Comprobando la integridad de correos electrónicos

Anuncio
Comprobando la integridad de
correos
Como saberelectrónicos
si un correo
Electrónico fue alterado
¿Quien soy?
Maximiliano Bendinelli
Ingeniero en Sistemas Informáticos
Magister en Seguridad Informática
Perito Informático forense
Mail:[email protected]
Twitter: @mbendinelli
http://www.bendinelli.com.ar
¿Es posible saber si un correo
Fue modificado?
Cuando es posible saberlo:
•
•
Hasta hoy podíamos saberlo cuando ha sido firmado digitalmente
y el correo poseía S/MIME (Secure / Multipurpose Internet Mail
Extensions) el cual permite autenticación, integridad y no
repudio (mediante el uso de firma digital) y privacidad y seguridad
de los datos (mediante el uso de cifrado)
Con fines forenses también correos que contengan en sus
cabeceras el campo DKIM
¿Que es DKIm O DomainKeys Identified
Mail?
DKIM (DomainKeys Identified Mail) es un sistema criptográfico de
autenticación de correo electrónico que permite el envío de
mensajes de manera que pueden ser validados por el destinatario.
DKIM también protege contra la manipulación de correo electrónico,
proporcionando integridad de extremo a extremo, desde un
módulo firmante a un módulo validador.
VER MAS en la RFC 6376
¿como funciona DKIM?
DKIM
¿como se reconoce?
Cuando un correo tiene DKIM en el header se
encuentra el campo “DKIM-Signature”
DKIM
¿Que parte del correo se autentica?
Las partes del correo autenticadas estarán
especificadas en por el campo “h” siendo
comúnmente las siguientes:
•
•
•
•
•
•
•
•
To
From
Mime-Version
Content-Type
Message-ID
Subject
Date
Reply-To
DKIM
¿llave pública?
La llave publica para validar el contenido del
correo surge del DNS del dominio a ser validado
y se observa en los campos “d” y “s” y puede ser
consultado por cualquier herramienta.
En este ejemplo se toma:
dkim1k._domainkey.ebay.com
DKIM
¿llave publica?
Usando nslookup:
DKIM
¿llave publica?
Usando dig :
DKIM
formatos de correo
Formatos que correo que se pueden verificar:
•
Eml (live mail , Windows Vista Mail, Outolook
Expess Email)
•
Raw o Texto Original
Formatos que correo que no se pueden verificar:
•
MSG de Outlook no siempre funciona por que
se modifica el correo al cambiarle el formato
DKIM
herramientas
Linux :
•
Opendkim
Windows:
•
No existe al momento una herramienta , igualmente se puede
utilizar una herramienta vía web para realizar la verificación
https://9vx.org/~dho/dkim_validate.php
DKIM
comprobando la integridad del correo
Verificando un correo:
DKIM
comprobando la integridad del
correo
Verificando un correo:
DKIM
comprobando la integridad del
correo
Que pasa cuando el correo fue alterado en su
encabezado:
DKIM
comprobando la integridad del
correo
Que pasa cuando el correo fue alterado en su
cuerpo:
DKIM
¿Si falla el proceso de autenticación el correo es falso?
•
•
No necesariamente es falso, pudo haber cambiado la llave
Pudo haber sido manipulado por el programa cliente
Pero si la verificación da verdadera no cabe duda de que el correo
es autentico
DKIM
Cuando NO USAR DKIM para validar la integridad de un correo:
•
•
•
Cuando se sepa que el servidor de correo o el cliente de correo
pudieron haber manipulado el correo.
Cuando la llave del servidor firmante ha cambiado desde el
momento que se firmo hasta el momento de la comprobación.
Cuando el equipo con el que se esta comprobando no este
conectado a INTERNET.
DKIM
¿Cuantos correos son autenticados?
¿Preguntas?
Ing. Maximiliano Bendinelli
[email protected]
@mbendinelli
Descargar