Onderzoek naar de herkomst en authenticiteit van een bepaalde

Onderzoek naar de herkomst en authenticiteit van een bepaalde E-mail. Aanleiding Vanuit de redactie van een vooraanstaand Nederlands actualiteiten programma hierna verder aan te duiden als NOVA. , is het verzoek bij ons neergelegd om te bepalen of een e-mail daadwerkelijk afkomstig is van het ministerie van algemene zaken van Turkije. Daarnaast heeft men de behoefte om te kunnen herleiden of het gebruikte e-mail adres ook een geldig email adres is van dit ministerie. In de e-mail zowel als deze rapportage wordt om privacy redenen een aantal headers niet getoond. Deze bevinden zich wel in de oorspronkelijk aangeleverde mail maar zijn voor het onderzoek niet van belang. Tevens is het voor het onderzoek naar de herkomst niet van belang wat de inhoud van de mail is en zal in dit onderzoek hier niet op in gegaan worden. Afbakening Dit onderzoek beperkt zich tot de technische aspecten aangaande de herleidbaarheid van een e-mail bericht. Dit onderzoek houdt zich niet bezig met de inhoudelijkheid van de e-mail, maar is slechts bedoelt om aan te geven of de origine van de mail klopt met de informatie in de mail alsmede de herkomst van het e-mailadres en de mogelijkheid aan te geven dat deze mail vervalst zou kunnen zijn.

Inhoudsopgave Aanleiding.............................................................................................................................1 Afbakening............................................................................................................................1 Beschrijving van de e-mail ...................................................................................................3 Controle server turkishforum.org .......................................................................................5 Herkomst mailserver op basis van DNS onderzoek ............................................................5 Herkomst mailserver op basis van DNS onderzoek ............................................................6 Herkomst mailserver op basis van IP adressen...................................................................8 Controle van erdek.basbakanlik.gov.tr ...............................................................................9 Mail versturen naar [email protected] ..................................................................10 Conclusie.............................................................................................................................10

Beschrijving van de e-mail De e-mail is gestuurd naar de eindontvanger door een zogenaamd listserv programma. Dit listserv programma is een e-mail dienst waarop een gebruiker zich kan abonneren. De gebruiker kan, als deze geabonneerd is berichten sturen naar deze lijst. Een bericht dat een gebruiker naar de lijst stuurt, wordt naar alle gebruikers gestuurd die geabonneerd zijn op de lijst. De gebruiker kan dus zowel e-mail versturen naar de lijst als e-mail ontvangen van de lijst. Een goed listserv programma of een goede listserv beheerder zal regelmatig een toetsing doen om te bepalen of het e-mailadres van een abonnee nog klopt. Dit geschiedt door een zogenaamde “subscription probe” . Er zijn echter ook slecht beheerde listserv lijsten waar dit niet gebeurt. De betreffende e-mail bevat de volgende “header” informatie over de herkomst van de e-mail en het pad dat de e-mail gevolgd heeft om uiteindelijk bij de eindgebruiker afgeleverd te worden. In principe is voor het onderzoek alleen van belang welk pad er is gevolgd tot aan de Listserver omdat deze de mail in een later stadium doorstuurt naar alle abonnees. Om privacy redenen zijn dan ook in deze rapportage de headers, die betrekking hebben op het afleveren van de mail door de listserv naar eindgebruiker weggelaten. Op de volgende pagina zijn de headers in een tekstvak weergegeven waarbij de hierboven voor het onderzoek niet relevante headers zijn zwartgemaakt. Om het pad te bepalen dat de e-mail heeft gevolgd beginnen we te lezen bij de laatste header “Received:” en volgen we de weg terug door daarna, een voor een, de overige “Received” headers, te interpreteren. De eerste header geeft het volgende aan; Received: from alaybeyoglu ([10.1.90.14]) by erdek.basbakanlik.gov.tr with Microsoft SMTPSVC(5.0.2195.6713); Tue, 21 Nov 2006 16:08:42 +0200

Als men dit terugleest blijkt dat de e-mail verzonden is vanaf een machine die alaybeyoglu heet De machine heeft het volgende IP adres 10.1.90.14 Vanaf deze machine is de e-mail gestuurd naar een andere machine waarop een microsoft SMTP mailserver draait. De volledige naam van de machine is erdek.basbakanlik.gov.tr

Received: from turkishforum.org (localhost [127.0.0.1]) by turkishforum.org (8.13.1/8.13.1) with ESMTP id kALHpFfX007838; Wed, 22 Nov 2006 02:56:39 -0500 Received: by TURKISHFORUM.ORG (LISTSERV-TCP/IP release 14.5) with spool id 398577 for [email protected]; Wed, 22 Nov 2006 01:27:18 -0500 Approved-By: [email protected] Received: from pamukkale ([195.140.196.2]) by turkishforum.org (8.13.1/8.13.1) with SMTP id kALEN6cL003096 for ; Tue, 21 Nov 2006 09:23:07 -0500 Received: from alaybeyoglu ([10.1.90.14]) by erdek.basbakanlik.gov.tr with Microsoft SMTPSVC(5.0.2195.6713); Tue, 21 Nov 2006 16:08:42 +0200 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_01AE_01C70D89.6C5F8B30" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2869 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962 X-OriginalArrivalTime: 21 Nov 2006 14:08:42.0562 (UTC) FILETIME=[8CF69220:01C70D76] X-TM-AS-Product-Ver: SMEX-7.0.0.1345-3.6.1039-14826.000 X-TM-AS-Result: No--1.029800-5.000000-31 Message-ID: <[email protected]> Date: Tue, 21 Nov 2006 16:23:48 +0200 Reply-To: =?iso-8859-9?Q?Ali_Alaybeyo=F0lu?= From: =?iso-8859-9?Q?Ali_Alaybeyo=F0lu?= Subject: [GRASSROOTS] Hollanda Se=?iso-8859-9?Q?=E7imler?= To: [email protected] Precedence: list List-Help: , <mailto:[email protected]?body=INFO GRASSROOTS> List-Unsubscribe: <mailto:[email protected]> List-Subscribe: <mailto:[email protected]> List-Owner: <mailto:[email protected]> List-Archive: This is a multi-part message in MIME format. ------=_NextPart_000_01AE_01C70D89.6C5F8B30 Content-Type: text/plain; charset="iso-8859-9" Content-Transfer-Encoding: quoted-printable

tekstvak 1: Overzicht van Mailheaders

De tweede header ; Received: from pamukkale ([195.140.196.2]) by turkishforum.org (8.13.1/8.13.1) with SMTP id kALEN6cL003096 for ; Tue, 21 Nov 2006 09:23:07 -050

Geeft aan dat een server “pammukale” de email aflevert aan de mailserver van turkishforum.org. hier gaat de mail dus vanaf de server van het ministerie naar de server van turkishforum.org. Pammukale is een exchange server 2003 in het netwerk van het ministerie in Turkije. Waarschijnlijk verzorgt deze machine al het e-mail verkeer naar de buitenwereld. De machine Pammukale heeft een ipadres (195.140.196.2 )dat thuishoort in het netwerk van het ministerie en staat achter een checkpoint firewall.

De derde Header: Received: by TURKISHFORUM.ORG (LISTSERV-TCP/IP release 14.5) with spool id 398577 for [email protected]; Wed, 22 Nov 2006 01:27:18 -0500

Geeft aan dat de listserv de mail heeft ontvangen van de mailserver. Beide op dezelfde machine. Turkishforum.org De vierde Header Received: from turkishforum.org (localhost [127.0.0.1]) by turkishforum.org (8.13.1/8.13.1) with ESMTP id kALHpFfX007838; Wed, 22 Nov 2006 02:56:39 -0500

Geeft de eerste regel aan van het verzenden vanaf de listserv naar de geabonneerde gebruiker En betreft hier het ontvangen door de interne mailserver vanaf de listserver. Controle server turkishforum.org Op deze machine draait zowel de mailserver als de webserver en de listserver. Navraag naar het ipnummer van de machine leert dat de machine in het netwerk van datapipe staat in hoboken new jersey. Op de listserv kan zowel via het web een abonnement aangemeld worden als per e-mail. ame: DataPipe OrgID: DATAPI-2 Address: 80 River Street, 5th Floor City: Hoboken StateProv: NJ PostalCode: 07030 Country: US NetRange: CIDR: NetName: NetHandle: Parent: NetType: NameServer: NameServer: NameServer: Comment: RegDate: Updated:

64.27.64.0 - 64.27.127.255 64.27.64.0/18 DATAPIPE-BLK1 NET-64-27-64-0-1 NET-64-0-0-0-0 Direct Allocation NS1.DATAPIPE.NET NS2.DATAPIPE.NET NS3.DATAPIPE.NET ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE 2000-01-13 2004-08-26

Herkomst mailserver op basis van DNS onderzoek Als men de naam erdek.basbakanlik.gov.tr bekijkt staat vast dat machine die de mail heeft aangenomen een machine is in het Country Top level Domain .tr. Controle bij IANA geeft aan dat de bevoegdheid om domeinen in het country toplevel domain uit te geven berust bij de Middle East Technical University :

Root-Zone Whois Information .tr - Turkey Sponsoring Organization: Middle East Technical University Department of Computer Engineering Inonu Bulvari Ankra 06531 Turkey Administrative Contact: Attila Ozgit Middle East Technical University Department of Computer Engineering Inonu Bulvari Ankra 06531 Turkey Email: [email protected] Voice: +90 312 210 5555 Fax: +90 312 210 5544 Technical Contact: Kursat Cagiltay Middle East Technical University Computer Center Inonu Bulvari Ankara 06531 Turkey Email: [email protected] Voice: +90 312 210 3683 Fax: +90 312 210 1227

URL for registration services: http://www.nic.tr Whois server: whois.nic.tr

tekstvak 2: TLD delegate voor .tr domein

Vanaf de website www.nic.tr kan men de voorwaarden downloaden in pdf formaat voor registratie van een subdomein in het .tr domein. De reglementen geven aan dat het subdomein .gov.tr alleen gebruikt wordt door turkse overheidsinstellingen;

“.gov.tr” Sub‐domain name for Turkish governmental organizations and institutions.

Binnen het domein .gov.tr is de naam basbakanlik wederom een subdomein een “whois” verzoek levert de volgende informatie op over de registrant. Whois :

** Registrant: T.C. Basbakanlik T.C. Basbakanlik Bilgi Islem Baskanligi Bakanliklar 06573 Ankara, Turkiye [email protected] + 90-312-4137411+ 90-312-4192085 ** Administrative Contact: Nick Handle : tb516-metu Person : T.C. BASBAKANLIK Temsilcisi Organization Name : T.C. BASBAKANLIK Address : BASBAKANLIK, BILGI ISLEM BASKANLIGI BAKANLIKLAR Ankara,06573 Turkiye Phone : + 90-312-4137411Fax : + 90-312-4192085

** Technical Contact: Nick Handle Person Organization Name Address

: tb516-metu : T.C. BASBAKANLIK Temsilcisi : T.C. BASBAKANLIK : BASBAKANLIK, BILGI ISLEM BASKANLIGI BAKANLIKLAR Ankara,06573 Turkiye : + 90-312-4137411: + 90-312-4192085

Phone Fax

** Billing Contact: Nick Handle Person Organization Name Address

Phone Fax

: ti276-metu : T.C.BASBAKANLIK IMID Temsilcisi : T.C.BASBAKANLIK IMID : Basbakanlik Idari ve Mali Isler Daire Baskanligi Bakanliklar Ankara,06573 Turkiye : + 90-312-4137339: +

** Domain Servers: gokova.basbakanlik.gov.tr ** Additional Info: Created on..............: 1998-Mar-05. Expires on..............: 2007-Mar-04.

tekstvak 3: Whois verzoek basbakanlik.gov.tr

195.140.196.10

De domeinnaam staat geregistreerd door het: TURKISH PRIME MINISTRY. Dit is in overeenstemming met de website www.basbakanlik.gov.tr alsmede de reeksen waarin zowel het ipadres van de mailserver erdek als de webserver vallen.

Herkomst mailserver op basis van IP adressen Ook als gekeken wordt naar de IP adressen valt er veel af te leiden . Er komen in de mailheaders 2 soorten ipadressen voor; te weten private en public. De public adressen zijn allemaal geregistreerd bij IANA en de bevoegdheid tot uitgeven is wederom gedelegeerd aan een aantal organisaties. Voor wat betreft de publieke adressen die in de mailheaders staan kan opgemekrt worden dat deze door de organisatie RIPE worden uitgegeven. Navraag bij RIPE levert de volgende registrant en lokatie op. This is the RIPE Whois query server #1. % The objects are in RPSL format. % % Note: the default output of the RIPE Whois server % is changed. Your tools may need to be adjusted. See % http://www.ripe.net/db/news/abuse-proposal-20050331.html % for more details. % % Rights restricted by copyright. % See http://www.ripe.net/db/copyright.html % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '195.140.196.0 - 195.140.199.255' inetnum: netname: descr: descr: among descr: descr: descr: country: admin-c: tech-c: status: mnt-by: mnt-lower: mnt-by: mnt-routes: mnt-by: mnt-routes:

195.140.196.0 - 195.140.199.255 TC-BBA-NET T.C.BASBAKANLIK NET - TURKISH PRIME MINISTRY IT NETWORK This network is serving as the communications media the Prime Ministry,State Ministries and some state institutions and as a means for accessing to Internet. Ankara-Turkey. TR HO285-RIPE HO285-RIPE ASSIGNED PI RIPE-NCC-HM-PI-MNT RIPE-NCC-HM-PI-MNT AS9121-MNT AS9121-MNT AS8505-MNT AS8505-MNT

tekstvak 4: RIPE aanvraag herkomst IPnummers

De machine erdek.basbakanlik.gov.tr heeft een publiek ipnummer dat afkomstig is uit deze reekst. De machine alaybeyoglu heeft een zogenaamd private Ip-adres. Dit wordt door

beheerders in netwerken gebruikt om interne netwerken te nummeren . Deze private ipnummers worden door de machines op het internet niet gerouteerd. Derhalve dient aangenomen te worden dat deze machine zich in het netwerk van basbakanlik.gov.tr bevindt. De mailserver erdek geeft zelf aan dat hij de mail vanaf dat private IPnummer heeft gekregen en geeft de windowsnaam van de machine weer. Het is zeer onwaarschijnlijk dat de machine “alaybeyoglu” zich buiten het netwerk van basbakanlik.gov.tr bevindt.

Controle van erdek.basbakanlik.gov.tr

De machine erdek staat achter een checkpoint firewall in het netwerk van het ministerie. Deze machine staat wel poort 25 verkeer toe vanaf buiten het netwerk van het ministerie. Dit wil zeggen dat deze machine machine in principe e-mail accepteert anders dan vanaf binnenzijde van het netwerk. Als echter met een telnet sessie naar poort 25 gekeken wordt of het mogelijk is een mail te versturen met als afzender het afzender emailadres dat als afzender in de headers gebruikt wordt, en met als zender adres een willekeurig ander adres of het adres van de listserver, dan geeft de mailserver weer dat deze geen mail op deze wijze verstuurt en dus geen relaying toelaat vanaf buiten het netwerk.

Figuur 1: telnet sessie met erdek

In de praktijk ontvangt de checkpoint firewall alle mail voor erdek en stuurt deze alleen geldige mail door naar erdek. Een mail gericht aan [email protected] zal dus wel afgeleverd worden. Erdek is dus niet direct vanaf de buitenzijde van het netwerk bereikbaar via poort 25. Wel via poort 110 en poort 80. respectievelijk de poorten waarop e-mail via pop3 opgehaald wordt en poort 80 voor http verkeer ( websites).

Mail versturen naar [email protected] Op grond van de eerdere waarnemingen achten wij het uitgesloten dat dit e-mailadres vanaf de buitenzijde van het netwerk gebruikt is om mail te sturen. Een aantal queries naar de listserv levert eveneens op dat dit adres al geruime tijd gebruikt wordt om mails naar de listserv te sturen. In het listarchive komen al eerdere mail voor en op bijvoorbeeld de site http://www.atahouston.org/NetworkHaberAgi/DiscussionsForum/tabid/133/view/topic/postid/ 887/forumid/10/Default.aspx. wordt de eerder besproken e-mail overgenomen. Eveneens treft men via google een aantal andere berichten aan van dit e-mailadres over bijvoorbeeld de kwestie Armenie dateert al vanaf 25 april . Op deze site geeft de afzender aan dat deze spreekt vanuit het “Prime” ministerie van Turkije. Een mail met ontvangst en leesbevestiging naar het adres alia leert dat deze mail kan ontvangen en leest.

Conclusie Naar mening van de deskundigen is met 99% zekerheid de e-mail afkomstig vanaf het “Prime“ ministerie van Turkije. Wij achten de kans op vervalsing van een e-mail op deze wijze verwaarloosbaar. Het e-mailadres [email protected] is een geldig e-mailadres dat frequent gebruikt wordt. De naam die gelinkt wordt via het internet aan bovenstaand emailadres is die van Mr. Ali Alaybeyoglu. Dit komt overeen met de informatie in de headers van de mail, alsmede de machinenaam van de computer waarmee de mail is verzonden. Het interne IP-adres van de machine komt eveneens overeen met de binnen het ministerie gebruikte ranges. De onderzoekers zijn van mening dat de mail authentiek is en verzonden vanaf het account en het e-mailadres van Mr. Ali Alaybeyoglu.