Open Source Intelligence

OSINT: cosa dice l’header di una email?

mailbox-341744_1920

Come abbiamo spiegato nel primo articolo di questa rubrica,  è il compendio delle tecniche di ricerca di informazioni su fonti aperte, ovvero pubblicate e reperibili liberamente sul web, ed è una delle tecniche più utilizzate dalle agenzie di Intelligence.

In uno studio della Harward Law School si calcola che circa l’80-90% delle informazioni trattate dalla intelligence USA derivi da fonti aperte. E’ dunque ovvio pensare che anche il “Lato Oscuro della Forza” utilizzi le stesse tecniche per trovare informazioni utili ai propri scopi, come ad esempio per la ricerca di informazioni propedeutiche ad un attacco informatico. Il che ci porta a dover considerare quantomeno degno di essere preso in considerazione il problema delle “tracce” che giornalmente lasciamo su Internet con le nostre attività.

Ecco alcuni dei metodi utilizzati per trovare queste tracce analizzando le informazioni tecniche di Internet.

Tralasciamo le basi del funzionamento di Internet, indirizzi IP, router, server, porte, servizi che si suppone siano conosciute. Quello che ci interessa al momento è capire quali informazioni si possono trovare e dove cercare.

Una delle tante fonti analizzabili è l’header delle e-mail, ovvero la parte del messaggio che contiene le informazioni di routing, il mittente, il destinatario, gli orari, il soggetto, ecc. e che normalmente non viene mostrato all’utente ma che è sempre presente in ogni mail.

Le modalità per visualizzarlo cambiano in base al software utilizzato per leggere le mail: Thunderbird, Outlook, Google Mail, ecc. Ad ogni modo, visualizzando la mail nel suo formato sorgente la parte iniziale che ci viene mostrata, prima del testo della mail, è l’header.

In pratica, a partire dal computer originante il messaggio (quello su cui il messaggio viene scritto ed inviato), ad ogni trasferimento fra sistemi che il messaggio subisce fino alla sua destinazione viene aggiunto all’header un record contenente i dati del sistema attraversato (IP, nome, software utilizzato dal server) con data ed ora dell’operazione.

Leggendo un header, il primo record “received from” a partire dall’alto che si può leggere è relativo al server che ha ricevuto la mail (il vostro mail server). Via via, i successivi record “received from” sono relativi ai server attraversati, fino all’ultimo della lista che sarà il server origine del messaggio.

Inoltre, al momento della creazione, vengono inserite nell’header informazioni relative al computer sul quale è stato creato il messaggio ed il suo indirizzo IP, quale software è stato utilizzato per scrivere il messaggio ed altre ancora. Tutte informazioni utili da conoscere.

Ad esempio, conoscere il programma di posta utilizzato comporta in genere conoscere anche il sistema operativo utilizzato.

Uno strumento, fra i tanti disponibili online, utilizzabile per analizzare un header è questo. Basta visualizzare il sorgente della mail che si intende analizzare, copiare l’header e incollarlo nel box per vedere il risultato anche con una valutazione della presenza su eventuali black list antispam.

Return-path: <qouta@mbspace.com>
Envelope-to: webmaster@xxxxxx.it
Delivery-date: Mon, 28 Nov 2016 08:08:50 +0100
Received: from rrcs-74-142-233-126.central.biz.rr.com ([74.142.233.126] helo=fs1.cl.local)
        by xxxxxxxxxxxxx.it with esmtp (Exim 4.72)
        (envelope-from <qouta@mbspace.com>)
        id 1cBG3L-00052x-LT
        for webmaster@xxxxxxx.it; Mon, 28 Nov 2016 08:08:40 +0100
Received: from [192.168.1.6] ([127.0.0.1]) by fs1.cl.local with Microsoft SMTPSVC(8.5.9600.16384);
         Mon, 28 Nov 2016 01:59:03 -0500
Content-Type: multipart/alternative; boundary="===============1499685061=="
MIME-Version: 1.0
Subject: Customer-Id webmaster@xxxxxxxxxx.it Qouta Alert!
To: webmaster@xxxxxxxxxxxx.it
From: "Domain Handler" <qouta@mbspace.com>
Date: Mon, 28 Nov 2016 01:59:03 -0500
Message-ID: <FS14Tau1g8mZElV5tTP00010fad@fs1.cl.local>
X-OriginalArrivalTime: 28 Nov 2016 06:59:03.0029 (UTC) FILETIME=[E70F0250:01D24944]

You will not see this in a MIME-aware mail reader.
--===============1499685061==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body

Conoscere l’IP del mittente può permettere di conoscerne la geo localizzazione, il provider ed eventualmente l’organizzazione o azienda alla cui rete è collegato quel computer. Queste informazioni possono essere trovate interrogando un server Whois, ovvero il database degli indirizzi IP che contiene i dati dei provider a cui appartengono e le informazioni sugli intestatari dei domini.

Per interrogare Whois si possono utilizzare strumenti a linea di comando (su sistemi GNU/Linux) o tools online come questo.

Analizzando l’header dell’esempio precedente possiamo vedere che il mittente del messaggio di spam ricevuto è rrcs-74-142-233-126.central.biz.rr.com con indirizzo IP 74.142.233.126. Interrogando Whois possiamo vedere che l’IP è di proprietà di un provider localizzato in USA ed assegnato ad un pool di connessioni internet con IP dinamico. Si tratta probabilmente del PC di casa di qualcuno con a bordo un malware.

Nel caso invece l’IP sia assegnato staticamente ad un server od ad una connessione aziendale, sarà possibile nella maggior parte dei casi conoscere l’intestatario del contratto.

Richiedendo le informazioni relative ad un dominio si potrà conoscerne l’intestatario ed altre informazioni come indirizzo, numero di telefono, ed altre informazioni. Sempre che non siano state anonimizzate, ovviamente.

Un ultimo appunto. L’header di una mail contiene vari campi che vengono compilati in modo automatico dai server e dai programmi di posta elettronica. Alcuni di questi campi sono obbligatori ed altri sono facoltativi (ad esempio “rispondi a”, destinatario, soggetto, ecc.). In effetti, quello che viene mostrato dai vari programmi di posta potrebbe stato manipolato. Pertanto, occhio alle mail sospette: verificate gli header per controllare se il mittente visualizzato è il vero mittente e verificate il server utilizzato per la spedizione. Il phishing è sempre il metodo più utilizzato per carpire informazioni o infettare computer.

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This