José Milagre - Perito em Informática, marketing e proteção de dados. Especialista em crimes cibernéticos. Palestrante. Palestras e conscientização Combate a Crimes Digitais - Atendimento em todo o Brasil

(11) 98105-6959

(650) 318-5194

Perícia, auditoria e investigação de vazamento de informações por e-mail

Perícia, auditoria e investigação de vazamento de informações por e-mail

Compartilhar no facebook
Facebook
Compartilhar no whatsapp
WhatsApp
Compartilhar no google
Google+
Compartilhar no linkedin
LinkedIn

Não restam dúvidas que o serviço de e-mails é muito utilizado por insiders ou colaboradores para a prática de concorrência desleal ou para a cópia indevida de informações corporativas, com a remessa para fora da empresa de dados, softwares, bancos de dados, dentre outros ativos. Logicamente que um atacante vai preferir um dispositivo de armazenamento para gigabytes de informações, mas não se pode descartar a cópia discreta de códigos e pequenas quantidades de informação remetidas via e-mail.

Isto pode ocorrer via webmail ou e-mail desktop. Dois conhecidos clientes Desktop são o Outlook e Thunderbird. Certamente, diante de uma possível fraude, o agente lidará com recuperação de mensagens nestes sistemas. Considere também que a empesa possa não ter um servidor ou backup centralizado, mas que as estações (incluindo a do suspeito) tenha seu próprio arquivo storage de mensagens. Um risco!

A recuperação de e-mails em arquivos storage PST é há muito tempo discutida na comunidade forense. Embora tenhamos muitas tools, vale conhecer uma técnica interessante: Com um editor hexa e um pouco de sorte é possível recuperar e-mails permanentemente deletados, desde a ultima compactação do arquivo lote.

Um método incerto (pois depende de uma série de fatores) mas muito difundindo na investigação forense e auditoria digital é o da corrupção da tabela de conteúdo (Table of Contents TOC, uma espécie de MFT dos e-mails) para ser tratada com o utilitário scanpst.exe (Windows). A TOC é usada para determinar a localização de uma mensagem de e-mail. Quando a mensagem é apagada o conteúdo continua no storage (white space) mas a referencia é removida da TOC, logo, a mensagem de e-mail “some”.

Quando o scanpst atua em um arquivo corrompido ele repara a TOC e não toma conhecimento das mensagens deletadas, trazendo o conteúdo à tona. Nem todas as mensagens podem retornar. Preenchendo com espaços (hexa: 20) a coluna de 7 a 13 e depois reparando o PST com o scanpst, existe a possibilidade da recuperação de algumas mensagens. Mais informações em http://www.techrepublic.com/article/recover-deleted-outlook-e-mail-by-corrupting-the-pst-file/


Fonte: http://www.howto-outlook.com/howto/restoredeleteditemsfromanoutlookpst.htm

Mas nem tudo é Microsoft.

Recentemente nos deparamos com uma perícia e investigação onde era a importante a necessidade de recuperar mensagens apagadas em um mailer Thunderbird, da Mozilla. Supostamente um colaborador estava remetendo informações para fora da empresa. Mas porque ele não acessou um webmail e enviou dele para ele mesmo? Não nos cabe julgar a perspicácia do insider.

Logicamente que o Postfix tinha muito a dizer e até mesmo o servidor de e-mails, mas é sempre útil corroborar evidências com outras fontes, como por exemplo, a tão almejada mensagem enviada e apagada no mailer instalado na máquina.

Uma técnica interessante é descrita por Tina Sieber em http://www.makeuseof.com/tag/how-to-recover-deleted-emails-in-thunderbird/ Basicamente, temos que coletar os arquivos de lote (mdf), comumente localizados em C:\Documents and Settings\YOUR USER NAME\Application Data\Thunderbird\Profiles em sistemas Windows. (Lembrando que é preciso habilitar a exibição da pasta Application Data, que é oculta)

No caso, buscamos o Inbox.mdf mas neste caso o interessante é acessar o arquivo Inbox sem qualquer extensão. Abramos o arquivo no Notepad.exe e vamos tomar um café pois vai demorar. Pode ser que o notepad trave. Lembrando que estamos tratando de uma mensagem apagada, com lixeira do mailer limpa, onde já coletamos o arquivo de lote.

No arquivo aberto, poderemos então buscar pelo e-mail apagado pelo concorrente desleal e alterar a expressão X-Mozilla-Status para 0000. Comumente em um e-mail apagado estará “X-Mozilla-Status: 0009 ou “0001”. Alteremos para 0000.

From – Wed Sep 26 09:07:26 2012
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00800000
X-Mozilla-Keys:
Message-ID: <5062EFE3.8000501@xxxx.com.br>
Date: Wed, 26 Sep 2012 09:06:59 -0300
From: xxxx <remetente@xxx.com.br>
User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
MIME-Version: 1.0
To: destinatario@xxxx.xom.br
Subject: teste
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

Basta salvar, e reabrir o Thunderbird. Mensagens recuperadas! Lembrando que a técnica vale apenas se o suspeito não compactou as pastas. Compactou, passamos para o próximo passo. Talvez seja interessante uma ferramenta da mitec http://www.mitec.cz/mailview.html para buscas mais apuradas (visualização).

Aproveito e indico a lista de ferramentas de Derek Newton para análises forenses, disponível em http://dereknewton.com/forensic-tools/ Um excelente vídeo sobre Forense em Thunderbird usando o Autopsy pode ser visto em http://www.youtube.com/watch?v=dK1Xu-Ylbbc (Detalhe que o Autor usa um Autopsy para Windows)

Igualmente, um addon útil ao perito ao manipular e-mails no Thunderbird
pode ser o https://addons.mozilla.org/en-US/thunderbird/addon/importexporttools/

Por fim, cumpre destacar que no curso preparatório para CHFI somos apresentados à ferramenta Stellar Phoenix Mail Recovery. Nunca tinha usado até precisar… Realmente excelente ferramenta e que otimiza a análise e recuperação de mensagens de arquivos storage de diversos mailers, dentre os quais Outlook e Thunderbird.

image_pdfimage_print

1 comentário em “Perícia, auditoria e investigação de vazamento de informações por e-mail”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima