Дни разработчика 2009: День Безопасности - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Дни разработчика 2009: День Безопасности PowerPoint Presentation
Download Presentation
Дни разработчика 2009: День Безопасности

play fullscreen
1 / 13
Дни разработчика 2009: День Безопасности
135 Views
Download Presentation
ashby
Download Presentation

Дни разработчика 2009: День Безопасности

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Защита от фальсификации электронных писем в Microsoft Outlook/Exchange Денис Кудин, MVP Consumer Security Kudin Security Group Ltd E-mail: dennis@kudin.net Дни разработчика 2009:День Безопасности

  2. Существующие угрозы: Man-in-the-Middle Подделка заголовков письма Социальная инженерия Перехват почты на стороне провайдера И др.

  3. Преамбула: Outlook MAPI (Message Application Programming Interface) содержит механизмы, помогающие выявить факты фальсификации электронных писем в Outlook/Exchange

  4. Как искать? Анализировать формат Personal Folder File, используемый Microsoft Outlook для PST (Personal Storage Table) и OST (Offline Storage Table) файлов

  5. Чем искать? Инструмент libpff – бесплатная библиотека с набором инструментов для работы с PFF форматом Ручной анализ RTF или HTML кодов форматирования сообщения в полученном исходном коде

  6. Пример

  7. 10 ноября 2009 г. было создано письмо, которое было получено получателем через форвардинг 15 ноября. При этом возникли сомнения в подлинности письма, аналитики не смогли найти оригинал. С помощью утилиты pffexport, входящей в состав библиотеки libpff, был экспортирован PST файл с ключом –v (verbose)

  8. {\*\htmltag84 <b>}\htmlrtf {\b \htmlrtf0 Sent:{\*\htmltag92 </b>}\htmlrtf }\htmlrtf0 Tuesday November 1{\*\htmltag84 <span style='color:#1F497D'>}\htmlrtf {\htmlrtf0 0{\*\htmltag92 </span>}\htmlrtf }\htmlrtf0 , 2009 15:24{\*\htmltag116 <br>}\htmlrtf \line<BR>\htmlrtf0{\*\htmltag4 \par }

  9. На основе анализа других писем, полученных форвардингом, было установлено, что выделение болдом, а также отличающийся по цвету 0 в дате 10, указывают на фальсификацию письма Возникло подозрение, что отправленное 15-го ноября письмо содержало изменения, внесенные злоумышленником. Это было необходимо доказать

  10. Ответ находится в статье MSDN под названием «Tracking Conversations». Существует специальная функция MAPI, называемая ScCreateConversationIndex, которая устанавливает индекс PR_CONVERSATION_INDEX для каждого исходящего сообщения.

  11. Заголовок блока conversation index должен содержать дату и время создания сообщения. Анализ заголовков показал, что в conversation index отсутствует дата 10 ноября, но есть дата 15 ноября. Путем сопоставления с другими сообщениями, было установлено, что письмо действительно было создано и отправлено получателю 15 ноября, а не 10-го, что подтвердило предположение о его фальсификации.

  12. Как защититься? Использовать средства для обеспечения свойства non-repudiation Использовать средства для обеспечения свойства наблюдаемости информации (НД ТЗИ) Привлекать сторонних аудиторов безопасности

  13. Ресурсы: Мой блог: http://kudin.net Статья Personal Folder File (PFF) forensics автора Joachim Metz (http://kent.dl.sourceforge.net/sourceforge/libpff/PFF_forensics.pdf) Статья MSDN: Tracking conversations (http://msdn.microsoft.com/en-us/library/cc765583.aspx)