O TEVŘENÉ INFORMAČNÍ ZDROJE I DENTIFIKACE ODESÍLATELE EMAILOVÉ POŠTY JUDr. Štěpán Kalamár, Ph.D.
Foto: Ilustrační, Zdroj1
Anotace: Příspěvek „Otevřené informační zdroje – identifikace odesílatele emailové pošty“ je pátým pokračováním seriálu příspěvků, který je věnován problematice vytěžování dat z otevřených informačních zdrojů.
Klíčová slova: Hoax, Malware, fiktivní faktura, vir, červ, trojský kůň, opatření proti hospodářské kriminalitě.
1
Ilustrační foto viz http://www.otevrenadata.cz/res/images/logo.png
HOAX Jedním z velmi častých nešvarů, který se na Internetu vyskytuje, je šíření škodlivého kódu, tj. poplašných, nebezpečných a zbytečných řetězových zpráv, tzv. hoaxů.2 Jako jeden příklad hoaxu za všechny, který byl šířen pomocí emailu „BANKOMAT + PIN – může to být užitečné“, obr. č. 1., 2 Tento tip HOAXU měl celkem 5 verzí.3
Obr. č. 1 - HOAX „V NOUZI ZADEJ PIN OPAČNĚ“
Obr. č. 2 – Obrázková verze hoaxu z roku 2014
2 3
HO@X: HOAX [online]. [cit. 2015-07-10]. Dostupné z: http://www.hoax.cz/cze/ HO@X: V NOUZI ZADEJ PIN OPAČNĚ [online]. [cit. 2015-07-13]. Dostupné z: http://www.hoax.cz/hoax/v-nouzi-zadej-pin-opacne/
2
Tato informace přirozeně není pravdivá! Všechny bankomaty jsou nastaveny tak, že při výběru peněžní hotovosti po vložení karty do bankomatu a zadání PIN, je požadavek v zakryptované podobě odeslán do autorizačního centra, kde dochází k ověřování (porovnání) čísla platební karty a zadané hodnoty PIN proti parametrům stejného = správného PIN kódu. Pokud jsou parametry shodné, transakce je, po prověření limitu a dostatečného zůstatku hotovosti na účtu, povolena. Pokud se liší, je požadavek zamítnut! Můžeme připustit výjimku, kdy by správný PIN měl podobu např. 1221, 2332, 3443 atd. (opačně napsané čísla mají shodnou hodnotu)l. Pak systém vyhodnotí zadaný PIN kód jako správný. Proto není od věci při autorizaci platební karty a volbě PIN kódu, který chceme používat, mít tuto skutečnost na paměti. V důsledku chybně zadaného PIN kódu dochází k logování tohoto neúspěšného pokusu o zadání PIN s tím, že při definovaném počtu povolených opakování může dojít k vyčerpání tohoto limitu (počtu pokusů pro zadání správného PIN kódu) a k zablokování platební karty v bankomatu.
2. případ MALWARE – „fiktivní faktura“ MALWARE je všeobecné označení pro škodlivý kód. Nejčastěji to může být počítačový vir, červ nebo stále častěji Trojský kůň. Dříve se tyto škodlivé kódy šířily přímo e-mailem. V dnešní době se ale stále více využívá sociální inženýrství, kdy v textu e-mailu je pouze odkaz na tento škodlivý kód, který je připojen v příloze. Pod záminkou, že odkaz směřuje na fakturu, popř. na zajímavý obrázek, video nebo epohlednici nutí adresáta, aby přílohu otevřel. Pokud neopatrný uživatel na odkaz klikne, stáhne si namísto faktury nebo slibovaných obrázků škodlivý kód. Další případ škodlivého kódu Malware, který můžeme pracovně nazvat jako „fiktivní faktura“ budu demonstrovat na svém příkladu (ze své vlastní zkušenosti). Popíši postup, jakým způsobem lze zjistit, že se jedná o HOAX a jaký zvolit postup, abyste si nezavirovali svůj počítač. Na mou emailovou adresu na Policejní akademii v Praze [
[email protected]) mi byla dne 9. 2. 2015 v 10:01 hod. doručena zpráva od odesílatele „Pavla Wurdak
[email protected]“, viz. obr. č. 3. Zpráva obsahuje zazipovaný nebezpečný soubor
[email protected]. 3
Dobrý den, vážený kliente S politováním Vás informujeme že banka obdržela od společností UNIPRO SERVIS, spol. s r.o. u které jste dřív nakoupil na splátky a jíž obdržel následující zboží ========= HP LaserJet 4200DTN, bílá: 1 x 52 687,00 Kč =52 687,00 Kč GB 7VT600-RZ, Socket A, KT600/8235, FSB400,LAN,AC97,ATX,Bulk, bílá: 1 x 1 558,00 Kč =1 558,00 Kč ST373307LW 73.4GB U320 Wide 4.7ms 10000rpm 8MB Cache, bílá: 1 x 7 157,00 Kč =7 157,00 Kč ========= Vznesenýpožadavek o sráženi z bankovního účtu dlužníka neuhrazených včas splátek. Informujeme Vás o tom že podle znění ustanovení § 565 zákona 89/2012 Sb., obč. Zák., dlužník ztratí veškeré výhody splátek v případě, že dohodnutou splátku neuhradí řádně a včas . Je-li dlužník v prodlení s úhradou dohodnuté splátky v den její splatnosti, může prodejce v souladu s ustanovením § 565 obč. zák. žádat o zaplacení celé pohledávky do splatnosti nejblíže příští splátky, aniž by bylo rozhodné, zda dlužník splátku, se kterou byl v prodlení, po její splatnosti uhradil. Ve smyslu zákona 89/2012 Sb., obč. Zák. a na základě smluvního ujednání mezi prodejcem a kupujícím má prodejce nárok na strhnutí dlužné částky z účtu dlužníka. Pokud během následujících 7 pracovních dnů neobdržíme od věřitele potvrzení o jakékoliv formě vyrovnaní případně prodloužení dlužných splátek, musí banka dle výšeuvedeného odůvodnění učinit tak že dlužná částka bude shrnuta z vašeho bankovního účtu ve prospěch prodejce. V proloženém souboru zasíláme Vám kopie požadavku o strhnutí z bankovního účtu k nahlédnutí. S pozdravem Pavla Wurdak +420 602 590 384
Obr. č. 3 – plný text doručené emailové zprávy na adresu
[email protected] od odesílatele Pavla Wurdak
[email protected]“.
Když pomineme skutečnost, že jsem si od společnosti UNIPRO SERVIS, spol. s r.o. nikdy nic nezakoupil, natož na splátky, tak jak je třeba se chovat (postupovat) při přijetí takovéto pochybné pošty. Zkusíme si definovat postup – pravidla: 4
1. Pravidlo, NIKDY, zdůrazňuji NIKDY neotvírat přílohu emailové pošty, abyste se přesvědčili o tom, co je to za nesmysl! Způsobili by jste si tím zavirování počítače! 2. pravidlo, na internetové adrese www.hoax.cz se můžeme podívat, zda tento tip korespondence (HOAXU, MALWARE) již není zveřejněn s upozorněním, že se jedná o škodlivý vir.
http://www.hoax.cz/
http://www.hoax.cz/malware
3. Pravidlo, abychom mohli s došlým emailem dále pracovat postupujeme tak, že z doručené pošty zkopírujeme problematický email na plochu počítače (pravým tlačítkem přetáhneme na plochu), viz obr. č. 4 a z došlé pošty tento pochybný email odstraníme (smažeme).
Obr. č. 4 Přetažení (zkopírování emailu „Pavla Wurdak“ na plochu Pc (+detail) a zabalit do souboru.rar nebo .zip (pravé tlačítko)
4. pravidlo, zobrazíme si záhlaví zprávy (Outlook 2013) Podmínky pro zobrazení: 1. Zpráva musí být otevřena ve vlastním okně 2. Na kartě Soubor vyberte Vlastnosti, viz obr. č. 5
5
Záhlaví zobrazíme tak, že po kliknutí na došlou emailovou zprávu se nám zpráva zobrazí v samostatném okně, viz obr. č. 5.
Obr. č. 5 Otevření došlé emailové zprávy ve vlastním okně (+ detail) Po kliknutí na „SOUBOR“ se zobrazí nabídka „Informace-Uložit-Uložit jakoUložit přílohy-Vytisknout-Zavřít …“, viz obr. č. 6. Z obrázku je patrné, že je nutno v menu „Informace“ zvolit „Vlastnosti“.
Obr. č. 6 Menu s možností volby Informace-Vlastnosti
6
Ve vlastnostech se zobrazí (červeně orámované pole) Internetová záhlaví, viz obr. č. 7
Obr. č. 7 Menu s možností volby Informace-Vlastnosti
V dalším kroku už pak následuje zkopírování hlavičky do wordu a následné její vyhodnocení! Ale nejprve k hlavičce e-mailové zprávy. Co znamená hlavička neboli internetové záhlaví e-mailové zprávy? Hlavička je neoddělitelná součást e-mailu, která by se dala přirovnat třeba k nápisu na obálce. Obsahuje informace o odesílateli, o příjemci i o cestách, které zpráva vykonala během cesty sítí Internet od odesílatele ke svému příjemci. Vysvětlení vybraných údajů, které je možné nalézt v hlavičce: Received
Sender Subject To From
- Adresa emailového serveru a IP adresa počítače, který email odeslal Další Received - Ukazuje přes jaké servery šel email k cílovému příjemci - určuje odesílatele zprávy, pokud je jiný, než je uvedeno v položce "From". - Předmět zprávy From - Definuje adresa odesilatele formátu „jméno“ nebo „adresa“ - Definuje adresu příjemce - Adresa odesilatele
ve
7
- Datum a čas odeslání zprávy ve formátu GMT (př.: "Thu, 18 Jan 2001 16:44 +0100"). Received: from – přijaté od Cc: - Kopie emailu (formát je shodný s „From“ Bcc: - Skrytá kopie (formát je shodný s „Cc“) Date
Jak číst hlavičku? Hlavičku čteme naopak, tedy ne od shora dolů, ale odspodu nahoru. Zde je několik nejdůležitějších prvků v hlavičce došlé emailové zprávy (čteno odspoda nahoru – řazeno již odshora dolů) a jejich popis: Received-SPF: Pass (protection.outlook.com: domain of agorapraha.cz designates 76.64.167.78 as permitted sender) receiver=protection.outlook.com; client-ip=76.64.167.78; helo=transferfactormexico.net; Authentication-Results: spf=pass (sender IP is 76.64.167.78)
[email protected]; polac.cz; dkim=none (message not signed) header.d=none; Subject:
[email protected] To:
From: Pavla Wurdak Date: Mon, 9 Feb 2015 04:01:02 -0500 Received: from transferfactormexico.net (76.64.167.78) by AM1FFO11FD048.mail.protection.outlook.com (10.174.65.211) with Microsoft SMTP Server id 15.1.87.10 via Frontend Transport; Mon, 9 Feb 2015 09:03:31 +0000
Z výtahu hlavičky zjišťujeme IP adresu počítače, ze kterého byla e-mailová pošta odeslána, předmět zprávy, komu bylo adresováno a kdy – v kolik hodin byla zpráva doručena. 5. pravidlo, lokalizace IP adresy odesílajícího počítače Nás zajímá IP adresa počítače [ 76.64.167.78 ]. Na níže uvedené adrese zadáme internetovou adresu vyhledávače IP adres a pokusíme se lokalizovat server, odkud nám e-mailová pošta byla doručena, viz obr. č. 8, 9.
8
Obr. č. 8 – Lokalizace IP adresy 76.64.167.78
Výsledek
Ottawa, Elgin Street, Bell Canada Kitchener Sympatico Hse
Obr. č. 9 – Lokalizace IP adresy 76.64.167.78 9
Classless Inter-Domain Routing (CIDR)4 je v počítačových sítích metoda směrování, která se v TCP/IP (tj. i v Internetu) používá pro rozdělení velkých sítí na podsítě. Spočívá v možnosti zvolit pro každou podsíť specifickou masku sítě, která definuje rozsah IP adres, které je možné v této podsíti používat. CIDR je nástupce dnes již nepoužívaného systému tříd IP adres. Byl představen IETF v roce 1993. CIDR přinesl do adresace dva nové principy:
délka adresy sítě je libovolná
adresy se přidělují hierarchicky, což umožňuje agregaci směrování
Organizace přidělování adres Reorganizován byl i proces přidělování IP adres. Nyní je přidělují takzvaní lokální registrátoři (LIR, Local Internet Registry), kteří garantují dodržování stanovené procedury a pravidel, včetně agregace adres a přidělování prefixů odpovídající délky. Tuto roli typicky hrají poskytovatelé Internetu. Jim přidělují adresní prefixy do správy regionální registrátoři (RIR, Regional Internet Registry), kteří koordinují správu adres v přidělené oblasti. RIR zároveň stanovují pravidla a adresní politiky pro danou oblast. Vycházejí přitom z názorů svých členů, kterými jsou lokální registrátoři. V současnosti je Internet rozdělen mezi pět regionálních registrátorů:
AfriNIC - Afrika
APNIC - Asie a Austrálie (pacifická oblast)
ARIN - Severní Amerika
LACNIC - Jižní (latinská) Amerika
RIPE NCC – Evropa.
Z obr. č. 9 je patrné, že regionálním registrátorem hledané IP adresy je „ARIN“ – Severní Amerika, konkrétně pak firma „Bell Canada“, 160 Elgin Street Ottawa. Co
4
Classless Inter-Domain Routing. Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2015-07-20]. Dostupné z: https://cs.wikipedia.org/wiki/Classless_Inter-Domain_Routing
10
je pro nás důležité, že rozsah sítě (NetRange) je od čísla 76.64.0.0 až 76.761.255.255. Pokud bychom chtěli znát uživatele, kterému byla hledaná IP adresa přidělena, musíme dále znát přesný čas připojení odesílatele – odeslání podezřelého e-mailu. V našem případě je to: Date: Mon. 9 Feb 2015 04:01:02 -0500 Čas doručení emailové pošty je pak Received: from Mon. 9 Fef 2015 09:03:31 +0000 Tyto údaje budou důležité, pokud se příslušný státní orgán obrátí na Kanadu k poskytnutí identifikačních údajů podle čl. 35 Úmluvy o počítačové kriminalitě5. V tomto okamžiku vytěžování otevřených informačních zdrojů končí a musí nastoupit profesionální práce policie! Úmluva definuje skutky, které musí členské státy stíhat. Jde o následující okruhy trestných činů:
Trestné činy týkající se počítačových dat (neoprávněný přístup k počítači a neoprávněný odposlech dat, zasahování do dat a do počítačového sytému, zneužívání zařízení, zpřístupnění zařízení k páchání této trestné činnosti).
Trestné činy související s počítačem (padělání s pomocí počítače, počítačové podvody).
Trestné činy související s obsahem dat (dětská pornografie).
Trestné činy související s porušením autorských práv.
Kromě vymezení skutkových podstat se Úmluva věnuje otázkám procesního práva a stanoví členským státům povinnosti v oblasti vyšetřovacích postupů. Členské státy jsou zejména povinny přijmout opatření, aby byla zajištěna možnost urychleného uchování a zpřístupnění uložených počítačových dat, vydání příkazu k předložení, prohlídky a zajištění uložených počítačových dat, shromažďování dat v reálném čase či odposlouchávání dat. V Úmluvě je řešena i mezinárodní spolupráce členských států. V případech, kdy státy mají uzavřenou již jinou
5
Sbírka mezinárodních smluv Česká republiky, částka 56/2013, dostupné na: http://www.epravo.cz/_dataPublic/sbirky/2013/sb0056-2013m.pdf
11
mezinárodní smlouvu o právní pomoci a vydávání, tak je tato Úmluva podpůrným pramenem.6 Ke dni 21. 7. 2015 je celkem 47 členských států, kteří Úmluvu podepsalo a i ratifikovalo (Česká republika Úmluvu podepsala dne 9. 2. 2005, ratifikovala po 8mi letech dne 22. 8. 20013 a v platnost vstoupila dne 1. 12. 2013). U 7mi států ještě neproběhla následná ratifikace Úmluvy. 7 Kanada jako člen Rady Evropy tuto Úmluvu ratifikovala dne 8. 7. 2015. Důležité ustanovení Úmluvy o počítačové kriminalitě je článek 35, kterým je, vytvoření kontaktních míst k dispozici 24 hodin denně, sedm dní v týdnu, usnadnit mezinárodní spolupráci: Článek 35 - 24/7 Síť „Každá strana určí styčný bod k dispozici čtyřiadvacet hodin denně po sedm dní v týdnu, aby bylo možné poskytovat okamžitou pomoc pro účely vyšetřování nebo řízení ohledně trestných činů spojených s počítačovými systémy a daty, nebo pro shromažďování důkazů v elektronické formě o trestném činu. V souladu s článkem 35 Úmluvy je pro Českou republiku kontaktním místem Odbor informační kriminality Úřadu služby kriminální policie a vyšetřování Policejního prezidia České republiky.
6
PATRIA ONLINE: Počítačová kriminalita: Mezinárodní úmluva je konečně závazná i pro Česko [online]. [cit. 2015-07-21]. Dostupné z: http://www.patria.cz/pravo/2694193/pocitacova-kriminalitamezinarodni-umluva-je-konecne-zavazna-i-pro-cesko.html 7 Counsil of Europe: Treaty Office. Úmluva o počítačové kriminalitě: CETS č.: 185 [online]. [cit. 201507-21]. Dostupné z: http://www.microsofttranslator.com/BV.aspx?ref=IE8Activity
12
