para su compañía o un cliente. Si los oficiales de policía toman contacto con el ISP y le informan que cierto usuario está siendo investigado, el ISP está obligado por ley a preservar cualquier información que habría normalmente registrado o reunido, dando tiempo a los investigadores para buscar la autoridad legal para obtener la información pertinente.

Sin embargo, los ISP no están obligados a incrementar sus actividades de seguimiento. Consecuentemente, si no estaban llevando un registro, no están obligados a empezar a hacerlo.

Incidentes internacionales. Rastrear a través de jurisdicciones internacionales a los intrusos de computadoras y de correos electrónicos, puede ser realmente difícil. En muchos casos, uno tiene que contar con el respaldo de un agregado jurídico y del Departamento de Estado, así como el apoyo de los organismos policiales del país. Si la pista conduce a una computadora ubicada en un país que no desea ayudar, muy poco se puede hacer. Los investigadores podrían dirigir su atención a una computadora específica en ese país. Pero no hay forma de comprobar si la computadora fue víctima de un pirata informático o específicamente quién envió el mensaje electrónico.

Búsquedas dentro de la organización. Si el problema se origina en las propias computadoras de la compañía, la búsqueda es más fácil, al menos en el sentido de que la compañía tiene acceso físico al equipo así como el derecho legal de efectuar una búsqueda del contenido (suponiendo que están en aplicación los avisos de registro y/o los convenios con los usuarios, mediante los cuales el usuario acepta el control sobre el sistema y concuerda en que el sistema sólo es para uso oficial). Esto supone, por supuesto, que la compañía tiene en aplicación buenos procedimientos y políticas. Por ejemplo, se debe asegurar que los servidores de correo estén configurados apropiadamente para anotar las transacciones del correo electrónico y que se consigan copias de respaldo de esas anotaciones con regular frecuencia.

El caso principal aludido en este artículo presenta un ejemplo de la clase de problema que podría originarse en las computadoras de la propia organización. Otro tipo de problema en donde a menudo la evidencia se encuentra en el equipo corporativo, es aquél en que una persona aparentemente del interior de la compañía le pasa información privada de la empresa a un grupo de noticias [de la Internet] que examina las acciones de la compañía. Si el análisis del encabezamiento del grupo de noticias (parecido al encabezamiento del correo electrónico) indica que el mensaje se remitió de una de las PC de la compañía, los investigadores tratarán de identificar un número razonable de computadoras para examinar, tomando como base a los empleados que tenían acceso a la información privada de la compañía.

Una vez que se han encontrado esas PC, el equipo de análisis obtiene copias exactas (llamadas “copias imagen”) de los discos duros de las computadoras. Cualquier análisis de una porción de un medio de información debe hacerse siempre en una copia imagen para evitar que se altere la evidencia original. Luego, el equipo efectúa una revisión completa de estos registros. Buscan fragmentos de archivos o partes de cualquiera de los mensajes electrónicos que contengan referencias específicas al mensaje ofensivo. Por ejemplo, si el usuario estaba empleando el servicio público de correo electrónico Hotmail, los investigadores comprobarán la copia imagen del cache de la Internet del buscador (browser), que muestra dónde ha estado en línea el usuario. Ella contendrá las copias de los mensajes electrónicos creados o enviados o recibidos vía Hotmail. Si el usuario ha vaciado el cache o de otra manera ha eliminado un mensaje electrónico, los investigadores generalmente pueden usar los programas utilitarios para restaurar elementos eliminados para lograr recuperar esta información.

Los investigadores también pueden realizar un análisis de nodos de red, un examen de todos los registros de la computadora, que pueden ayudar a determinar la ruta que siguió un mensaje electrónico o un pirata informático. Por ejemplo, los servidores Web y FTP mantienen registros de todos los pedidos hechos al servidor y disponen de herramientas automatizadas para comparar los registros y juntar los patrones de información o de semejanzas.

Tendencias. Hay tendencias inquietantes que sugieren que en el futuro el rastreo del correo electrónico será más difícil. Por ejemplo, algunos productos nuevos que prometen un correo electrónico seguro, pueden retirar los encabezamientos de los mensajes electrónicos, como lo hace un equipo de reenvío, codificar el mensaje e incluso destruirlo después de un período. Alguien que usa ese tipo de producto estaría básicamente libre de ser rastreado. Afortunadamente, dichos productos todavía no son de uso extendido.

En un mundo perfecto, ningún mensaje escaparía el rastro proporcionado por el encabezamiento del correo electrónico, pero el mundo informático no es perfecto y nunca lo será. Los programadores hábiles siempre buscan—y encuentran--formas de evitar el rastreo, y los investigadores frecuentemente tratan de alcanzarlos cuando siguen el rastro del correo electrónico, debido a las complejas técnicas usadas para esconder la verdadera fuente del mensaje. Sin embargo, el rastreo proporciona pistas para el siguiente paso que deben dar los investigadores y continuará siendo una parte esencial del análisis forense de la computación.

Tim Poole es jefe del Veridian Digital Forensics Center (VDFC) en Falls Church, Virginia. James Hansen es un investigador forense principal de computación de Veritect, una compañía de Veridian que brinda servicios de seguridad para redes informáticas y de ambientes confiables para redes en diversos mercados verticales comerciales.

Fuente Original: http://www.securitymanagement.com/library/000990.html

Fuente:
Por Tim Poole y James Hansen



Otras noticias de interés:

Invitación a presentación del Libro de Gonzalo Asensio (Seguridad en internet)
El Director de RED.ES y el presidente de Fundetel tiene el honor de invitarlos a una mesa redonda para presentar el libro: Seguridad en Internet - Autor: Gonzalo Asensio...
Diversas vulnerabilidades en Half-Life y Counter Strike
Security Corporation ha informado de la existencia de varios problemas de seguridad que afectan tanto al servidor al que se conectan los jugadores de la versión 1.1.1.0 y anteriores de Half-Life, como a los propios clientes. También se encuentran a...
Nuevo ataque de phishing a Facebook
G Data SecurityLabs nos advierte de un nuevo ataque de phishing a través de Facebook en el que los usuarios de la red social reciben un mensaje procedente del servicio oficial de la red social Facebook Security....
Nuevo gusano ataca servidores MySQL
Symantec ha identificado una variante del gusano W32.Spybot que ataca los servidores MySQL en la plataforma Microsoft Windows....
Apple parchea un error en la característica de autocompletado
El recién aparecido Safari 5 de Apple ha sido actualizado con una serie de parches que entre otras cosas solucionan una problemática vulnerabilidad en la característica de autocompletado....
Delincuentes informáticos aprovechan punto débil de Acces para entrar en otros sistemas
La empresa antivirus de Panda Security, PandaLabs, ha descubierto un punto débil en la aplicación para bases de datos Acces, utilizada por ciberdelincuentes para distribuir el sistema Keylogger.DB, diseñado para robar datos confidenciales de los u...
Aparece el primer troyano basado en el caso Sony
El troyano (una variante de Breplibot) instala una puerta trasera para controlar el equipo mediante IRC en los ordenadores bajo Windows cuyo propietario abre un e-mail infectado....
Boletines de seguridad de Microsoft en agosto
Tal y como adelantamos, este martes Microsoft ha publicado los boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Finalmente han sido once los boletines publicados (del MS08-041 al MS08-051) en vez de los doce anunciados....
SkyDrive: no tan privado
Creer que la nube es una extensión de tu ordenador personal puede ser una falsa ilusión, sobre todo cuando los archivos que uno deja en un servicio de almacenamiento no son tan privados como uno pensaba. Hoy nos enteramos que eso le pasó a varios ...
Actualización para el servidor web de Novell
Novell ha anunciado -en http://support.novell.com/servlet/tidfinder/2966181 -, la publicación de una actualización para la pila http, conocida como Netware HTTP Stack o HTTPSTK, que corrige un problema de seguridad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • correo
  • debian
  • electronico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rastreo
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra