elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Modificar mail IMAP sin cambiar headers
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Modificar mail IMAP sin cambiar headers  (Leído 2,376 veces)
kankamuso

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Modificar mail IMAP sin cambiar headers
« en: 29 Febrero 2020, 19:21 pm »

Buenas,

Sirva este primer mensaje como presentación. Estudié ingeniería informática y he empezado a interesarme por el mundo del hacking a raíz de varias peticiones de abogados para realización de peritajes. Por lo general es extraer información sobre fotos y vídeos que, hasta ahora, era capaz de responder. Lo último ya me ha resultado más difícil y a la vez me ha generado más curiosidad.

La cuestión es que se me pide hacer un contraperitaje en un caso en el que una persona que utiliza correo corporativo de GMAIL recibe un mensaje con adjuntos. Ese adjunto es un certificado falsificado (esto está claro por el CSV, no han tenido la más mínima vergüenza a la hora de reutilizar un CSV cambiando texto en el PDF). La cuestión es que dicen que han recibido el archivo tal cual. El perito en cuestión analiza cabeceras y demás y llega a la conclusión de que el correo es íntegro y que fue recibido así. Toca hacer un contraperitaje y poner en duda la veracidad del correo.

Lo podemos hacer fácilmente de forma indirecta porque ellos se apoyan en que el correo proviene a su vez reenviado de otra persona. Aquí es dónde podemos entrar porque eso sí que es texto puro y duro que se puede manipular fácilmente por parte del que les envía el correo. Creo que aquí el perito se ha columpiado al dar por buena la fecha y dirección del reenvío sólo con el típico texto que aparece en el cuerpo del mensaje. Pero claro, esto sería una forma válida pero que a mí me deja un regusto soso.. necesito saber técnicamente más.

Por lo tanto, empiezo a hacer pruebas y me envío correos a mi buzón corporativo en GMAIL y abro el correo con Outlook. Desde allí puedo cambiar texto, subject e incluso los adjuntos. Se sincroniza de nuevo la carpeta IMAP y ahí está el correo con la fecha original y todo. Por supuesto, esto cambia ciertas cosas de la cabecera como los "hops" por los que pasó el correo original. Imagino que esto es metainformación que Outlook cambia y mete en la cabecera pero me hace pensar si existirá una forma de modificar contenidos de un correo sin que se "note" tan exageradamente el cambio en la cabecera.

La pregunta surge porque, según he leído, hay un parámetro que aseguraría que el mail ha sido manipulado y es el UID del correo ya que, al modificarlo, GMAIL elimina el correo original y crea una copia exacta pero con un UID distinto. Este UID al ser correlativo y automático, hace que el correo modificado y la fecha ya no cuadren... En definitiva ese UID no sería problema ya que el perito no lo ha tenido en cuenta... pero vamos, que el contraperitaje está en marcha y es válido, pero quiero saber más...

¿Alguna utilidad, aplicación o algo que me permita hacer esas pruebas?

GRacias
En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Modificar mail IMAP sin cambiar headers
« Respuesta #1 en: 29 Febrero 2020, 22:05 pm »

Busca en google: email forensic analysis imap

Hay muchas cosas que mirar como para comentarlo todo por aquí.

Yo empezaría por dumpear la actividad de la cuenta en donde se recibieron los correos y comprobar la fecha a ver si ves algo raro.

Dumpeo los emails si no los tienes con Google Takeout en formato MBOX (texto plano). Después puedes ir haciendo cat y greep a los archivos desde la terminal para buscar los metadatos. Tienes herramientas como diff y radare2 que te permiten comparar correos del mismo remitente para analizar otros correos y comprobar si hay alguna diferencia en donde no debería haberla. Esta última herramienta te permite hashear bloque a bloque y comparar si el hash es diferente. Esto respecto a lo referente de análisis manual.

Normalmente esto se suele hacer con herramientas automatizadas para analizar dumps grandes. Si solo es un correo mejor hacerlo manual.

Presta especial atención al contenido del body que se suele omitir. Puedes encotrar diferencias en el propio estilo del correo. Por ponerte un ejemplo, puede que yo siempre use saltos de líneas tras cada oración en todos mis correos profesionales. Si tienes dudas de que un correo que te llego mío es suplantado, podrías revisar todos los correos que te envié y encontrar este tipo de incongruencias o indicios que van sumando credibilidad sobre la exaustibidad del análisis y por ende de la credibilidad del mismo.

Chequea si el UID está desordenado. El x-mail (es como el user agent del navegador), el time zone desde donde se envió el correo, las extensiones(metadatos), formatos del email por si usara un encoding distinto, el recipiente y si la dirección de respuesta coincide, el hash del email y en las cabeceras ARC puedes ver la firma del email que envio el email y todos los servidores que hicieron forward para que llegase al cliente. 

En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

kankamuso

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Modificar mail IMAP sin cambiar headers
« Respuesta #2 en: 10 Marzo 2020, 11:57 am »

Muchas gracias por la respuesta,

Finalmente logré hacerlo y comprobar que era posible sin dejar rastro aparente en el servidor. Habría que ver los UID para saber que algo ha cambiado porque ni las trazas, ni las cabeceras ni nada se ve alterado al meter cambios.

Saludos

Busca en google: email forensic analysis imap

Hay muchas cosas que mirar como para comentarlo todo por aquí.

Yo empezaría por dumpear la actividad de la cuenta en donde se recibieron los correos y comprobar la fecha a ver si ves algo raro.

Dumpeo los emails si no los tienes con Google Takeout en formato MBOX (texto plano). Después puedes ir haciendo cat y greep a los archivos desde la terminal para buscar los metadatos. Tienes herramientas como diff y radare2 que te permiten comparar correos del mismo remitente para analizar otros correos y comprobar si hay alguna diferencia en donde no debería haberla. Esta última herramienta te permite hashear bloque a bloque y comparar si el hash es diferente. Esto respecto a lo referente de análisis manual.

Normalmente esto se suele hacer con herramientas automatizadas para analizar dumps grandes. Si solo es un correo mejor hacerlo manual.

Presta especial atención al contenido del body que se suele omitir. Puedes encotrar diferencias en el propio estilo del correo. Por ponerte un ejemplo, puede que yo siempre use saltos de líneas tras cada oración en todos mis correos profesionales. Si tienes dudas de que un correo que te llego mío es suplantado, podrías revisar todos los correos que te envié y encontrar este tipo de incongruencias o indicios que van sumando credibilidad sobre la exaustibidad del análisis y por ende de la credibilidad del mismo.

Chequea si el UID está desordenado. El x-mail (es como el user agent del navegador), el time zone desde donde se envió el correo, las extensiones(metadatos), formatos del email por si usara un encoding distinto, el recipiente y si la dirección de respuesta coincide, el hash del email y en las cabeceras ARC puedes ver la firma del email que envio el email y todos los servidores que hicieron forward para que llegase al cliente. 


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Modificar los headers con php para poder pausar la descarga
PHP
gm-vl 0 1,452 Último mensaje 6 Marzo 2008, 17:34 pm
por gm-vl
Modificar *.jar y cambiar a *.exe
Java
BenRu 4 5,512 Último mensaje 16 Julio 2008, 21:48 pm
por Azielito
AYUDA A CAMBIAR/MODIFICAR IMAGENES DE UN PROGRAMA « 1 2 »
Ingeniería Inversa
fireh 16 12,351 Último mensaje 7 Abril 2011, 17:28 pm
por apuromafo CLS
Pagina para cambiar contraseña y E-mail
PHP
gasper70 5 3,443 Último mensaje 6 Mayo 2011, 18:56 pm
por Shell Root
[C#] Headers Mail Outlook
.NET (C#, VB.NET, ASP)
Shell Root 2 1,951 Último mensaje 20 Mayo 2016, 16:40 pm
por kub0x
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines