1 / 13

Дни разработчика 2009: День Безопасности

Защита от фальсификации электронных писем в Microsoft Outlook/Exchange Денис Кудин, MVP Consumer Security Kudin Security Group Ltd E-mail: dennis@kudin.net. Дни разработчика 2009: День Безопасности. Существующие угрозы: Man-in-the-Middle Подделка заголовков письма Социальная инженерия

ashby
Download Presentation

Дни разработчика 2009: День Безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита от фальсификации электронных писем в Microsoft Outlook/Exchange Денис Кудин, MVP Consumer Security Kudin Security Group Ltd E-mail: dennis@kudin.net Дни разработчика 2009:День Безопасности

  2. Существующие угрозы: Man-in-the-Middle Подделка заголовков письма Социальная инженерия Перехват почты на стороне провайдера И др.

  3. Преамбула: Outlook MAPI (Message Application Programming Interface) содержит механизмы, помогающие выявить факты фальсификации электронных писем в Outlook/Exchange

  4. Как искать? Анализировать формат Personal Folder File, используемый Microsoft Outlook для PST (Personal Storage Table) и OST (Offline Storage Table) файлов

  5. Чем искать? Инструмент libpff – бесплатная библиотека с набором инструментов для работы с PFF форматом Ручной анализ RTF или HTML кодов форматирования сообщения в полученном исходном коде

  6. Пример

  7. 10 ноября 2009 г. было создано письмо, которое было получено получателем через форвардинг 15 ноября. При этом возникли сомнения в подлинности письма, аналитики не смогли найти оригинал. С помощью утилиты pffexport, входящей в состав библиотеки libpff, был экспортирован PST файл с ключом –v (verbose)

  8. {\*\htmltag84 <b>}\htmlrtf {\b \htmlrtf0 Sent:{\*\htmltag92 </b>}\htmlrtf }\htmlrtf0 Tuesday November 1{\*\htmltag84 <span style='color:#1F497D'>}\htmlrtf {\htmlrtf0 0{\*\htmltag92 </span>}\htmlrtf }\htmlrtf0 , 2009 15:24{\*\htmltag116 <br>}\htmlrtf \line<BR>\htmlrtf0{\*\htmltag4 \par }

  9. На основе анализа других писем, полученных форвардингом, было установлено, что выделение болдом, а также отличающийся по цвету 0 в дате 10, указывают на фальсификацию письма Возникло подозрение, что отправленное 15-го ноября письмо содержало изменения, внесенные злоумышленником. Это было необходимо доказать

  10. Ответ находится в статье MSDN под названием «Tracking Conversations». Существует специальная функция MAPI, называемая ScCreateConversationIndex, которая устанавливает индекс PR_CONVERSATION_INDEX для каждого исходящего сообщения.

  11. Заголовок блока conversation index должен содержать дату и время создания сообщения. Анализ заголовков показал, что в conversation index отсутствует дата 10 ноября, но есть дата 15 ноября. Путем сопоставления с другими сообщениями, было установлено, что письмо действительно было создано и отправлено получателю 15 ноября, а не 10-го, что подтвердило предположение о его фальсификации.

  12. Как защититься? Использовать средства для обеспечения свойства non-repudiation Использовать средства для обеспечения свойства наблюдаемости информации (НД ТЗИ) Привлекать сторонних аудиторов безопасности

  13. Ресурсы: Мой блог: http://kudin.net Статья Personal Folder File (PFF) forensics автора Joachim Metz (http://kent.dl.sourceforge.net/sourceforge/libpff/PFF_forensics.pdf) Статья MSDN: Tracking conversations (http://msdn.microsoft.com/en-us/library/cc765583.aspx)

More Related