KHOA AN TỒN THƠNG TIN HỌC VIỆN KỸ THUẬT MẬT MÃ HỌC PHẦN PHÒNG CHỐNG ĐIỀU TRA TỘI PHẠM MÁY TÍNH ĐỀ TÀI 09 Thu thập phân tích chứng từ Email Giảng viên hướng dẫn: Th.s NGUYỄN MẠNH THẮNG Mục lục Chương I: TỔNG QUAN GIỚI THIỆU E-MAIL 2 HỆ THỐNG E-MAIL 3 TRÌNH TỰ HOẠT ĐỘNG CỦA EMAIL TRONG THỰC TẾ 4 ĐIỀU TRA PHÁP LÝ E-MAIL Chương II: CÁC HÌNH THỨC TẤN CÔNG GIẢ MẠO E-MAIL .9 MALWARE DISTRIBUTION: 12 PHISING ATTACK 13 SPAM ATTACK 17 DENIAL OF SERVICE ATTACK: .20 Chương III: GIẢI PHÁP 22 PHÂN TÍCH MỘT THÔNG ĐIỆP ĐIỆN TỬ .22 HEADER ANALYSIS 26 PHISING ATTACK 29 SPAM ATTACK .32 Chương IV: THẢO LUẬN 35 KẾT LUẬN 39 LỜI NÓI ĐẦU Dù theo thời gian nhiều ứng dụng truyền tải thơng tin có xuất ngày nhiều, E-mail giữ chỗ đứng Mọi người sử dụng để liên lạc, gửi tài liệu, thực giao dịch không sử dụng từ máy tính mà tích hợp vào thiết bị điện tử khác điện thoại di động Vì tính phổ biến nên tội phạm sử dụng để thực hành vị lừa đảo, phát tán virus truyền thông tin liên lạc với đồng phạm Do email coi manh mối chí chứng cho qua điều tra thực thi pháp luật Mục đích chọn đề tài “Thu thập phân tích chứng từ Email” chúng em tìm hiểu kiến thức tổng quan kiến trúc email quan điểm điều tra kỹ thuật số Và liệt kê phương pháp công cụ sử dụng để thực phân tích Hơn nữa, việc thực đề tài hỗ trợ nhóm chúng em việc định hướng việc làm giúp chúng em có thêm kiến thức tảng, bổ ích để phục vụ cho cơng việc sau Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan Chương II: Các hình thức công email Chương III: Giải pháp Chương IV: Thảo luận Chương V: Kết luận Trong trình thực đề tài này, nhóm em cố gắng, xong khơng tránh khỏi thiếu sót Rất mong nhận góp ý, dẫn thầy cô bạn sinh viên pg Chương I: TỔNG QUAN Electronic Mail (E-Mail), ứng dụng sử dụng rộng rãi Internet trở thành dịch vụ sở hạ tầng truyền thơng tồn cầu Tuy nhiên, lỗ hổng bảo mật cho phép tội phạm mạng lạm dụng cách giả mạo tiêu đề cách gửi ẩn danh cho mục đích bất hợp pháp, dẫn đến giả mạo e-mail Thư điện tử bao gồm phong bì xử lý q cảnh thơng tin theo dõi dạng trường có cấu trúc không bị loại bỏ sau gửi đi, để lại hồ sơ chi tiết giao dịch email Tiêu đề phân tích chi tiết sử dụng để lập đồ mạng qua tin nhắn, bao gồm thông tin phần mềm nhắn tin sách vá lỗi khách hàng cổng, v.v Phân tích e-mail pháp lý mạng sử dụng để thu thập chứng đáng tin cậy để đưa tội phạm trước công lý Qua cho ta thấy cần thiết việc điều tra pháp lý e-mail liệt kê phương pháp công cụ khác sử dụng để thực Nó thảo luận cách khác để phát tiêu đề giả mạo xác định nguồn GIỚI THIỆU E-MAIL E-mail dịch vụ phân phối cao liên quan đến số tác nhân đóng vai trị khác để hoàn thành trao đổi email đầu cuối (Crocke 2009) Những actor thuộc ba nhóm User Actors, Message Handling Service (MHS) Actors and ADministrative Management Domain (ADMD) Actors User Actors người gửi, người nhận, người xử lý trả lại hòa giải viên đại diện cho người, tổ chức quy trình đóng vai trị nguồn tin nhắn Họ tạo, sửa đổi xem tồn thơng điệp Message Handling Service (MHS) Actors nguồn gốc, chuyển tiếp, cổng người nhận chịu trách nhiệm chuyển tin nhắn từ đầu đến cuối Những tác nhân tạo, sửa đổi xem truyền liệu tin nhắn ADministrative Management Domain (ADMD) Actors Edges, Consumers Transits liên kết với tổ chức khác có thẩm quyền quản trị, sách hoạt động định dựa niềm tin riêng Các ứng dụng email chia làm hai loại chính, phụ thuộc vào vị trí lưu trữ chúng: pg  Web-based Email: lưu tất liệu server máy chủ web Một số ứng dụng phổ biến kiểu Gmail, Yahoo Mail, Hotmail, v.v Lợi ích việc sử dụng ứng dụng web-based email truy cập từ nơi giới, cần sử dụng username password để truy cập Một nhược điểm người dùng khơng biết liệu họ lưu trữ đâu  Desktop-based Email: Là ứng dụng email cài đặt máy tính để bàn Outlook, Thunderbird, Mail Bird,… ví dụ ứng dụng desktop-based email Tất liệu email lưu trữ máy tính cá nhân người dùng Do người dùng lo lắng việc bảo mật liệu Đây coi bất lợi số trường hợp, đặc biệt sử dụng hoạt động điều tra phạm tội chứng khơng thể thu thập từ máy chủ server HỆ THỐNG E-MAIL Hệ thống e-mail tích hợp số thành phần: phần cứng phần mềm, dịch vụ giao thức, cung cấp khả tương tác người dùng thành phần đường chuyển giao Hệ thống bao gồm máy tính người gửi máy chủ người gửi, máy tính người nhận máy chủ người nhận với phần mềm dịch vụ cần thiết cài đặt máy tính Bên cạnh đó, sử dụng hệ thống dịch vụ khác Internet Các máy chủ gửi nhận kết nối với Internet khách hàng người gửi người nhận kết nối với Internet yêu cầu Hình Các thành phần hệ thống e-mail pg  Mail User Agent (MUA): MUA thành phần tương tác trực tiếp với người dùng cuối Ví dụ MUA phần mềm Thunderbird, MS Outlook, Zimbra Desktop Các giao diện web mail Gmail Yahoo! coi MUA Một MUA hoạt động thay mặt tác giả gọi Author MUA(aMUA) hoạt động thay mặt người nhận gọi Receiver MUA(rMUA)  Mail Transfer Agent (MTA): MTA chịu trách nhiệm chuyển email từ mail server người gửi thư đến mail server người nhận thư Ví dụ MTA sendmail postfix  Mail Delivery Agent (MDA): Trong mail server nhận thư, local MTA chấp nhận email đến từ MTA người gửi Email sau gửi đến hộp thư người dùng MDA  Gửi Email : Simple Mail Transfer Protocol (SMTP)  Nhận Email : Post Office Protocol (POP) / Internet Message Access Protocol (IMAP)  POP / IMAP: Giao thức POP IMAP sử dụng để tìm nạp email từ hộp thư máy chủ người nhận tới MUA người nhận  Mail Exchanger Record (MX): MX record có nhiệm vụ đường cho email đến mail server bạn ( MX record thường kèm theo A record trỏ địa IP mail server , thơng số pref có giá trị số để mức độ ưu tiên mail server , giá trị pref nhỏ mức độ ưu tiên cao ) Khi người gửi thực gửi email , SMTP giúp đảm bảo chắn email gửi từ server người gửi tới server người nhận Khi email đến server người nhận MTA server nhận tiếp nhận email người gửi chuyển cho MDA local MDA sau writes email vào mailbox người nhận Khi người nhận dùng MUA để kiểm tra email, MUA dùng giao thức POP IMAP để lấy mail TRÌNH TỰ HOẠT ĐỘNG CỦA EMAIL TRONG THỰC TẾ Giả sử A@exampleA.tst gửi email tới userB@exampleB.tst Các kiện sau xảy người dùng gửi mail : pg MUA người gửi khởi tạo kết nối tới mail server mail.exampleA.tst giao thức SMTP (thường TCP Port 25) Mail server mail.exampleA.tst nhận email biết domain đích cần gửi email tới exampleB.tst Server mail.exampleA.tst tạo truy vấn đến máy chủ DNS để hỏi thông tin record MX domain exampleB.tst Giả sử thơng tin domain exampleB.tst nhớ cache máy chủ DNS Máy chủ DNS tạo truy vấn đệ quy máy chủ DNS có thẩm quyền tìm hiểu chi tiết record MX pg domain exampleB.tst Thông tin trả cho server mail.exampleA.tst Bây server mail.exampleA.tst có địa IP mail server đích, gửi email trực tiếp tới mail server mail.exampleB.tst thông qua Internet SMTP sử dụng để liên lạc mail server nguồn đích Email đến nhận SMTP (MTA) cục server mail.exampleB.tst Sau nhận email, chuyển cho MDA, sau gửi thư đến hộp thư người nhận lưu trữ máy chủ Máy chủ có hộp thư riêng biệt cho người dùng Khi người nhận kiểm tra email qua giao thức POP IMAP, email MUA lấy từ máy chủ máy tính user Tùy thuộc vào cấu hình MUA, email tải xuống máy trạm, lưu giữ máy chủ máy trạm, email máy chủ MUA đồng hóa, tuỳ thuộc vào bạn chọn giao thức POP hay IMAP Ngồi người ta cịn có mail gate đứng trước mail server đảm nhận vai trò giống firewall với khả chống phishing , DLP(data loss prevention), lọc mail cao cấp hơn… ĐIỀU TRA PHÁP LÝ E-MAIL Pháp lý mạng liên quan đến việc thu thập phân tích liệu từ hệ thống máy tính, mạng, luồng truyền thơng có dây khơng dây phương tiện lưu trữ thông qua kỹ thuật khoa học chứng minh theo cách chấp nhận tịa án (Natarajan et al 2009) Nó cịn gọi pháp lý kỹ thuật số pháp lý máy tính Pháp lý mạng khoa học liên quan đến việc bắt, ghi lại phân tích lưu lượng mạng cho mục đích điều tra ứng phó cố (Emmanuel et al 2010) E-mail pháp lý liên quan đến việc điều tra e-mail loại pháp lý mạng chuyên dụng Nó đề cập đến việc nghiên cứu nguồn nội dung thư điện tử làm chứng để xác định người gửi người nhận thực tế tin nhắn, liệu / thời gian truyền, hồ sơ chi tiết giao dịch email, ý định người gửi, v.v Nghiên cứu liên quan đến điều tra siêu liệu, tìm kiếm từ khóa, qt cổng, v.v để phân bổ quyền tác giả xác định trò gian lận email Pháp lý e-mail đề cập đến việc nghiên cứu nguồn nội dung thư điện tử làm chứng, xác định người gửi, người nhận, ngày thời gian thực tế gửi, v.v Phân tích pháp lý email nhằm mục đích khám pg phá lịch sử thơng điệp danh tính tất thực thể liên quan Bên cạnh phân tích tin nhắn, pháp lý e-mail liên quan đến việc điều tra số máy tính khách máy chủ bị nghi ngờ sử dụng lạm dụng để giả mạo e-mail Nó liên quan đến kiểm tra Internet favorites, Cookies, History, Typed URL’s, Temporary Internet Files, Autocompletion Entries, Bookmarks, Contacts, Preferences, Cache v.v Một số công cụ phần mềm nguồn mở phát triển để thực phân tích tiêu đề email để thu thập chứng gian lận email Phân tích email hộp thư người nhận có chứa thư điện tử Thơng điệp phân tích để xác định nguồn gốc Phân tích liên quan đến việc điều tra thơng tin kiểm soát nội dung tin nhắn: hộp thư, tên miền, ID thư ENVID danh tính độc đáo toàn cầu sử dụng e-mail Hộp thư xác định địa email tên miền mã định danh tài nguyên mạng Message-ID sử dụng để phân luồng, hỗ trợ nhận dạng cho theo dõi Hệ thống tên miền (DNS) Mã định danh ENVelope (ENVID) sử dụng cho mục đích theo dõi tin nhắn E-mail bao gồm phong bì chứa thơng tin xử lý q cảnh sử dụng dịch vụ xử lý tin nhắn (MHS) nội dung tin nhắn bao gồm hai phần nội dung tiêu đề Nội dung văn bao gồm yếu tố đa phương tiện ngôn ngữ đánh dấu siêu văn (HTML) tệp đính kèm mã hóa tiện ích mở rộng thư Internet đa mục đích (MIME) (Resnick 2001) Tiêu đề tập hợp trường có cấu trúc bao gồm ‘From’, ‘To’, ‘Subject’, ‘Date’, ‘CC’, ‘BCC’, ‘Return-To’, v.v Tiêu đề bao gồm thư người gửi thành phần hệ thống email chứa thông tin theo dõi xử lý cảnh Hơn nữa, tin nhắn chứa liệu kiểm soát đặc biệt liên quan đến trạng thái phân phối (DS) thơng báo bố trí tin nhắn (MDN), v.v Thơng tin điều khiển tức phong bì tiêu đề bao gồm tiêu đề nội dung thư chứa thông tin người gửi và/hoặc đường dẫn mà thư qua đại diện cho siêu liệu thư điện tử Phân tích siêu liệu gọi phân tích tiêu đề sử dụng để xác định tính xác thông điệp Địa email người gửi chịu trách nhiệm gửi thư đến dịch vụ chuyển khoản định trường tiêu đề người gửi Trường tùy chọn cần định tác giả thư khác với người gửi Địa email tác giả chứa trường từ tiêu đề bắt buộc Nhiều địa khác liên quan đến tác giả người gửi thư, địa định trường Reply-To, MailFrom Return-Path Địa định tiêu đề Replypg To ghi đè địa từ để nhận phản hồi từ người nhận định MailFrom định địa nhận thơng tin kiểm sốt trả lại MDN DSN Địa không cần phải giống địa người gửi chịu trách nhiệm gửi thư Địa Return-Path địa MDA ghi lại từ mã định danh điều khiển MailFrom Các chương trình khách hàng e-mail giao diện webmail thêm tiêu đề hữu ích gọi X-Headers ngồi thơng tin khác chứa thơng tin hữu ích người gửi e-mail So sánh địa trường hợp sử dụng để xác định tính xác thực người gửi giả mạo tất địa khơng ẩn địa người mà cịn giả vờ người khác cách sử dụng địa email hợp lệ người khác trường Theo dõi thông tin dạng trường tiêu đề Nhận ghi lại người khởi tạo, chuyển tiếp, hịa giải điểm đến sử dụng để xác thực phần tên miền địa email người gửi Received-SPF xác thực địa email người gửi xác thực tên miền địa định tham số MailFrom Trường bảo mật DKIM-Signature có mặt sử dụng để xác thực phần tên miền địa email người gửi máy chủ gửi nhận tuân theo giao thức ký DKIM Do đó, sở khơng qn danh tính người gửi tiết lộ trường tiêu đề khác nhau, chun gia pháp lý đốn rộng tính xác thực địa email người gửi định cuối Người khởi tạo, Rơle bao gồm MTA Receiver thêm thông tin theo dõi đầu thư dạng trường tiêu đề Nhận Trả lại Đường dẫn Trường tiêu đề nhận định địa sử dụng tham số MailFrom khơng hữu ích nhiều cho điều tra pháp lý Trường Nhận chứa thông tin quan trọng bao gồm tên địa IP máy chủ có nguồn gốc, rơle MTA, hịa giải viên MSA Tuy nhiên, giả mạo địa IP cách sử dụng lạm dụng kỹ thuật khác đề cập chương Bên cạnh phân tích tiêu đề khác cách tiếp cận khác sử dụng cho pháp lý e-mail bao gồm chiến thuật mồi, điều tra máy chủ điều tra thiết bị mạng Tiêu đề tùy chỉnh MIME xuất nội dung tin nhắn phân tích cho dấu vân tay người gửi mã định danh nhúng phần mềm (Marwan 2005) pg ... phát triển để thực phân tích tiêu đề email để thu thập chứng gian lận email Phân tích email hộp thư người nhận có chứa thư điện tử Thơng điệp phân tích để xác định nguồn gốc Phân tích liên quan đến... chí chứng cho qua điều tra thực thi pháp luật Mục đích chọn đề tài ? ?Thu thập phân tích chứng từ Email? ?? chúng em tìm hiểu kiến thức tổng quan kiến trúc email quan điểm điều tra kỹ thu? ??t số Và liệt... tra email qua giao thức POP IMAP, email MUA lấy từ máy chủ máy tính user Tùy thu? ??c vào cấu hình MUA, email tải xuống máy trạm, lưu giữ máy chủ máy trạm, email máy chủ MUA đồng hóa, tuỳ thu? ??c vào