Poczta elektroniczna

Jak to zwykle bywa w informatyce śledczej istnieją różne metody zabezpieczenia poczty elektronicznej. Metody będą zależały głównie od tego gdzie emaile się znajdują:

  • Na serwerze:
    • Nad którym mamy kontrolę administracyjną.
    • Nad którym nie mamy kontroli administracyjnej.
  • Na urządzeniu użytkownika

Serwer nad którym mamy kontrolę

Będą to głownie serwery korporacyjne/firmowe, gdzie zarząd zgodził się w mniej lub bardziej dobrowolny sposób, na przeprowadzenie postępowania i zabezpieczenie dowodów. Będą to również providerzy co do których udało nam się uzyskać odpowiedni nakaz.

Do czynienia będziemy mieli głownie z następującymi serwerami:

  • Microsoft Exchange.
  • IBM (dawniej Lotus) Domino.
  • Serwery Linuksowe.

W świecie korporacji, firm i organizacji już od dłuższego czasu króluje Exchange. Domino był niegdyś równorzędnym graczem, jednak w ciągu ostatnich lat widziałem wiele organizacji migrujących w stronę Exchange’a, a nie widziałem nikogo kto by wracał z powrotem.

Również serwery Linuksa takie jak Qmail lub Postfix po okresie popularności zostały w większości zastąpione Exchange’m, przynajmniej w firmach.

Nad szytymi na miarę serwerami dużych providerów takich jak Yahoo, Google lub Hotmail raczej nie uzyskamy kontroli administracyjnej, więc nie będę się nawet starał ich opisać.

Jak to zwykle bywa w informatyce śledczej, będziemy mieli do czynienia z piramidą metod zabezpieczania dowodów. Od tych najbardziej inwazyjnych i kosztownych do tych, jak łatwo zgadnąć, najmniej inwazyjnych i kosztownych:

  • Zabezpieczenie całych dysków/woluminów na których znajdują się serwery poczty. Naszym celem będzie głownie dysk na którym znajdują się bazy danych zawierające pocztę elektroniczną. Tworzymy pełny obraz dysku, na przykład E01 lub dd. Zwykle należy wyłączyć lub zatrzymać serwer aby bazy danych nie były w użyciu w czasie kopiowania.
  • Zabezpieczenie  jedynie bazy danych zawierającej pocztę elektroniczną:
    • W przypadku Exchange’a są to pliki z rozszerzeniem EDB. Jedna baza danych zawiera skrzynki pocztowe wielu użytkowników. Na serwerze może istnieć wiele baz danych.
    • W przypadku IBM Domino, każdy użytkownik ma na serwerze swoją własną bazę danych z pocztą, tak zwany plik NSF. W takim wypadku kopiujemy tylko pliki konkretnych użytkowników.
  • Eksport skrzynek pocztowych używając natywnych narzędzi danego typu serwera:
    • W przypadku nowszych wersji Exchange’a używamy powershell’u do eksportu plików PST.
    • W przypadku IBM Domino, używamy aplikacji klienckiej IBM Notes w celu utworzenia nowej repliki.

Serwer nad którym nie mamy kontroli

Mam tutaj na myśli przypadki, kiedy skrzynka pocztowa znajduje się na serwerze providera, często za granicą i nie mamy możliwości zastosowania opisanych wyżej metod zabezpieczenia dowodów.

W takim wypadku naszą ostatnią deską ratunku są protokoły POP3 lub IMAP. Za pomocą tych właśnie protokołów providerzy udostępniają zawartość skrzynek pocztowych. Dzięki nim użytkownicy mogą używać takich programów jak Mozilla Thunderbird, Windows Mail lub Outlook do przeglądania swojej poczty. Programy to potrafią ściągnąć całą pocztę dostępną na serwerze i zapisać ją lokalnie na dysku zwykle w formatach MBOX, EML lub PST.

W celu zabezpieczenia dowodu możemy więc użyć Mozilli Thunderbird do połączenia się z serwerem, pobrać całą zawartość skrzynki, a następnie przetworzyć powstały na naszym dysku plik docelowy w odpowiednim programie do informatyki śledczej (Nuix, Xways Forensics, Encase Forensics, Aid4Mail).

Musimy oczywiście znać nazwę użytkownika oraz hasło – uzyskane ponownie w mniej lub bardziej dobrowolny sposób. W zależności od rodzaju postępowania musimy ponadto mieć zgodę użytkownika lub odpowiedniego organu na przykład sądu lub prokuratury. Pamiętajmy, ze sam fakt prowadzenia postępowania nie uprawnia nas do przeglądania lub kopiowania cudzych skrzynek pocztowych. Bardzo łatwo złamać prawo i samemu stać się obiektem postępowania karnego. Hasła znalezione na analizowanym komputerze mogą być kuszące, jednak nie należy ich używać bez solidnej podstawy prawnej.

Dwie podstawowe metody łączenia się z serwerem to POP3 i IMAP:

  • POP3 – kopiuje tylko „inbox” czyli pocztę otrzymaną. Inne foldery takie jak folder na wysłane wiadomości są dla POP3 niewidoczne. Główni providerzy umożliwiają obecnie tworzenie dowolnej ilości folderów więc POP3 jest coraz mniej przydatny. Klienty poczty POP3 często domyślnie usuwają pocztę z serwera po jej skopiowaniu, pamiętajmy więc żeby wyłączyć tę opcję przed rozpoczęciem kopiowania.
  • IMAP – skopiuje wszystkie foldery i domyślnie pozostawi emaile na serwerze. IMAP będzie naszą preferencyjną opcją. Skorzystamy z POP3 tylko wtedy gdy IMAP nie będzie dostępny.

Pamiętajmy też, że czasami poczta jest dostępna tylko przez przeglądarkę, a  POP3 i IMAP nie są udostępniane przez providera. W takim wypadku pozostanie nam ręczne kopiowanie emaili co może być nużące jeżeli jest ich więcej niż dziesięć tysięcy. Kto zna JavaScript może spróbować zautomatyzować ten proces używając Greasemonkey.

Email na urządzeniach użytkownika

Jak wskazałem powyżej, klienty poczty elektronicznej zwykle przechowują zawartość skrzynki pocztowej na dysku lokalnym. W takim wypadku wykonanie obrazu dysku, tak jak to opisałem we wcześniejszych artykułach, zabezpieczy również zawarte na nim pliki pocztowe takie jak PST, OST, EML, MSG, NSF, MBOX. Każdy szanujący się program do informatyki śledczej będzie w stanie przetworzyć większość z nich. W uzasadnionych przypadkach możemy ograniczyć się do kopiowania jedynie plików pocztowych.

Również urządzenia mobilne przechowują emaile, jednak zwykle tylko z ostatnich dni/tygodni/miesięcy, i często jedynie metadane i początek treści. Dane te zawarte są obecnie najczęściej w plikach SQLite.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *