Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
img
img

 

 

Informática forense
Peritajes informáticos, análisis de evidencia presentada por las partes en juicios civiles.

img
img
img
.Más leídos
» Correo Microsoft Exchange modificado manualmente
» CRM código abierto libre y gratis
» Desaparecieron los correos que tenía en hotmail
» Editores de texto que resalten la sintaxis eml de correos electrónicos
» ¿Es posible peritar emails en formato papel o pdf?
» Escribano o testigo online gratuito con limitaciones
» Fechas en formato codificado en el cuerpo del mensaje.
» Fingerprint servidor exchange
» Metadatos de archivos digitales
» Thread index análisis forense de emails
img
.Sobre mí
FOTO

Ing. Andres Aliaga

Gerente Comercial - Software -
Profesor de la Universidad del Salvador

» Ver perfil

img
.Buscador
Blog   Web
img
.Nube de tags [?]
img
.Enlaces
img
.Se comenta...
» CRM código abierto libre y gratis
3 Comentarios: M TALCOD, M TALCOD, microsoft dynamics crm
15 de Febrero, 2019 · General

Correo Microsoft Exchange modificado manualmente


Mostrándole a un compañero de trabajo sobre la posibilidad de adulterar correos electrónicos utilizando Microsoft Outlook 2016 con el servidor Exchange, se quedó sorprendido de lo fácil que resulta modificar el contenido de un correo electrónico.

Por la manera en que se encuentra configurado Exchange, el correo también quedó impactado en OWA con lo cual el cambio realizado en la computadora se vio reflejado también en el servidor. Y surgió la pregunta sobre de qué manera sería posible determinar si un correo ha sido adulterado, ya que muchas de las discusiones laborales se resuelven remitiéndose a los correos electrónicos enviados y recibidos.

Para determinar fehacientemente la alteración, lo ideal es contar con acceso al log de transacciones de Exchange, pero en este caso esa posibilidad no se encuentra disponible por no poseer los accesos.

Tampoco se dispone de acceso vía IMAP que permitan verificar la secuencia de UID o msgno.

Razón por la cual nos queda únicamente la alternativa de estudiar los encabezados del correo, en primer lugar el encabezado que poseía el correo previo a la modificación del mismo y en segundo lugar el encabezado que posee el correo una vez modificado.

Como el correo ya había sido alterado, se procedió a crear un nuevo correo de prueba y a capturar su encabezado desde el servidor OWA. Luego se procedió a introducir una modificación en el correo de la siguiente manera:

1.       Identificar el correo electrónico a modificar en el cliente de correo Outlook.

2.       Abrir dicho correo mediante doble click de ratón.

3.       En el apartado Mover, seleccionar la solapa Acciones > Modificar Mensaje.

4.       Se edita el cuerpo del mensaje introduciendo el texto “Modificado el día …., hora …”.

5.       Oprimir el botón guardar.

Una vez realizados estos pasos se procedió a acceder al correo en el servidor OWA y a recuperar el encabezado del correo modificado. Sorpresivamente ambos encabezados, tanto el correspondiente al correo original como el correspondiente al correo modificado, mantenían exactamente el mismo aspecto. Ello tiene su lógica, ya que la acción de modificar mensaje sólo permite modificar el cuerpo del correo electrónico y no su encabezado por esta metodología.

Se procedió entonces a extraer un tercer mensaje de Outlook mediante los comandos arrastrar y soltar, exportando el mismo en formato .msg. Con ayuda de la herramienta gratuita:

ZOOK MSG to EML Converter

Se procedió a convertir el mensaje del formato propietario .msg a un formato de texto simple .eml.

A continuación se realizó una modificación en el cuerpo del correo electrónico y se repitió la extracción y conversión antemencionadas.

Una vez que se disponía del código fuente (encabezado y cuerpo) de ambos correos se accedió al sitio web:

https://www.diffchecker.com

Y se colocó en la caja izquierda el correo electrónico original y en la caja derecha el correo electrónico modificado. Con esta metodología se observaron las diferencias que se generan fruto de la adulteración.

Algunas de las diferencias apreciables:

a. Se incorpora la etiqueta mailto para correos electrónicos.

  • Para: CEP-Infra <CEP-Infra@cordoba=2Egov=2Ear>
  • Para: CEP-Infra <CEP-Infra@cordoba=2Egov=2Ear <mailto:CEP-Infra@cordoba=2Egov=2Ear> >

b. Se incorpora la etiqueta file para enlaces de archivos.

  • s-006jubila=20
  • s-006prelegajo <file://fs-006/prelegajo> 
c. Se incorpora una lista larga de tags <w>

88 <w:WordDocument>
89 <w:TrackMoves/>
90 <w:TrackFormatting/>
91 <w:HyphenationZone>21</w:HyphenationZone>
92 <w:EnvelopeVis/>
93 <w:ValidateAgainstSchemas/>

El ejercicio importante consiste en adulterar el correo electrónico manualmente y analizar el impacto que esto produce en el archivo de correo para luego realizar una búsqueda automática por las diferencias observadas.


publicado por andresaliaga a las 14:31 · Sin comentarios  ·  Recomendar
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>, <li>· Lista</li>
img img
FULLServices Network | Blog gratis | Privacidad