forenzika email-a, pop protokol
TRANSCRIPT
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Seminarski rad u okviru predmeta „Računalna forenzika“ [2018./2019.]
Forenzika email-a, Pop protokol
Andrea Jelavić Šako
Zagreb, siječanj 2019
SADRŽAJ
1. Uvod .......................................................................................................................................... 3
2. Email sustav i analiza zaglavlja ......................................................................................... 4
2.1. Postupak slanja email-a ..................................................................................................... 4
2.2. Građa email-a i analiza zaglavlja ....................................................................................... 5
3. Email protokoli i korištenje ................................................................................................. 8
3.1. Pop protokol ...................................................................................................................... 9
4. Primjer forenzičke analize zaglavlja email-a ................................................................ 11
5. Zaključak ................................................................................................................................ 13
6. Literatura ............................................................................................................................... 14
1. Uvod
Elektronička pošta (eng. Electronic mail) je način razmjene elektroničkih poruka putem
Interneta ili ostalih računalnih mreža i druga je najčešće korištena aplikacija na Internetu
iza web preglednika. Temelji se na istom principu rada kao i ne-elektronička pošta, ali s
prednostima kao što su brzina, lakoća prijenosa i cijena. Ključne komponente za održavanje
sustava email-a su klijenti (mail user agent) to jest primatelj i pošiljatelj email-a, zatim mail
serveri koji omogućavaju prijenos elektroničkih poruka ( još se nazivaju mail transfer agents
), SMTP protokol kojim se vrši prijenos poruke i razni drugi protokoli ( Mail Access Protocols)
za dohvaćanje poruka.
Nekoć je korisnikovo računalo bilo u isto vrijeme mail klijent i mail server pa je primatelj
trebao biti online kako bi primio poruku. Zbog nepraktičnosti takvog pristupa integrirani su
full-time serveri koji služe za daljnje slanje poruke, a danas je svima dobro poznata webmail
usluga. Svi procesi vezani uz slanje email-a odvijaju se unutar internetskog preglednika, koji
je u slučaju webmaila klijent. Korisnik pomoću preglednika vrši postupak potvrde identiteta,
dohvaća, kreira i šalje poruku koja je prikazana unutar pretraživača kao web stranica.
Protokol za dohvaćanje i slanje poruke do mail servera je HTTP. Ipak, mail serveri
komuniciraju putem SMTP protokola. Popularni pružatelji webmail usluga su: Google
(Gmail), Microsoft (Hotmail), Yahoo! (Yahoo! mail) [1] .
4
2. Email sustav i analiza zaglavlja
2.1. Postupak slanja email-a
Postupak slanja i primanja email-a možemo jednostavno opisati u nekoliko koraka na sljedećem
primjeru.
Slika 1 Komunikacija email-om između Ane i Karla
slika preuzeta s [7]
Koraci u email komunikaciji :
1) Ana napiše email Karlu ( koristeći svoj klijent) na svom računalu i naredi klijentu da
ju pošalje
2) Klijent šalje poruku na server gdje se ona sprema u red (outgoing message queue)
uz pomoću SMTP protokola
3) Server ustanovi SMTP vezu s primajućim serverom
4) Karlov klijent dohvaća poruku sa svog servera ( uz pomoć MAP i sprema ju u Karlov
mailbox ( spremnik koji upravlja porukama)
5) Karlo skida poruku iz svog poštanskog sandučića s primajućeg servera na lokalni
sandučić na svom računalu koristeći POP ili IMAP protokol.
ana karlo
klijent
pošiljatelj klijent
primatelj server
pošiljatelj
server
primatelj
5
Poruka koju pošiljatelj formira mora zadovoljavati određen oblik propisan s RFC 5322,
dokumentom koji opisuje standard za formatiranje poruka [3]. Kada je poruka formirana,
ona se šalje putem SMTP protokola za slanje elektroničkih poruka. Kada svi koraci SMTP
transakcije završe, ona se putem mail access protocol-a dohvaća od strane primateljeva
klijenta.
Slika 2 Tipični put kojim prolazi email
Klijent za slanje poruke koristi SMTP protokol. U tom slučaju klijent inicijalizira
komunikaciju, a server je proces koji čeka inicijalizaciju kako bi započeo sjednicu (eng.
Session). U klijent-server arhitekturi, klijenti ne komuniciraju direktno, već posredstvom
stalnih servera. Takvi su serveri uvijek aktivni i imaju stalnu IP adresu. Budući da jedan host
može izvršavati više aplikacija, uz IP adresu traženog hosta, treba biti priložen i port - broj
koji određuje kojoj je aplikaciji podatak koji šalje drugi host namijenjen. Protokoli
aplikacijskog sloja za prijenos podataka koriste transportne protokole - protokole koji
aplikacijskim procesima na različitim hostovima omogućavaju komunikaciju.
2.2. Građa email-a i analiza zaglavlja
Poznato je da se nažalost email može lako krivotvoriti i stoga razmatrajući forenziku email-
a najbitniji dio je zaglavlje. Pregledavajući zaglavlja možemo otkriti pravo porijeklo email-a.
Polja zaglavlja su linije unutar poruke koje se sastoje od imena zaglavlja, zatim dvotočke,
zatim tijela zaglavlja i zaključene s CRLF-om. Neka zaglavlja bitna su za samog primatelja, a
neka za komunikaciju između mail servera tijekom SMTP transakcije. Mail serverima
dopušteno je na vrh poruke dodavati nova zaglavlja u svrhu praćenja poruke i pronalaženja
grešaka medu serverima.
klijent klijent
Mail server
Mail server
Mail server
6
Slika 3 Izgled email-a slika preuzeta s [5]
Standardna email zaglavlja sadrže polja :
• From - imenuje autora poruke
• To - imenuje primatelje poruke
• Reply-to - određuje kome će odgovor na poruku biti dostavljen
• Cc (Carbon copies) - opcionalno, imenuje primatelje kojima će kopija poruke biti
dostavljena
• Bcc (Blind carbon copies) - opcionalno, imenuje primatelje koji dobivaju tajnu kopiju
poruke
• Subject - imenuje tematiku ili sadržaj same poruke
• Message-Id - jedinstveni string za identifikaciju poruke
• Received - zaglavlje dodano od strane mail servera nakon svakog prijelaza tijekom
prijenosa poruke
Zaglavlje email-a
Tekst poruke
Višedjelni spremnik
Enkodirani dijelovi poruke
7
Slika 4 Primjer zaglavlja poruke email-a poslanog od strane [email protected] za [email protected]
slika preuzeta s [8]
Received polje je najvažnije polje email zaglavlja koje sadrži listu svih email servera kroz
koje je poruka putovala kako bi došla do primatelja. Način čitanja te liste je od dna prema
vrhu. Najniži received na listi prikazuje IP adresu od pošiljateljevog mail servera, a received
polje na vrhu prikazuje IP adresu mail servera primatelja. Srednji Received prikazuje IP
adresu mail servera kroz koje mail prolazi od pošiljatelja do primatelja.
8
3. Email protokoli i korištenje
Komunikacija između pošiljatelja i primatelja te servera bila bi nemoguća bez standardnih
protokola. U okviru email-a postoje tri značajna protokola : POP3 (Post Office Protocol 3),
IMAP(Internet Message Access Protocol) i HTTP(HyperText Transfer Protocol) . Mail klijenti
će najčešće koristiti POP3 protokol za komunikaciju sa serverom, a u nekim slučajevima i
SMTP. Server-server komunikacija se najčešće implementira uz pomoću SMTP, dok HTTP
protokol predstavlja protokol aplikacijskog sloja baziran na klijent-server arhitekturi. U
današnje vrijeme korisnik čita elektroničku poštu putem klijenta, koji se odvija na
korisnikovom računalu, koji pristupa mailboxu koji se nalazi na uvijek aktivnom
korisnikovom mail serveru. Primateljev klijent pristupa poruci pomoću mail access
protocol-a, kako samo ime govori.
Tablica 1 Karakteristike protokola
Post Office Service Protokol Karakteristike
Pohranjuje samo dolazeće poruke
POP Najčešće se poruke brišu sa severa, a ostaju na uređaju
Pohranjuje sve poruke
IMAP
Kopije dolazećih i odlazećih poruka mogu biti
spremljene na računalu, serveru ili oboje
Slanje i primanje bazirano na web-u
HTTP
Dolazeće i odlazeće poruke su spremljene na server, ali mogu postojati arhivirane ili
kopirane poruke na računalu
Ni IMAP ni POP protokoli nisu umiješani u prosljeđivanje poruka između servera. Razlika
između IMAP i Pop je da kod IMAP-a, mail se uvijek sprema na server. Ako ga izbrišete, bit
će nedostupan na svim ostalim uređajima. Dok kod POP-a, ako se izbriše skinuti mail, to
može i ne mora izbrisati email na serveru. Za razliku od pop3, imap dozvoljava korisniku da
čita i pristupa mailu istovremeno s više od jednog uređaja što je često zastupljeno (laptop,
smartphone).
9
3.1. Pop protokol
Pop3 je jednostavan protokol u aplikacijskom sloju korišten od strane email sustava za
izvlačenje maila od email poslužitelja (servera). Koristi se za klijent-server komunikaciju.
Email klijent koristi pop3 naredbe kao što su login, list, retr, dele, quit za pristup i
manipulaciju nad email-om na poslužitelju.
Sjednica između primateljeva POP3 klijenta i mail servera odvija se u 4 faze:
• Povezivanje- klijent otvara TCP vezu na portu 110
• Autentifikacija- klijent šalje primateljevo korisničko ime i zaporku pomoću naredbi
user i pass
• Prijenos- klijent dohvaća poruku, preuzima statistiku o poruci
• Nadogradnja- klijent šalje QUIT naredbu, završava se pop3 sjednica i server briše
poruku ako je klijent to zatražio
POP3 klijent može biti konfiguriran na 2 načina - download and delete u kojem će poruka
nakon preuzimanja, od strane klijenta biti označena za brisanje, i od strane servera obrisana
te download and keep u kojem poruka ostaje pohranjena na serveru. Problem s prvim
načinom je opasnost od gubitka poruke jednom zauvijek, npr. nakon dohvaćanja poruka na
svoje računalo, poruke zauvijek nestaju sa servera i ne može im se pristupiti putem drugog
računala.
Sljedeće slike prikazuju operacije POP protokola prikazane Wireshark alatom.
1) Otvori email klijenta i upiši korisničko ime i lozinku za login pristup
2) Koristi pop kao filter za prikazati sve POP pakete. To će prikazati samo listu paketa
koji koriste tcp port 110.
3) Provjeri je li autentifikacija prošla točno. Na sljedećoj slici se vidi sjednica otvorena
s korisničkim imenom koje počinje sa doronn@ i lozinka koja počinje sa u6F.
4) Da bi vidjeli tcp stream na slici, desnim likom se pritisne na jedan od paketa i
odabere follow tcp stream
10
Slika 5 Izgled POP sesije slika preuzeta s [8]
Sadrži sljedeće korake:
1) Klijent otvara tcp vezu sa serverom
2) Server šalje ok poruku klijentu
3) Korisnik šalje korisničko ime i lozinku
4) Započinju operacije protokola. NOOP(nema operacije) je poruka koja se šalje da se
održi veza, STAT(status) se šalje od klijenta prema serveru da zatraži status poruke.
Server odgovara s brojem poruka i njihovom ukupnom veličinom
5) Kada nema poruka na serveru, klijent šalje QUIT poruku(1048), server ju
potvrđuje(1136) i tcp veza je zatvorena.
Slika 6 Analiza pop paketa Wireshark alatom slika preuzeta s [8]
11
4. Primjer forenzičke analize zaglavlja email-a
Sljedeći slučaj prikazuje kako je email poslužio u rješavanju sudskog slučaja. Radi se o email-
u koji je navodno poslan od strane direktora Tech.com-a brokeru. Tvrtka Tech.com su
ispunili žalbu i tvrdili da je email krivotvoren.
Slika 7 Shema slučaja koji se analizira
Forenzičari su snimili sva direktorova računala u uredu i domu i pretražili sve tvrde diskove
i email servere kako bi pronašli tragove vezane uz email koji se istraživao. Istraživanje nije
našlo tragove te poruke ni na jednom hard drive-u. Kada su se usporedile vremenske
oznake i ID poruka s logovima na serveru, otkrili su da ta upitna poruka nije mogla proći
kroz Tech.com webmail ili mail server u tom vremenu.
Do zaključaka su došli uz pomoć ESMTP ID, (hexadecimalni string koji se resetira svaki dan)
jedinstvene identifikacije dodijeljene od strane gateway servera.
Slika 8 Prikaz ESMTP id i vremenskih oznaka email-a, slika preuzeta s [9]
Analizirajući zaglavlje email-a točnije vremenske oznake i ESMTP ID, otkriveno je da je
autentični Message ID stvoren u 17:41:32 i da mu je dodijeljen ESMTP ID e73MfW903843 i
zatim je poslan na [email protected] server i dodijeljen mu je novi ESMTP ID
e73MfZ331592.
12
Uspoređujući vrijeme 14:41:32 i vremensku oznaku poruke od strane sumnjivca s
otkrivenim logom, otkriveno je da nije bilo poruka kroz više od sat vremena u tom
vremenskom okviru.
Slika 9 Prikaz vremenskih oznaka email-a
13
5. Zaključak
POP, IMAP i SMTP su standardizirani e-mail protokoli koji se koriste kod slanja i primanja
email poruka. POP je originalni protokol kreiran za primanje email poruka. Glavna
razlika između POP i IMAP je u tome da POP “skida” email poruke sa servera i pohranjuje
ih lokalno na računalo, dok IMAP ostavlja poruke na serveru i korisniku prikazuje
privremenu kopiju. To znači da ukoliko korisnik obriše poruke koje su skinute lokalno POP
protokolom, te poruke više ne postoje na serveru i korisnik im više neće moći pristupiti. Kod
IMAP protokola, ako korisnik obriše lokalnu verziju poruka, originalne poruke su i dalje
dostupne na serveru. Kod podešavanja e-mail klijenta uvijek se korisnicima preporuča
korištenje IMAP protokola kako ne bi došlo do neželjenog gubitka podataka.
Bitno je shvatiti da se email može jako lako krivotvoriti i stoga treba obratiti pažnju na
njegovu ispravnost, pogotovo ako se radi o email-u koji sadrži bitne podatke. Postoje mnogi
alati kojima možemo analizirati put email-a i točnost njegovih podataka, a neki od njih su :
AccessData's FTK, EnCase, WireShark itd. Jedan od primjera krivotvorenja mail-a je
namještanje lažnog received polja. Primarni fokus forenzike email-a je analiza email
zaglavlja i logova servera.
14
6. Literatura
[1] Sigurnosni rizici web aplikacija za pristup elektroničkoj pošti CCERT-PUBDOC-
2008-12-238, dostupno na:
https://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2008-12-248.pdf
[2] Email forenzika, Petar Djerasimović, Predrag Pale, Juraj Petrović, predavanje u
okviru predmeta Računalna forenzika dostupno na :
https://www.fer.unizg.hr/_download/repository/ComFor-Email-Slides-v13-pp.pdf
[3] Završni rad- Elektronička pošta, Jurica Maltar, Osijek 2015, dostupno na:
https://technodocbox.com/Email/74532993-Jurica-maltar-zavrsni-rad.html
[4] Email forenzika, WikilS, dostupno na :
https://www.cis.hr/WikiIS/doku.php?id=email_forenzika
[5] Članak - InfoNet, dostupno na : https://www.infonet.hr/kb/pop-imap-i-smtp-
protokoli/
[6] Članak - Review of E-mail System, Security Protocols and Email Forensics, Siječanj
2015, dostupno na :
https://www.researchgate.net/publication/286053691_Review_of_E-
mail_System_Security_Protocols_and_Email_Forensics
[7] Članak- Techniques and Tools for Forensics Investigation of E-mail, Prosinac 2011,
dostupno na :
https://www.researchgate.net/publication/227859112_Techniques_and_Tools_for_F
orensic_Investigation_of_E-mail
[8] Wireshark for analyzing issues and malicious emails in pop, imap and smtp, Vijin
Boricha, Srpanj 2018, dostupno na :
https://hub.packtpub.com/wireshark-analyze-malicious-emails-in-pop-imap-smtp/
[9] Email forensics, Tecnico Lisboa, dostupno na :
https://fenix.tecnico.ulisboa.pt/downloadFile/1970943312267438/csf-13.pdf