Foro de elhacker.net

Buen dia, necesito conocer tecnicas para cambios de ip publica en el encabezado de un email a enviar. en resumen como envio un email y que en el encabezado viaje otra ip publica que no sea la mia.?. mas precisamente una ip publica conocida..simulando que el email fue enviado desde esa otra conexion... es esto posible?

gracias

tal como lo expones, no

que hay metodos para falsear el remitente, si

si..asi como lo pongo... enviar un email y que en el encabezado aparezca la ip publica suplantada..por una conocida por mi.. 

ya te he dicho que tal cual lo expones, no, o por lo menos no conozco la forma de hacerlo (excepto una que no voy a exponer por motivos obvios)

me lo enviarias a Bloqueado
gracias

Esto es para la defensa de un caso en justicia que lo acusan de enviar un email injurioso a ciertos destinatarios y en el encabezado aparece la ip publica de el ..reconocida por el isp ... el mail salio con un from que no es su direccion pero en el encabezado figura la ip publica que le asigno el proveedor ..se entiende?

se entiende de sobra, y el método es el que es, y tu defendido aunque es una putada sigue siendo el responsable.

por ponerte un ejemplo, aquí en España, cuando te roban un escopeta de caza, eres responsable civil subsidiario toda la vida, ya que el principio es muy simple, si tu hubieras tomado todas las precauciones, no te habrían robado la escopeta y por tanto no se hubiera matado a la victima con ese arma.

edito: Bueno, no voy a ser tan ambiguo, el metodo es el que es, si tu quieres tener la ip publica de otro, te metes en su red y ya tienes la ip publica para todas tus fechorias.

siempre he dicho que para que vas a navegar "anonimamente" si puedes navegar siendo otra persona, cualquier cosa que hagas le cae al responsable de la red crackeada, eso es el metodo mas anonimo que existe en la actualidad.

para demostrar su inocencia, es tan sencillo como coger el log del router y ver que dispositivos estaban conectados a la hora exacta en cuestion.

esto tiene 3 problemas, primero que el log es temporal y como haya pasado mucho tiempo se ha borrado, segundo, que el tio sea un poco espabilado y haya clonado la mac de un dispositivo legitimo, y 3 que no haya crackeado la red y haya troyanizado un pc, y desde este pc se haya hecho la ilegalidad.

en cualquier caso, el responsable de no tener una red segura, y unos equipos seguros es del usuario, luego esto sirve de aviso para todo el mundo. SI NO QUIERES QUE ALGÚN DIA TE JODAN BIEN, SECURIZA TU RED Y TUS PC,S

hay tecnicas de falsificación de ip, pero requieren condiciones muy puntuales y es caro aplicarlas porque usualmente los ISP las bloquean, asíq ue toca contratar un ISP que se haga la vista gorda

sin embargo los protocolos de correo (SMTP y POP3) son tipo TCP, así que estas técnicas son casi imposibles de realizar debido al 3-Way Handshake

en este caso es más probable que si haya sido desde la maquina del involucrado o desde su red local

si claro...esto paso en el 2007..asi que el log es imposible...de todas formas yo estoy como perito en la parte civil ..tengo entendido que en la parte penal habran periciado los dispositivos involucrados. en fin...solo queria estar seguro de lo que yo ya sospechaba.. pero como  me dedico a Db y a administracion de usuarios y servidores no estoy tan empapado en tecnica de suplantacion etc...
gracias por la respuestas

Hay una posibilidad remota aún, no de demostrar su inocencia si no al menos de plantear la duda de la culpabilidad (sujeto siempre al criterio de los jueces, que ya sabemos que cada cual tiene un pie torcido y el otro una mano, o la oreja).

Si se conoce de forma verificada la marca y el modelo del router, todavía puedes buscar por la red algo como: "fallo de seguridad del router marcaTal modeloTal"... si encuentras fallas conocidas (y mejor si son reconocidas por el propio fabricante) sobre dicho modelo, siempre se puede alegar que por esa fecha ese router en particular tenía agujeros de seguridad, que el fabricante lo ha reconocido después y no dispuso solución antes del incidente.

Y como aclaración pertienente que un usuario no tiene ni puede tener responsabilidad más allá de su configuración y menos hacerse responsable de los fallos de seguridad del fabricante. Esto no sería distinto de un accidente de tráfico debido a un fallo de fábrica en los sistemas del vehículo, de los que de tanto en tanto se oye alguno.

Es una posibilidad remota, pero sé que cuando todo pende de un hilo, uno se agarra a un clavo ardiendo si está al alcance.

---

Y repondiendo a la pregutna inicial:
Si que la hay... si el intruso tuvo acceso al correo electrónico de tu defendido, puede desde el mismo enviar un correo en su nombre, obviamente la IP será distinta si opera desde otra red, pero si ha logrado acceso a su correo a buen seguro tiene (tenía) un troyano instalado en su equipo y pudo desde ahí mismo acceder al correo y enviarlo desde su propia IP. (como dices que cambia el campo 'From', ni siquiera tuvo que acceder a su correo, pudo usar uno propio para sus fechorías. De todas maneras, incluso pudo haber un acceso al correo y falsificar el 'From', para hacer ocutar la intrusión en el propio equipo (falsificar el campo From en las cabeceras es algo frecuente por las empresas de Spam).

Todavía una posibilidad más remota, es que tu defendido utilizara una VPN durante aquellas fechas.

Algo importante es saber a que hora reza que se envió (o enviaron), si por casualidad estaba en el trabajo a esas horas (si trabajaba en tales fechas), la IP que debiera figurar sería la de la empresa... a tal efecto, podría ser acertado reunir otros correos de aquellas fechas enviados desde el trabajo donde muestren que en efecto, en el trabajo es otra IP y quedaría demostrar que ese día esas horas estaba en el trabajo ... por ejemplo, estaría bien otro correo que él mismo mandara a esa hora dese su empresa y que el margen horario no dé para llegar a casa...
 
Más gratificante sería que la empresa usara DKIM, para utilizar sus correos aunque como nació por aquellas fechas, dudo que si su empresa no fuera enfocada a la red, usaran la autenticación DKIM, aunque por aquellas fechas (2007, decías) si estaba activo por esas fechas SPF, pero nuevamente sería raro que una empresa no versada ni volcada en internet adoptase tales.
...y dado el tiempo transcurrido, supongo que será harto difícil conseguir correos adicionales del representado... sean enviados desde su casa o desde la empresa.

A falta de soluciones, te recomiendo emparaparte un poco del tema: Sender Policy Framework puede ayudarte a entender, clarificar y en su caso poner en duda si pudo ser enviado desde su IP o no. Es difícil aportar más.

https://tools.ietf.org/html/rfc4408
https://tools.ietf.org/html/rfc4870