Comprobando la integridad de correos Como saberelectrónicos si un correo Electrónico fue alterado ¿Quien soy? Maximiliano Bendinelli Ingeniero en Sistemas Informáticos Magister en Seguridad Informática Perito Informático forense Mail:[email protected] Twitter: @mbendinelli http://www.bendinelli.com.ar ¿Es posible saber si un correo Fue modificado? Cuando es posible saberlo: • • Hasta hoy podíamos saberlo cuando ha sido firmado digitalmente y el correo poseía S/MIME (Secure / Multipurpose Internet Mail Extensions) el cual permite autenticación, integridad y no repudio (mediante el uso de firma digital) y privacidad y seguridad de los datos (mediante el uso de cifrado) Con fines forenses también correos que contengan en sus cabeceras el campo DKIM ¿Que es DKIm O DomainKeys Identified Mail? DKIM (DomainKeys Identified Mail) es un sistema criptográfico de autenticación de correo electrónico que permite el envío de mensajes de manera que pueden ser validados por el destinatario. DKIM también protege contra la manipulación de correo electrónico, proporcionando integridad de extremo a extremo, desde un módulo firmante a un módulo validador. VER MAS en la RFC 6376 ¿como funciona DKIM? DKIM ¿como se reconoce? Cuando un correo tiene DKIM en el header se encuentra el campo “DKIM-Signature” DKIM ¿Que parte del correo se autentica? Las partes del correo autenticadas estarán especificadas en por el campo “h” siendo comúnmente las siguientes: • • • • • • • • To From Mime-Version Content-Type Message-ID Subject Date Reply-To DKIM ¿llave pública? La llave publica para validar el contenido del correo surge del DNS del dominio a ser validado y se observa en los campos “d” y “s” y puede ser consultado por cualquier herramienta. En este ejemplo se toma: dkim1k._domainkey.ebay.com DKIM ¿llave publica? Usando nslookup: DKIM ¿llave publica? Usando dig : DKIM formatos de correo Formatos que correo que se pueden verificar: • Eml (live mail , Windows Vista Mail, Outolook Expess Email) • Raw o Texto Original Formatos que correo que no se pueden verificar: • MSG de Outlook no siempre funciona por que se modifica el correo al cambiarle el formato DKIM herramientas Linux : • Opendkim Windows: • No existe al momento una herramienta , igualmente se puede utilizar una herramienta vía web para realizar la verificación https://9vx.org/~dho/dkim_validate.php DKIM comprobando la integridad del correo Verificando un correo: DKIM comprobando la integridad del correo Verificando un correo: DKIM comprobando la integridad del correo Que pasa cuando el correo fue alterado en su encabezado: DKIM comprobando la integridad del correo Que pasa cuando el correo fue alterado en su cuerpo: DKIM ¿Si falla el proceso de autenticación el correo es falso? • • No necesariamente es falso, pudo haber cambiado la llave Pudo haber sido manipulado por el programa cliente Pero si la verificación da verdadera no cabe duda de que el correo es autentico DKIM Cuando NO USAR DKIM para validar la integridad de un correo: • • • Cuando se sepa que el servidor de correo o el cliente de correo pudieron haber manipulado el correo. Cuando la llave del servidor firmante ha cambiado desde el momento que se firmo hasta el momento de la comprobación. Cuando el equipo con el que se esta comprobando no este conectado a INTERNET. DKIM ¿Cuantos correos son autenticados? ¿Preguntas? Ing. Maximiliano Bendinelli [email protected] @mbendinelli