Spoofed Internet Header και Outlook 2003

[Panagiotis]

[Από το http://blogs.technet.com/pamal/]

 

Αυτό είναι το δεύτερο μέρος του αφιερώματος για το email spoofing. Στο πρώτο μέρος περιγράψαμε τι είναι το spoofing και πως κάποιος κακόβουλος χρήστης χρησιμοποιεί αυτή τη μέθοδο για να μας κοροϊδέψει έτσι ώστε να του δώσουμε απόρρητες η εμπιστευτικές πληροφορίες. Σε αυτό το δεύτερο μέρος θα δούμε πως μπορούμε να χρησιμοποιήσουμε το Microsoft Outlook 2003 SP2 έτσι ώστε να καταλάβουμε εάν ένα μήνυμα είναι spoofed.<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Κάθε μήνυμα που φτάνει στο mailbox μας από το internet περιέχει τα λεγόμενα Internet Headers. Αυτά τα headers περιλαμβάνουν πληροφορίες για τη διαδρομή που ακολούθησε το μήνυμα μέχρι να φτάσει στο mailbox μας. Παρακάτω θα δούμε πως μπορούμε να διαβάσουμε τα internet headers ενός μηνύματος για να επιβεβαιώσουμε πως έχει έρθει από εκεί που πραγματικά θα περιμέναμε να έρθει.

 

Επιλέγουμε ένα μήνυμα που θέλουμε να εξετάσουμε και κάνουμε διπλό κλικ για να το ανοίξουμε. Από το μενού επιλέγουμε View  και μετά Options . Στη βάση του παραθύρου Message Options μπορούμε να δούμε τα Internet Headers. Για να μπορούμε να τα διαβάσουμε ευκολότερα θα ήταν καλό να τα κάνουμε Copy/Paste στο Notepad.

 

Σχετικά με τα Internet Headers

 

Όταν στέλνετε ένα email από τον υπολογιστή σας, ο mail server με το οποίο επικοινωνεί το Outlook αναλαμβάνει τη δρομολόγηση του μηνύματος στους σωστούς παραλήπτες. Εάν το mailbox του παραλήπτη δεν είναι στον ίδιο server με αυτό του αποστολέα, ο mail server προωθεί το μήνυμα σε κάποιον άλλο mail server. Το μήνυμα ενδέχεται να περάσει από αρκετούς mail servers μέχρι να φτάσει στο mailbox του παραλήπτη. Κάθε φορά που το μήνυμα περνάει από κάποιον mail server, τεχνικές πληροφορίες προστίθενται στα internet headers του μηνύματος. Πληροφορίες όπως ημερομηνία και ώρα που το μήνυμα πέρασε από κάθε σύστημα, την έκδοση του email client που χρησιμοποίησε ο αποστολέας κλπ. Ας δούμε ένα παράδειγμα των Internet Headers  ενός μηνύματος που στέλνει η kelly@litware.com στον anton@proseware.com. Στο παρακάτω παράδειγμα έχουμε αριθμήσει όλες τις γραμμές έτσι ώστε να τις περιγράψουμε μία προς μία. Να σημειώσουμε σε αυτό το σημείο πως στην πραγματικότητα ίσως να δείτε περισσότερες γραμμές αλλά οι παρακάτω είναι οι ποιο κοινές.

 

1) Microsoft Mail Internet Headers Version 2.0
2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:39:22 -0800
3) Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:38:49 -0800
4) From: "Kelly Weadock" <[email protected]>
5) To: <[email protected]>
6) Subject: Review of staff assignments
7) Date: Wed, 15 Dec 2004 13:38:31 -0800
8) MIME-Version: 1.0
9) Content-Type: multipart/mixed;
10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510
11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==
13) Return-Path: [email protected]

14) Message-ID: <[email protected]>
15) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC]

 

Ανάλυση του Internet Header

 

Microsoft Mail Internet Headers Version 2.0

Αυτός ο header μπαίνει από το Outlook του αποστολέα.

 

Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:39:22 -0800

Αυτός ο header μας ενημερώνει πως κάποιος υπολογιστής με όνομα mail.litwareinc.com πήρε το μήνυμα τον υπολογιστή με όνομα mail.proseware.com στις 13:39:22 την 15^η Δεκεμβρίου 2004.  Λογικά αυτοί οι δύο υπολογιστές είναι mail servers.

 

Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:38:49 -0800

Αυτός ο header μας ενημερώνει πως με τη σειρά του, ο mail.litware.com πήρε το μήνυμα από κάποιον υπολογιστή  με όνομα mail στις 13:38:49 την ίδια ημέρα. Από τη στιγμή που στη συνέχεια δεν έχουμε κάποιο άλλο header που να ξεκινάει με “Received:” θεωρούμε πως ο υπολογιστής με όνομα mail και διεύθυνση IP 10.54.108.23 είναι ο υπολογιστής από τον οποίο ξεκίνησε το μήνυμα (αν και αυτό δεν πάντοτε έτσι καθώς υπάρχουν τρόποι να γίνει απόκρυψη του υπολογιστή που αρχικοποιεί το μήνυμα).

 

From: "Kelly Weadock" [email protected]

Ο συγκεκριμένος header μας ενημερώνει πως το μήνυμα φαίνετε να έχει έρθει από κάποιο χρήστη με διεύθυνση email kelly@litware.com

 

To: <[email protected]>

Εδώ βλέπουμε το όνομα του παραλήπτη του μηνύματος.

 

Subject: Review of staff assignments

Αυτός ο header περιέχει το subject του μηνύματος.

 

Date: Wed, 15 Dec 2004 13:38:31 -0800

Ο συγκεκριμένος header περιέχει την ημερομηνία που ο αποστολέας έστειλε το μήνυμα. Η ημερομηνία αυτή έγινε generate στον υπολογιστή του αποστολέα έτσι αν ο αποστολέας είχε λανθασμένη ημερομηνία στον υπολογιστή του αυτό θα φανεί στον συγκεκριμένο header.

 

MIME-Version: 1.0

Αυτός ο header μπαίνει από το Outlook και περιγράφει την έκδοση του πρωτοκόλλου MIME που χρησιμοποίησε ο αποστολέας

 

Content-Type: multipart/mixed;

Ο σκοπός του συγκεκριμένου header είναι να δώσει οδηγίες στον email client του παραλήπτη για να μπορέσει να κάνει format το μήνυμα σωστά.

 

X-Mailer: Microsoft Office Outlook, Build 11.0.5510

Αυτός ο header αναφέρει την ακριβή έκδοση του Outlook που χρησιμοποιήθηκε για να σταλεί αυτό το μήνυμα.

 

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165

Περισσότερες πληροφορίες για τον email client που χρησιμοποίησε ο αποστολέας

 

Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==

Αυτός ο header χρησιμοποιείτε για να γίνει λογική σύνδεση μηνύματος που ανήκουν στο ίδιο thread.  Αυτό μπορεί να χρησιμοποιηθεί για παράδειγμα από το Outlook όταν κάνουμε group τα μηνύματα βάση conversation (από το κεντρικό μενού του Outlook επιλέγουμε View – Arrange by – Conversation).

 

Return-Path: kelly@litware.com

Ο συγκεκριμένος header μας ενημερώνει πως μπορούμε να επικοινωνήσουμε με τον αποστολέα (πχ όταν επιλέγουμε να του στείλουμε ένα reply).

 

Message-ID: [email protected]

Κάθε μήνυμα παίρνει ένα message-ID από τον server του αποστολέα. Ο μήνυμα κρατάει το ίδιο message id καθ’ όλη τη διάρκεια της ζωής του. Επειδή ακριβώς το μήνυμα μπαίνει από τον originating mail server, συνήθως θα παρατηρήσουμε ότι διατηρεί και κάποιο χαρακτηριστικό γνώρισμα (πχ @mail.litware.com)

 

X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC]

Αυτός είναι ένας header που μπαίνει στο μήνυμα την πρώτη φορά που θα περάσει από έναν Microsoft Exchange Server.

 

Πως θα ήταν τα Internet Headers ενός spoofed μηνύματος;

 

Τώρα που περιγράψαμε τα βασικά ενός internet header ας δούμε πως θα φαινόταν ο internet header ενός spoofed μηνύματος. Στο παρακάτω παράδειγμα ένας κακόβουλος χρήστης στέλνει ένα spoofed μήνυμα στον [email protected] ως ceo@proseware.com. Η λογική που πρέπει να ακολουθήσουμε είναι πως κοιτάμε τους internet headers για να διαπιστώσουμε αν υπάρχουν πληροφορίες που θεωρούμε “ξένες” προς το δικό μας δίκτυο.

 

1) Microsoft Mail Internet Headers Version 2.0
2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:39:22 -0800
3) Received: from spoofer ([10.10.105.123]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:38:49 -0800
4) From: "Company CEO" <[email protected]>
5) To: <[email protected]>
6) Subject: Please send me my dialup password at [email protected]
7) Date: Wed, 15 Dec 2004 13:38:31 -0800
8) MIME-Version: 1.0
9) Content-Type: multipart/mixed;
10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510
11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==
13) Message-ID: <[email protected]>
14) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC]

 

Παρατηρούμε τα εξής:

Α) Οι headers στις γραμμές 2 και 3 αναφέρουν δρομολόγηση από servers που δεν θα έπρεπε να είναι εκεί. Το μήνυμα θεωρητικά είναι εσωτερικό (από τον ceo@proseware.com προς τον anton@proseware.com) έτσι δεν υπάρχει κανένας λόγος να βλέπουμε άσχετους προς το δίκτυο μας servers.

Β) Ο header στη γραμμή 13 (το message id) περιέχει κάποιο χαρακτηριστικό που είναι “ξένο” προς το δίκτυο μας.

 

Η ίδια λογική μπορεί να εφαρμοστεί ακόμα και σε μηνύματα που δεν είναι εσωτερικά αλλά από το Internet. Εκεί απλά ψάχνουμε για headers που αναφέρουν επίσης “ξένες” προς το originating δίκτυο πληροφορίες. Ας δούμε ένα παράδειγμα όπου λαμβάνουμε ένα μήνυμα όπου αποστολέας φέρετε να είναι η τεχνική υποστήριξη της Microsoft με διεύθυνση email support@microsoft.com

 

1) Microsoft Mail Internet Headers Version 2.0
2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:39:22 -0800
3) Received: from spoofer ([10.10.105.123]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0);
Wed, 15 Dec 2004 13:38:49 -0800
4) From: "Microsoft Technical Support" <[email protected]>
5) To: <[email protected]>
6) Subject: Change in security policy requires that you change your Hotmail password to p@ssw0rd
7) Date: Wed, 15 Dec 2004 13:38:31 -0800
8) MIME-Version: 1.0
9) Content-Type: multipart/mixed;
10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510
11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==
13) Message-ID: <[email protected]>
14) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC]

 

Για να διαπιστώσουμε αν αυτό το μήνυμα είναι spoofed ακολουθούμε την ίδια λογική με το προηγούμενο παράδειγμα.

 

Στο τρίτο μέρος αυτού το αφιερώματος θα δούμε πως ο Microsoft Exchange Server 2003 μπορεί να μας προστατέψει από τέτοιες επιθέσεις.