próximo »

[angloster]

Que tal tengo un problema resulta que a un gerente donde laboro le enviaron un correo anonimo a su cuenta de correo corporativo, y me soltaron el chicharron de poder encontrar quien lo envio, me renviaron el correo por el outlook, y la direccion es de la forma XXXX@hotmail@hotmail.com, ahora lo que quiero saber es cual debe ser el procedimiento mas adecuado para poder conocer el origen del correo.

[flacman]

pos ala, lo único q puede saber es de donde se envío. Por ejemplo un mensaje de spam que supuestamente me envié yo mismo (opción show original en gmail):

Código:

Delivered-To: flacman@gmail.com
Received: by 10.151.39.10 with SMTP id r10cs675061ybj;
        Thu, 6 Aug 2009 01:50:22 -0700 (PDT)
Received: by 10.210.81.3 with SMTP id e3mr8734677ebb.77.1249548621325;
        Thu, 06 Aug 2009 01:50:21 -0700 (PDT)
Return-Path: <flacman@gmail.com>
Received: from 173-21-124-111.client.mchsi.com (173-21-124-111.client.mchsi.com [173.21.124.111])
        by mx.google.com with ESMTP id 26si21963270ewy.107.2009.08.06.01.50.17;
        Thu, 06 Aug 2009 01:50:21 -0700 (PDT)
Received-SPF: neutral (google.com: 173.21.124.111 is neither permitted nor denied by domain of flacman@gmail.com) client-ip=173.21.124.111;
Authentication-Results: mx.google.com; spf=neutral (google.com: 173.21.124.111 is neither permitted nor denied by domain of flacman@gmail.com) smtp.mail=flacman@gmail.com
Date: Thu, 06 Aug 2009 01:50:21 -0700 (PDT)
From: "Martorana Calista" <flacman@gmail.com>
To: flacman@gmail.com
Subject: Opened?
Content-Type: text/html; charset="utf-8"
MIME-Version: 1.0
Message-Id: <HLQNVKX90035.7BD3B2A@173-21-124-111.client.mchsi.com>

Donde resaltamos:

Código:

Received: from 173-21-124-111.client.mchsi.com (173-21-124-111.client.mchsi.com [173.21.124.111])
        by mx.google.com with ESMTP id 26si21963270ewy.107.2009.08.06.01.50.17;
        Thu, 06 Aug 2009 01:50:21 -0700 (PDT)
Received-SPF: neutral (google.com: 173.21.124.111 is neither permitted nor denied by domain of flacman@gmail.com) client-ip=173.21.124.111;

Esa es la dirección del "servidor" smtp que está funcando como "cliente" (recuerde q en smtp un server envía el mensaje a otro server q lo recibe). Hasta ahí uno llega solo con el mail, despues de eso ya entra otro proceso investigativo que es ver de donde proviene esa dirección, peude empezar buscando en google o mas específicamente LACNIC o ARIN. Por lo general esto es tiempo perdido (lastimosamente) ya que en el mundo hay millones de servidores smtp que no requieren autenticación para envia correos, por lo que cualquiera, de cualquier parte del mundo puede usarlo, desde servidores de bancos, empresas de todo tipo, ud puede encontrar un server q pueda usar.

En caso (muy muy poco probable) de que ud pueda hablar con el dueño del server smtp desde el que se envió en correo, ud podría conseguir la IP del que envió originalmente su correo (teniendo en cuenta que tiene la suerte de que tengan logs y además que no haya sido enviado por alguna herramienta automática por web). Sorry no poder ayudarlo en mas

[angloster]

ok, muchas gracias, si, eso ya lo habia visto y mirando el registro aparentemente el usuario no utilizo ninguna herramienta para ocultar, ahora la IP que mencionan como ultima "X-Originating-IP: [190.146.116.136]" la puedo tomar como origen? si es asi ya indague y pertenece a cable.net.co y envie correos pidiendo informacion he incluso envie correo abuse@hotmail.com haber si me facilitaban mas informacion de la cuenta, pero ¿no hay nada mas que se pueda hacer?

Código:

Microsoft Mail Internet Headers Version 2.0
Received: from noma2k200.miempresa.col ([192.168.174.3]) by CEDC2K300.miempresa.col with Microsoft SMTPSVC(6.0.3790.3959);
                 Wed, 5 Aug 2009 16:34:50 -0500
Received: from col0-omc4-s5.col0.hotmail.com ([65.55.34.207]) by noma2k200.miempresa.col with Microsoft SMTPSVC(5.0.2195.6713);
                 Wed, 5 Aug 2009 16:34:48 -0500
Received: from COL117-W55 ([65.55.34.200]) by col0-omc4-s5.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
                 Wed, 5 Aug 2009 14:35:28 -0700
Message-ID: <COL117-W55180218A468AE76131AB4B10D0@phx.gbl>
Return-Path: quieresaberlaverdadeout@hotmail.com
Content-Type: multipart/alternative;
                boundary="_5741d9a8-14dd-4322-ab72-49a35c929e19_"
X-Originating-IP: [190.146.116.136]
From: pepito perencejo <quieresaberlaverdadeout@hotmail.com>
To: JEFE RE <ipineros@miempresa.com.co>, JEFEEE
                <jcalonso@miempresa.com.co>, JEFE <rduran@miempresa.com.co>
Subject:
Date: Wed, 5 Aug 2009 16:35:28 -0500
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 05 Aug 2009 21:35:28.0928 (UTC) FILETIME=[A6EE6A00:01CA1614]

--_5741d9a8-14dd-4322-ab72-49a35c929e19_
Content-Type: text/plain; charset="Windows-1252"
Content-Transfer-Encoding: quoted-printable

--_5741d9a8-14dd-4322-ab72-49a35c929e19_
Content-Type: text/html; charset="Windows-1252"
Content-Transfer-Encoding: quoted-printable


--_5741d9a8-14dd-4322-ab72-49a35c929e19_--

[flacman]

Ese análisis creo que lo puede hacer ud mejor q yo, ya que ud conoce la empresa y todo eso. Pero si, esa debería ser la ip del pc de origen, en estos casos lo mejor q peude hacer es lo que está haciendo, y depronto enviarle un correo también a los de cablenet. Puede usar esta herramienta también para intentar localizara un poco mejor:

http://www.internautas.org/w-iplocaliza.html

Al parecer es alguien en el centro, igual por aquí se presentan otros problemas, por lo general cablenet maneja ip's dinámicas, por lo que esta ip puede que no siga siendo la del "atacante".

Mi recomendación para un futuro, crear un plan (proceso) para este en tipo de casos poder actual lo mas pronto posible. Por la noche (no tengo mis notas aquí), si quiere, puedo darle algunas referencias sobre como crear este tipo de procesos según estandares como ITIL o COBIT (o alluz puede postiar y ayudar xD). Con este tipo de cosas depronto pueden actual mas "a tiempo", por lo menos para medio asegurarse q esa ip si corresponde al atacante y depronto tener mas veracidad en su investigación.

Supongo q no se peude poner a hacer cosas "al margen de la ley", por lo q no hay mucho mas q hacer

[angloster]

ok, muchas gracias por tan valiosa ayuda, si me interesarian las referencias para poder hacer un mejor proceso. nuevamente muchas gracias..

[flacman]

Bueno en cuanto a la metodología de ITIL cabe destacar lo siguiente:

En la parte de Operación del servicio se encuentras ciertos ítems que le pueden ayudar:

Gestión de eventos: La gestión de eventos de reviere al monitoreo del sistema (desde alarmas de incendio a IDS's xD) con lo que se busca de manera proactiva identificar con aticipación cualquier evento y de esta forma poder evitar cualquier incidente.

Gestión de incidentes: Cuando un incidente toma forma (en este caso el correo q le fue enviado) este proceso se encarga del manejo oportuno de estos, definiendo la manera en la cual se debe manejar este incidente (por lo general en una empresa grande hay un help desk para problemas comunes, es un ejemplo). Para el problema que tuvo, un ejemplo es, después de la identificación, identificar la gravedad del problema y que tan rponto se debería actuar, en este caso el impacto hacia la organización no es tan grave, pero, si se decide hacerle seguimiento, es necesario actuar con prontitud, y preferiblemente que un experto realice la investigación (si se considera necesario inverti en esto).

Gestión de problemas: En ITIL, los problemas son las causas (desconocidas) de los incidentes. La idea de este proceso es prevenir problemas recurrentes intentando minimizar al máximo el impacto que estos puedan generar en la organización (suponiendo que muchos de estos no pueden ser prevenidos, como su caso). Como dije antes, debe implementarse una forma de categorizar y priorizar los problemas.

Itil define otras cosas pero creo que esto es lo mas relevante. ITIL, al igual que cóbit y la mayoría de las normas, no le van a decir a ud como toca realizar estos procesos, lo que buscan es darle pautas sobre que es lo que tiene que cumplir. La norma de ITIL cuesta, pero es MUY recomendada (igual está pirata por ahí xD). Cobit define otros procesos, igualmente muy completo.

Por la parte de cobir, en el dominio Delivery & support, se establecen los siguientes procesos:

DS4 Asegurar servicio continuo (no para el caso de correo, pero puede generarse un ataque peor que si requiera esto)
DS5 Garantizar la seguridad del sistema (incluyendo el personal, en este caso, su jefe).
y sobretodo DS10 Administrar problemas e incidentes

Algo muy importante, recuerde siempre el factor humano, revise el correo, haga una investigació de posiblemente personas q tengan amenazado al jefe, o competencia o algo así. Espero le haya servido, si quiere profundizar pues como le dije, las normas se encuentran piratas xD

PD: como se está cambiando un poco el tema, si tiene dudas sobre la gestión de TI y governabilidad está el foro de "hacking administrativo"

[Alluz]

SARO, SARO, SARO
Luego se alinea con SARO, pero especificamente, como un incidente de seguridad.

Un pequeñito análisis de riesgos:

Riesgo de difamación de persona/compañia=Impacto * Probabilidad de ocurrencia

1. Qué Ocurre cuando se difama a una persona/compañia?
2. Qué tan probable es que eso ocurra?
2.1 Quién o quienes podría(n) realizar la difamación?
2.2 Hay muchos motivos?
2.3 Que tan fácil es crear una cuenta falsa para enviar información irreal?
2.4 El servidor de correo interno está asegurado contra spam Interno y Externo?

[flacman]

http://uic.edu/depts/accc/newsletter/adn29/legitmail.html