Skoči na vsebino

Zakaj potrebujemo izvirnik sporočila z zaglavjem?

Pri obravnavanju omrežnih incidentov se večkrat soočimo s potrebo po analizi elektronskega sporočila. Čeprav se v veliki večini primerov podatki, ki nas zanimajo, nahajajo nekje v vsebini sporočila, je včasih za podrobnejšo analizo potreben vpogled v t.i. zaglavje sporočila (ang. “Email Header”).

Kot enega takšnih primerov lahko navedemo tip napadov vdora v poslovno komunikacijo. Namen teh napadov je sprememba bančnega računa v poslanih fakturah, kar napadalcem uspe preko vdora v poštni predal enega od zaposlenih v podjetju, ter s preusmeritvijo in filtracijo sporočil na tak način, da elektronsko komunikacijo v celoti preusmerijo preko svojih sistemov (t.i. man-in-the-email napad). V primeru poslane fakture sporočilo zadržijo, v fakturi spremenijo bančni račun, in spremenjeno sporočilo pošljejo naslovniku.

V takem napadu se spremenjeno sporočilo vizualno in po vsebini skoraj ne razlikuje od originalnega, zato običajno posredovanje sporočila (Forward) na SI-CERT ni dovolj, saj se bistveni elementi nahajajo v zaglavju sporočila, ki pa se z običajnim posredovanjem ne prenese.

Kaj je izvirnik sporočila?

Elektronsko pošto lahko v analogiji primerjamo z običajno pošto, ki jo pošljemo “od vrat do vrat”: sestavljena je iz ovojnice (v poštnem svetu ima to analogijo kuverta) ter vsebine sporočila (“s sporočilom popisan list v kuverti”). Podobno funkcijo kot pisemska ovojnica v svetu elektronske pošte nosi zaglavje elektronskega sporočila, pri čemer pa zaglavje vsebuje še mnoge druge tehnične informacije o poteku dostave sporočila, npr. zaporedni seznam poštnih strežnikov, skozi katera je sporočilo potovalo (analogno sledenju poštne pošiljke), podrobne časovne žige in identifikacijske oznake, informacije o programu za elektronsko pošto, iz katerega je bilo sporočilo poslano, zapise o preverjanju neželene pošte in druge morebitne tehnične informacije.

Izvirnik sporočila = zaglavje sporočila + vsebina sporočila

slika Izvirnika sporočila. Vsebuje naslednje elemente (od zgoraj navzdol): podatki o prenosu sporočila; zadeva, pošiljatelj in prejemnik, kot nam jih pokaže odjemalec; vsebina
Primer izvirnika sporočila

Izvoz in pošiljanje izvirnika sporočila na SI-CERT

V nadaljevanju vam podajamo navodila za izvoz in pošiljanje izvirnikov sporočil nekaj najpogosteje uporabljenih aplikacij za elektronsko pošto.

GMail (Google mail)

  • Odprete pogovor ter poiščete sporočilo
  • Izberete meni, označen s tremi vertikalnimi pikami
  • izberete možnost “Prenesi sporočilo” (angl. “Download message“)
  • na računalnik se prenese izvirnik sporočila v datoteki s končnico .eml
Slika prikazuje opisana navodila

Microsoft Outlook

  • V seznamu sporočil označite eno ali več sporočil
  • V meniju “Osnovno” – “Odgovori”, izberite “Več” in “Posreduj kot prilogo”.
  • Outlook pripravi okno za pisanje sporočila, v katerem je kot priponka že dodana datoteka z izvirnikom.
Slika prikazuje opisana navodila

V primeru starejše različice programa Outlook ali če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

  • 2x kliknite na izbrano sporočilo
  • odpre se novo okno, v katerem izberete “Datoteka” – “Shrani kot”
  • izvirnik sporočila se shrani v obliki datoteke s končnico .msg.

Slika prikazuje opisana navodila
Slika prikazuje opisana navodila

Mozilla Thunderbird

Če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

  • v seznamu sporočil označite eno ali več sporočil
  • z desnim klikom na označena sporočila izberete “Posreduj kot priponko” (“Forward as Attachment”)
  • Thunderbird pripravi okno za pisanje sporočila, v katerem so kot priponka že dodane datoteke z izvirniki
  • v seznamu sporočil označite eno ali več sporočil
  • z desnim klikom na označena sporočila izberete “Shrani kot
  • izvirniki sporočil se shranijo v datotekah s končnico .eml
Slika prikazuje opisana navodila

Roundcube (spletni vmesnik za el. pošto)

  • v seznamu sporočil kliknite na sporočilo, da se obarva
  • v meniju kliknite na navzdol obrnjen trikotnik pri “Posreduj”, izberite “Posreduj kot priponko”
  • Odpre se okno za pisanje sporočila, v katerem je kot priponka že dodana datoteka z izvirnikom

Če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

  • v seznamu sporočil kliknite na sporočilo, da se obarva
  • v meniju izberite “Več” – “Izvozi”
  • izvirniki sporočila se shrani v datoteko s končnico .eml

Varno pošiljanje izvirnika sporočil

Tako izvožene izvirnike sporočil priložite kot priponko vaši prijavi na SI-CERT. V primeru, da izvorno sporočilo vsebuje škodljive elemente (npr. računalniški virus ali elemente neželene oglasne pošte), obstaja verjetnost, da bosta protivirusni ali antispam program zavrnila pošiljanje ali dostavo vašega sporočila. V tem primeru je potrebno datoteke z izvirniki pred pošiljanjem zašifrirati. Nekaj načinov šifriranja opisujemo v nadaljevanju.

OpenPGP

Sporočilo s priloženimi izvirniki lahko zašifrirate s SI-CERT javnim ključem. Seznam e-poštnih odjemalcev, ki podpirajo OpenPGP šifriranje, je na voljo na spletnem mestu projekta OpenPGP. OpenPGP šifriranje lahko uporabite tudi v primeru pošiljanja občutljivih podatkov.

V ukazni vrstici si lahko pomagate s sledečim ukazom:

$ curl https://www.cert.si/fileadmin/dokumenti/si-cert/si-cert-pgp.asc | gpg --import
$ gpg --output izvirnik.gpg --encrypt --recipient cert@cert.si izvirnik.eml

7-zip

  • Označite izvirnike sporočil
  • Z desnim klikom na označene datoteke izberete meni 7-Zip -> “Dodaj v arhiv” (“Add to archive“)
  • Izberete obliko arhiva ZIP ter spodaj desno v razdelku “Šifriranje” (“Encryption“) vpišite geslo. Običajno se kot geslo uporablja beseda infected, lahko pa uporabite tudi kakršnokoli drugo geslo, ki pa nam ga morate tudi sporočiti
Slika prikazuje opisana navodila
slika prikazuje opisana navodila

PeaZip

Pri dodajanju datotek v arhiv uporabite možnost “Enter password / keyfile” (vnesi geslo).

Slika prikazuje opisana navodila

WinRAR

  • z desnim klikom na datoteko izberite “Dodaj v arhiv”
  • izberite vrsta arhiva: ZIP, geslo pa nastavite preko gumba “Nastavi geslo”

Linux utility

Z desnim klikom na datoteko z izvirnikom izberite “Ustvari arhiv” (“Create archive“) ter v kaskadi “Druge možnosti” (“Other options“) vnesite geslo (na sliki je primer uporabe v namizju XFCE)

Slika prikazuje opisana navodila

V ukazni vrstici lahko uporabite spodnji ukaz:

$ zip -p infected izvirnik.zip izvirnik.eml