Zakaj potrebujemo izvirnik sporočila z zaglavjem?

Pri obravnavanju omrežnih incidentov se večkrat soočimo s potrebo po analizi elektronskega sporočila. Čeprav se v veliki večini primerov podatki, ki nas zanimajo, nahajajo nekje v vsebini sporočila, je včasih za podrobnejšo analizo potreben vpogled v t.i. zaglavje sporočila (ang. “Email Header”).

Kot enega takšnih primerov lahko navedemo tip napadov vdora v poslovno komunikacijo. Namen teh napadov je sprememba bančnega računa v poslanih fakturah, kar napadalcem uspe preko vdora v poštni predal enega od zaposlenih v podjetju, ter s preusmeritvijo in filtracijo sporočil na tak način, da elektronsko komunikacijo v celoti preusmerijo preko svojih sistemov (t.i. man-in-the-email napad). V primeru poslane fakture sporočilo zadržijo, v fakturi spremenijo bančni račun, in spremenjeno sporočilo pošljejo naslovniku.

V takem napadu se spremenjeno sporočilo vizualno in po vsebini skoraj ne razlikuje od originalnega, zato običajno posredovanje sporočila (Forward) na SI-CERT ni dovolj, saj se bistveni elementi nahajajo v zaglavju sporočila, ki pa se z običajnim posredovanjem ne prenese.

Kaj je izvirnik sporočila?

Elektronsko pošto lahko v analogiji primerjamo z običajno pošto, ki jo pošljemo “od vrat do vrat”: sestavljena je iz ovojnice (v poštnem svetu ima to analogijo kuverta) ter vsebine sporočila (“s sporočilom popisan list v kuverti”). Podobno funkcijo kot pisemska ovojnica v svetu elektronske pošte nosi zaglavje elektronskega sporočila, pri čemer pa zaglavje vsebuje še mnoge druge tehnične informacije o poteku dostave sporočila, npr. zaporedni seznam poštnih strežnikov, skozi katera je sporočilo potovalo (analogno sledenju poštne pošiljke), podrobne časovne žige in identifikacijske oznake, informacije o programu za elektronsko pošto, iz katerega je bilo sporočilo poslano, zapise o preverjanju neželene pošte in druge morebitne tehnične informacije.

Izvirnik sporočila = zaglavje sporočila + vsebina sporočila

Izvoz in pošiljanje izvirnika sporočila na SI-CERT

V nadaljevanju vam podajamo navodila za izvoz in pošiljanje izvirnikov sporočil nekaj najpogosteje uporabljenih aplikacij za elektronsko pošto.

GMail (Google mail)

• Odprete pogovor ter poiščete sporočilo
• Izberete meni, označen s tremi vertikalnimi pikami
• izberete možnost “Prenesi sporočilo” (angl. “Download message“)
• na računalnik se prenese izvirnik sporočila v datoteki s končnico .eml

Microsoft Outlook

• V seznamu sporočil označite eno ali več sporočil
• V meniju “Osnovno” – “Odgovori”, izberite “Več” in “Posreduj kot prilogo”.
• Outlook pripravi okno za pisanje sporočila, v katerem je kot priponka že dodana datoteka z izvirnikom.

V primeru starejše različice programa Outlook ali če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

• 2x kliknite na izbrano sporočilo
• odpre se novo okno, v katerem izberete “Datoteka” – “Shrani kot”
• izvirnik sporočila se shrani v obliki datoteke s končnico .msg.

Mozilla Thunderbird

Če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

• v seznamu sporočil označite eno ali več sporočil
• z desnim klikom na označena sporočila izberete “Posreduj kot priponko” (“Forward as Attachment”)
• Thunderbird pripravi okno za pisanje sporočila, v katerem so kot priponka že dodane datoteke z izvirniki

• v seznamu sporočil označite eno ali več sporočil
• z desnim klikom na označena sporočila izberete “Shrani kot“
• izvirniki sporočil se shranijo v datotekah s končnico .eml

Roundcube (spletni vmesnik za el. pošto)

• v seznamu sporočil kliknite na sporočilo, da se obarva
• v meniju kliknite na navzdol obrnjen trikotnik pri “Posreduj”, izberite “Posreduj kot priponko”
• Odpre se okno za pisanje sporočila, v katerem je kot priponka že dodana datoteka z izvirnikom

Če gre za potencialno nevarno sporočilo, je potrebno datoteko z izvirnikom pred pošiljanjem šifrirati (gl. spodaj). V tem primeru izvirnik izvozite v datoteko na sledeč način:

• v seznamu sporočil kliknite na sporočilo, da se obarva
• v meniju izberite “Več” – “Izvozi”
• izvirniki sporočila se shrani v datoteko s končnico .eml

Varno pošiljanje izvirnika sporočil

Tako izvožene izvirnike sporočil priložite kot priponko vaši prijavi na SI-CERT. V primeru, da izvorno sporočilo vsebuje škodljive elemente (npr. računalniški virus ali elemente neželene oglasne pošte), obstaja verjetnost, da bosta protivirusni ali antispam program zavrnila pošiljanje ali dostavo vašega sporočila. V tem primeru je potrebno datoteke z izvirniki pred pošiljanjem zašifrirati. Nekaj načinov šifriranja opisujemo v nadaljevanju.

OpenPGP

Sporočilo s priloženimi izvirniki lahko zašifrirate s SI-CERT javnim ključem. Seznam e-poštnih odjemalcev, ki podpirajo OpenPGP šifriranje, je na voljo na spletnem mestu projekta OpenPGP. OpenPGP šifriranje lahko uporabite tudi v primeru pošiljanja občutljivih podatkov.

V ukazni vrstici si lahko pomagate s sledečim ukazom:

$ curl https://www.cert.si/fileadmin/dokumenti/si-cert/si-cert-pgp.asc | gpg --import
$ gpg --output izvirnik.gpg --encrypt --recipient cert@cert.si izvirnik.eml

7-zip

• Označite izvirnike sporočil
• Z desnim klikom na označene datoteke izberete meni 7-Zip -> “Dodaj v arhiv” (“Add to archive“)
• Izberete obliko arhiva ZIP ter spodaj desno v razdelku “Šifriranje” (“Encryption“) vpišite geslo. Običajno se kot geslo uporablja beseda infected, lahko pa uporabite tudi kakršnokoli drugo geslo, ki pa nam ga morate tudi sporočiti

PeaZip

Pri dodajanju datotek v arhiv uporabite možnost “Enter password / keyfile” (vnesi geslo).

WinRAR

• z desnim klikom na datoteko izberite “Dodaj v arhiv”
• izberite vrsta arhiva: ZIP, geslo pa nastavite preko gumba “Nastavi geslo”

Linux utility

Z desnim klikom na datoteko z izvirnikom izberite “Ustvari arhiv” (“Create archive“) ter v kaskadi “Druge možnosti” (“Other options“) vnesite geslo (na sliki je primer uporabe v namizju XFCE)

V ukazni vrstici lahko uporabite spodnji ukaz:

$ zip -p infected izvirnik.zip izvirnik.eml