Visualizzazione risultati 1 fino 6 di 6

Discussione: (Mail Tutorial parte 2) Tracciare una mail

  1. #1
    Guest

    Predefinito

    NOTA IMPORTANTE:
    le informazioni qui presentate non costituiscono materiale illegale, riservato o coperto da segreto industriale, ma sono di pubblico dominio.

    Visto, inoltre, l?attuale stato del protocollo SMTP, queste tecniche da sole NON BASTANO per inviare mail anonime o spam, per cui non costituiscono alcun tipo di favoreggiamento in azioni illegali o discutibili.

    Crescent of Darkness pubblica questo tutorial nell'ottica di ?Condivisione della Conoscenza? che la contraddistingue ed in cui crede e nella speranza che ciò aiuti la comprensione del funzionamento del protocollo SMTP con annessi relativi rischi e pericoli.

    Crescent of Darkness declina ogni responsabilità per eventuali usi illeciti o discutibili delle tecniche descritte in questo documento.

    Come dice giustamente Corrado Giustozzi in "Segreti spie e codici cifrati": un conto e' guidare un'automobile che sappiamo avere i freni guasti, un conto guidarne una che crediamo sia perfettamente funzionante ma che poi, al primo tornante, ci accorgiamo essere senza freni.

    Questo documento ha come scopo da un lato quello di illustrare i punti deboli e le false sicurezze del sistema di posta elettronica, dall'altro quello di fornire una piccola ?guida alla difesa? in modo che gli utenti siano preparati e consci dei rischi che corrono usando il protocollo SMTP.

    Le informazioni qui contenute, inoltre, possono essere di enorme aiuto nel caso di denuncia di una e-mail alle autorità giudiziarie.


    Scusate ma questo dovevo scriverlo per tutelarmi :P

    Ed ora veniamo al sodo: questo è il secondo di due thread che costituiscono una sorta di ?guida al buon uso delle caselle mail?.

    Nel PRIMO THREAD viene spiegato come funziona il protocollo di invio delle mail, seguito da un esperimento di invio di una mail contraffatta.

    Nel secondo thread (questo) vedremo come tracciare la stessa mail indietro fino al computer che la ha mandata, imparando così a difenderci da mail anonime, minatorie, infette o altro.

    Iniziamo?

  2. #2
    Guest

    Predefinito

    PREMESSA

    Do per scontato che abbiate già seguito la parte uno e che vi siate spediti una mail contraffatta.

    Vorrei inoltre precisare che in questo tutorial non ci sono parti censurate perché tutte le informazioni sono di pubblico dominio e l'unica cosa che "turberebbe" la mia privacy (cioé il mio indirizzo IP) probabilmente è già cambiato dall'ultima connessione :P


    COSA VI SERVE

    A dire la verità niente.
    Avrete (suppongo) un programma di posta o una form web da dove leggere le vostre mail.

    Tutto quello che vi serve è trovare come si fa ad abilitare gli Headers (o "Intestazioni") completi.
    Non sto a dilungarmi sul come fare perché esistono moltissimi programmi di posta.

    Probabilmente in qualche campo Opzioni o Preferenze c'è la possibilità di vedere gli headers completi.

    Trovate l'opzione corrispondente ed attivatela, poi tornate sulla mail che vi siete appena spediti.


    ANALISI DEGLI HEADERS

    Gli headers di una mail dicono tutto.

    È importante che capiate come analizzarli, anche perché in caso dobbiate fare una denuncia (ad esempio se vi arriva una mail minatoria o contenente materiale illegale) dovrete fornire tutti gli headers alla polizia che provvederà ad analizzarli in seguito per conto suo.

    Saper visualizzare e capire gli headers di una mail è quindi una cosa che tutti gli utenti dovrebbero saper fare, almeno per tutelarsi un po'.

    La mail che mi sono spedito nello scorso tutorial ha i seguenti headers (li ho numerati per comodità vostra):

    1 From: osama@alqaeda.com
    2 To: bush@crescentofdarkness.cjb.net
    3 Return-Path: <osama@alqaeda.com>
    4 Received: from mail-relay-1.tiscali.it (mail-relay-1.tiscali.it [212.123.84.91]) by mail.cjb.net (8.12.11/8.12.11) with ESMTP id i3RFvEwq037721 for <bush@crescentofdarkness.cjb.net>; Tue, 27 Apr 2004 09:57:32 -0600 (MDT)
    5 Received: from pippo (82.84.189.220) by mail-relay-1.tiscali.it (7.0.027) id 408C8F6A000575E4 for bush@crescentofdarkness.cjb.net; Tue, 27 Apr 2004 17:57:09 +0200 Sender: osama@alqaeda.com (derived from envelope by postmaster@mail-relay-1.tiscali.it)
    6 Date: Tue, 27 Apr 2004 17:57:09 +0200 (added by postmaster@mail-relay-1.tiscali.it)
    7 Message-ID: <408C8F6A000575E4@mail-relay-1.tiscali.it> (added by postmaster@mail-relay-1.tiscali.it)
    8 Subject: I love You!
    9 X-Mailer: Microzozz Outlook Express

    Vediamo di analizzarli uno per uno.
    Lascerò per ultimi gli headers 4 e 5 perché sono i più interessanti.


    1 From: osama@alqaeda.com

    Come potete notare siamo riusciti a falsificare per benino l'indirizzo del mittente.
    Un normale programma di posta vi mostra solo questo dato, il che è ovviamente un potenziale rischio.
    Tutti i virus moderni, infatti, utilizzano finti mittenti per inviarsi alle loro vittime.

    2 To: bush@crescentofdarkness.cjb.net
    6 Date: Tue, 27 Apr 2004 17:57:09 +0200 (added by postmaster @mail-relay-1.tiscali.it)
    8 Subject: I love You!

    Vabbè niente da dire su questi


    3 Return-Path: <osama@alqaeda.com>

    Questo è stato aggiunto dal mio mail server.
    Semplicemente specifica che se rispondo alla mail devo scrivere a osama@alqaeda.com.


    7 Message-ID: <408C8F6A000575E4@mail-relay-1.tiscali.it> (added by postmaster @mail-relay-1.tiscali.it)

    Questo è importante!
    Dice che una copia di questa mail è contenuta nell'archivio di tiscali sotto l'identificativo 408C8F6A000575E4.
    Come ho già detto nell'altro thread mi pare che il tempo massimo di conservazione di questi dati sia 3 anni.


    9 X-Mailer: Microzozz Outlook Express

    Questo lo avevamo aggiunto noi (e si vede )
    È comunque a tutti gli effetti un header corretto e normalmente interpretato dai programmi di posta.


    Ed ora veniamo alle linee più interessanti.

    Come ho spiegato nel thread numero uno, SMTP assomiglia al "telefono senza fili".
    Ogni server passa la mail ad un altro server e così via fino al destinatario.
    Ora, dovete sapere che ogni server che riceve una mail aggiunge un header in cima agli altri descrivendo come e da chi ha ricevuto quella mail.

    Leggendo gli header che cominicano con Received: ("ricevuto") è possibile andare indietro fino (a volte) al computer che ha "dettato" per primo la mail.

    Vediamo il primo header Received:


    4 Received: from mail-relay-1.tiscali.it ( mail-relay-1.tiscali.it [212.123.84.91] ) by mail.cjb.net (8.12.11/8.12.11) with ESMTP id i3RFvEwq037721 for <bush@crescentofdarkness.cjb.net> ; Tue, 27 Apr 2004 09:57:32 -0600 (MDT)

    mail.cjb.net ha ricevuto questa mail dall'indirizzo 212.123.84.91.
    Siccome i server sono furbi non si fidano del nome che segue il comando HELO o EHLO, ma controllano.
    In questo caso l'indirizzo 212.123.84.91 corrispondeva a mail-relay-1.tiscali.it, che guardacaso è anche il nome con cui si è presentato questo server (mail-relay-1.tiscali.it).

    Beh che dire: tiscali dopotutto è onesto.. vederemo nell'altro header cosa è successo.

    La mail è arrivata con il protocollo ESMTP ed è stata registrata nell'archivio di cjb.net con l'identificativo i3RFvEwq037721 , dove rimarrà probabilmente per i prossimi 3 anni.
    La mail era indirizzata a bush@crescentofdarkness.cjb.net ed è arrivata in data Tue, 27 Apr 2004 09:57:32 -0600 (MDT).

    Vediamo l'header 5:

    5 Received: from pippo ( 82.84.189.220 ) by mail-relay-1.tiscali.it (7.0.027) id 408C8F6A000575E4 for bush@crescentofdarkness.cjb.net ; Tue, 27 Apr 2004 17:57:09 +0200 Sender: osama@alqaeda.com (derived from envelope by postmaster @mail-relay-1.tiscali.it)

    Ecco che qualcosa di sospetto è avvenuto!
    mail-relay-1.tiscali.it ha ricevuto questa mail da un computer che si è presentato con il nome di pippo e che aveva come indirizzo 82.84.189.220.

    Ma 82.84.189.220 non corrisponde a nessun server chiamato pippo!
    In questo caso (probabilmente perché stavo usando il server tiscali ed ero connesso sempre con tiscali) non è stata aggiunta la "traduzione" del mio indirzzo ip.

    Possiamo farla a mano!

    Andiamo su http://www.ripe.net/perl/whois e inseriamo 82.84.189.220, quello che otteniamo è:

    [code:1:7b0784f6ce]
    inetnum: 82.84.0.0 - 82.84.255.255
    netname: TISCALINET
    descr: Tiscali SpA
    descr: PROVIDER
    [/code:1:7b0784f6ce]

    e non pippo!

    Ecco che abbiamo appena scoperto la vera identità del computer celato sotto il nome di pippo, ovvero un computer connesso con tiscali.

    Nella fattispecie quello era il mio indirizzo in quel momento.

    Le autorità potrebbero chiedere a tiscali chi era connesso con quell'IP in quel momento e arrivare quindi in un batter d'occhio direttamente in camera mia :D

    Alcuni server poi, sono molto più diffidenti di tiscali.
    Se il nome che segue HELO non corrisponde in qualche maniera all'indirizzo del mittente (tipo HELO pippo.it con un mittente come osama@pippo.it) il server aggiungerà la frase "may be forged", cioé "potrebbe essere stato falsificato".

    Il resto dell'header è come il precedente: ci informa che la mail è archiviata nel database di tiscali con l'identificativo 408C8F6A000575E4, che era indirizzata a bush@crescentofdarkness.cjb.net, che è stata spedita in data Tue, 27 Apr 2004 17:57:09 +0200 dall'indirizzo (presunto) osama@alqaeda.com

    Sono dati che ci interessano relativamente.

    La cosa importante è che abbiamo ottenuto l'indirizzo IP del computer che ha spedito la mail e questo è un dato direi decisivo.

    Anche senza essere la polizia possiamo facilmente cercare (ad esempio nel caso di una mail infetta) chi tra i nostri amici usa tiscali, era connesso in quel momento e ha il nostro indirizzo in rubrica, e trovare così il computer infetto che ci sta causando un sovraccarico della casella con allegati piuttosto antipatici :D



    Con questo si conclude il tutorial in due parti sulla sicurezza base delle mail.

    Ricordate che falsificare una mail è semplice, ma è altrettanto semplice tracciare all'indietro la mail fino al mittente originale, a meno che non siano state usate tecniche particolari non descritte qui.

    Spero che tutto questo possa esservi utile la prossima volta che riceverete una mail "sospetta" :D


    Per qualunque critica, consiglio o aggiunta potete postare qui sotto oppure mandarmi un mp :D

  3. #3
    Guest

    Predefinito

    Bello!!!

    A dire il vero sono arrivato neppure a metà (sono di fretta) ma mi salvo la pagni e me lo leggo kon calma!!

    Ciao

  4. #4
    L'avatar di mgs
    mgs
    mgs non è connesso Utente storico
    Data registrazione
    21-03-2003
    Residenza
    Cagliari
    Messaggi
    1,655

    Predefinito

    Cod apprezzo il tuo impegno ma non hai menzionato i proxy....

    • Il 95% delle risposte che volete avere si trova sul regolamento
    del Forum o su quello di AV. •
    Al restante 5% troverete risposta se ci pensate su solo 2 minuti.



  5. #5
    Guest

    Predefinito

    Perche' non rientrano negli obbiettivi di questo tutorial.

    Questo tutorial ha come scopo principale spiegare come fare a leggere gli headers delle mail e come funziona il protocollo SMTP e come scopo secondario quello di mostrare l'inaffidabilita' e la mancanza di privacy tipica di questo protocollo.

    I proxy sono un argomento non strettamente connesso alle mail.

    E' vero: usando dei proxy si puo' coprire il proprio indirizzo IP, ma siccome questo tutorial non ha come titolo "imparate a mandare spam e virus coprendo le vostre tracce", ma "mail tutorial", ho pensato che non fosse prettamente attinente.


  6. #6
    L'avatar di mgs
    mgs
    mgs non è connesso Utente storico
    Data registrazione
    21-03-2003
    Residenza
    Cagliari
    Messaggi
    1,655

    Predefinito

    vabbè lo avevo capito

    anche se i proxy non e' che si usano solo per inviare virus e trojan...

    e' cmq una forma in + di sicurezza

    • Il 95% delle risposte che volete avere si trova sul regolamento
    del Forum o su quello di AV. •
    Al restante 5% troverete risposta se ci pensate su solo 2 minuti.



Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •