Где искать доказательства


Что может произойти

Трассировка e-mail на базе Web

Учетные записи e-mail на основе Web (Webmail) могут еще больше ослож­нить установление идентичности отправителя. Можно создавать новую се­тевую учетную запись Webmail каждый раз, когда понадобится послать сооб­щение e-mail. Многие лица используют бесплатные учетные записи e-mail, доступные на следующих сайтах:

• http://www.hotmail.com/ » http://www.hushmail.com

• http://mail.yahoo.com/

• http://www.lycosmail.com

Большинство этих сайтов поддерживают IP-адрес источника каждого со­единения, которое обращается к сетевой Webmail. Крайне важно иметь связь с этими организациями. Наличие точки контакта существенно для по­нимания, как получить желательную информацию о подписчике. Однако это не всегда возможно. Например, Hush.com обещает пользователям, что сайт не использует cookies и что Hush никогда не записывает IP-адреса по­льзователей таким образом, что они могут быть связаны с адресами e-mail.

ВНИМАНИЕЕсли вы получаете e-mail от Hotmail, то заголовки e-mail содержат ис­ходный IP-адрес в следующем формате: X-Originating-IP:[12.38.29.235].

Вы получаете сообщение e-mail, показанное на рис. АЛО. Адрес источника является, очевидно, фиктивный, но вам нужно определить, кто послал эту угрозу.

Так как вы получили подобное сообщение через Netscape Messenger, вы вы­бираете пункт меню View] Headers|All, чтобы определить реальный источ­ник сообщения. Далее показана информация заголовка из сообщения e-mail с угрозой:

1) Return-Path : <bovine@untraceable.com>

Рис. А1О.Угрожающее поддельное сообщение e-mail

 

2) Received: from mx02.mrf.mail.rcn.net ([207.172.4.51]) by mta04.mrf.mail.rcn.net(InterMail vM.4.01.03.14 201-229-121-114-20001227) with ESMTP

id<20010416013359.SDEZ22651.mta04.mrf.mail.rcn.net@mx02.mrf.mail.rcn.net> for <mandiak@mta.mrf.mail.rcn.net>;Sun, 15 Apr 2001 21:33:59 - 0400

3) Received: from 21-155-124-64.dsl.lan2wan.com ([64.124.155.21]) helo=snapper.lansters.com) by mx02.mrf.mail.rcn.net with esmtp

(Exim 3.16 #5) id 14oxtv-0002jQ-00 for mandiak@erols.com; Sun, 15 Apr 2001 21:33:59 - 0400

4) Received:from nobody@localhost) by snapper.lansters.com (8.11.3/8.9.3) id f3G1Xkq11863 for mandiak@erols.com; Sun, 15 Apr 2001 21:33:46 - 0400 (EOT) (envelope-from, bovine@untraceable.com)

5) X-Authentication-Warning: snapper.lansters.com: nobody set sender to bcvine@untraceable.com using -f

6) To: mandiak@erols.com

7) Subject: I have rOOt on your firewall

8) Message-ID: <987384826.3ada4bfa10b99@secure.code-monks.com>

9) Date: Sun, 15 Apr 2001 21:33:46 -0400 (EOT)

10) From: bovine@untraceable.com

11) MIME-Version: 1.0

12) Content-Type: text/plain; cha/-set=ISO-88,59-1

13) Content-Transfer-Encoding: 8bit

14) User-Agent: IMP/PHP IMAP webmail program 2.2.3

15) X-Mozilla-Status: 8001

16) X-Mozilla-Status2: 00000000

17) X-UIDL: 987384826.3ada4bfa10b99@secure.code-monks.com

18)

Файл заголовка для угрожающего сообщения e-mail указывает, что это сообщение прошло через три отдельных почтовых сервера:

• В строке 4 почта была впервые получена на snapper.lansters.com.

• В строке 3 snapper.lansters.com, чей IP-адрес будет 64.124.155.21, пере­сылает сообщение второму почтовому серверу mx02.mrf.mail.rcn.net.

• В строке 2 mx02.mrf.mail.rcn.net, чей IP-адрес будет 207.172.4.51, пере­сылает e-mail конечному почтовому серверу mta04.mrf.mail.rcn.net.

• Строка 8 показывает ID сообщения 987384826.3ada4bfalOb99, кото­рое вы будет искать в почтовых журналах на почтовом сервере snap-per.lansters.com.

• Строка 14 указывает, что составителем угрожающего e-mail использо­ван почтовый агент на основе Web для составления сообщения. Поэтому можно найти доказательства, такие как IP-адрес составителя в журналах доступа Web в системе snapper.lansters.com.

ВНИМАНИЕОтметим, что самый последний сервер e-mail, выполнивший до­ставку сообщения, находится в верхней части заголовка e-mail. Вы хотите получить почтовые журналы из первого почтового сервера, упомянутого в заголовке, который будет последним сервером, встретившимся при считывании заголовка e-mail сверху вниз.

В заголовке не существует данных, показывающих IP-адрес источника, ко­торый составил e-mail. Так как это сообщение e-mail нарушает уголовное за­конодательство, то вы пересылаете информацию агентам ФБР, которые вы­писывают судебный ордер для извлечения журналов соединений из первого почтового сервера, передающего сообщение: snapper.lansters.com (64.124.155.21). В результате судебного ордера вы сможете просмотреть сле­дующий имеющий отношение к делу фрагмент почтового журнала. Помни­те, что вас интересуют записи в почтовом журнале, содержащие ID сообще­ния 987384826.3ada4bfalOb99, который был идентифицирован в заголовке e-mail.

1) Apr 15 21:33:46 snapper sendmail[11863]: f3G1Xkq11863: from=bovine@untraceable.com, size=453, class=0, nrcpts=1, msgid=<987384826.3ada4bfa10b99@secure.code-monks. com>, relay=nobody@localhost

2) Apr 15 21:33:47 snapper imapd[11861]: Logout user=mtpepe host=localhost.lansters.com [127.0.0.1] -

3) Apr 15 21:33:47 snapper imapd[11866]: Authenticated user=mtpepe host=localhost.lansters.com [127.0.0.1]

4) Apr 15 21:33:56 snapper imapd[11866]: Logout user=mtpepe host=localhost.lansters.com [127.0.0.1]

5) Apr 15 21:33:57 snapper sendmail[11865]: f3G1Xkq11863:

to=mandiak@erols.com,ctladdr=bovine@untraceable.com (65534/65533),

delay=00:00:11,xdelay=00:00:11, mailer=esmtp,

pri=30453,relay=mx.mail.rcn.net.

[207.172.4.98], dsn=2.0.0, stat=Sent

(OK id=14oxtv-0002jQ-00@mx02.mrf.mail.rcn.net)

 

Выделенный полужирным текст в строке 1 показывает ID сообщения, идентичный тому, который присутствует в заголовке полученного сообще­ния. Поэтому можно сделать вывод, что эта запись журнала сделана атакую­щим. Отметим, что IP-адрес источника соединения отсутствует. Это связано с тем, что атакующий использует для отправки e-mail интерфейс на основе

Web. Именно поэтому строки 2, 3, и 4 показывают записи демона IMAP (imapd). Строка 14 в заголовке e-mail показывает, что атакующий использу­ет IMAP для отправки сообщения. Таким образом, чтобы обнаружить IP-ад­рес атакующего, необходимо идентифицировать соответствующие записи журнала в журналах Web-доступа, полученных от snapper.lansters.com. Да­лее показаны соответствующие записи в журналах Web-доступа, найденных в системе.

1) 12.38.29.235 - - [15/Арг/2001:21:32:35 -0400] "GET

/webmail/imp/compose.php3?uniq=987384510169 НИР/1.1" 200 15364

2) 12.38.29.235 - - [15/Арг/2001:21:32:46 -0400] "GET

/webmail/imp/status.php3?language=en&message=Message+Composition &status=green HTTP/1.1" 200 1027

3) 12.38.29.235 - - [15/Apr/2001:21:33:46 - - 0400] "POST

/webmail/imp/compose.php3?uniq=5439335813ada4bb339f76 HTTP/1.1" 200 628

4) 12.38.29.235 - - [15/Apr/2001:21:33:56 - - 0400] "GET /webmail/imp/status. php3?language=en&message=Mes'sage+sent+successfully. &status=green HTTP/1.1" 200 1034

Строка 1 фрагмента показывает начальное соединение с программой Webmail с IP-адреса 12.38.29.235. Теперь мы имеет направление для исследо­вания. Можно выполнить nslookup и получить FQDN системы, выполнить traceroute для поиска географического расположения системы и запросить базу данных Whois, чтобы определить, за кем система зарегистрирована.