OTEVŘENÉ INFORMAČNÍ ZDROJE IDENTIFIKACE ODESÍLATELE EMAILOVÉ POŠTY
JUDr. Štěpán Kalamár, Ph.D.
Foto: Ilustrační, Zdroj1
Anotace:
Příspěvek „Otevřené informační zdroje – identifikace odesílatele emailové pošty“
je pátým pokračováním seriálu příspěvků, který je věnován problematice vytěžování
dat z otevřených informačních zdrojů.
Klíčová slova:
Hoax, Malware, fiktivní faktura, vir, červ, trojský kůň, opatření proti hospodářské
kriminalitě.
1 Ilustrační foto viz http://www.otevrenadata.cz/res/images/logo.png
2
HOAX
Jedním z velmi častých nešvarů, který se na Internetu vyskytuje, je šíření
škodlivého kódu, tj. poplašných, nebezpečných a zbytečných řetězových zpráv, tzv.
hoaxů.2 Jako jeden příklad hoaxu za všechny, který byl šířen pomocí emailu
„BANKOMAT + PIN – může to být užitečné“, obr. č. 1., 2 Tento tip HOAXU měl
celkem 5 verzí.3
Obr. č. 1 - HOAX „V NOUZI ZADEJ PIN OPAČNĚ“
Obr. č. 2 – Obrázková verze hoaxu z roku 2014
2 HO@X: HOAX [online]. [cit. 2015-07-10]. Dostupné z: http://www.hoax.cz/cze/
3 HO@X: V NOUZI ZADEJ PIN OPAČNĚ [online]. [cit. 2015-07-13]. Dostupné z: http://www.hoax.cz/hoax/v-nouzi-zadej-pin-opacne/
3
Tato informace přirozeně není pravdivá! Všechny bankomaty jsou nastaveny
tak, že při výběru peněžní hotovosti po vložení karty do bankomatu a zadání PIN, je
požadavek v zakryptované podobě odeslán do autorizačního centra, kde dochází
k ověřování (porovnání) čísla platební karty a zadané hodnoty PIN proti parametrům
stejného = správného PIN kódu. Pokud jsou parametry shodné, transakce je,
po prověření limitu a dostatečného zůstatku hotovosti na účtu, povolena. Pokud se
liší, je požadavek zamítnut! Můžeme připustit výjimku, kdy by správný PIN měl
podobu např. 1221, 2332, 3443 atd. (opačně napsané čísla mají shodnou hodnotu)l.
Pak systém vyhodnotí zadaný PIN kód jako správný. Proto není od věci při autorizaci
platební karty a volbě PIN kódu, který chceme používat, mít tuto skutečnost na
paměti.
V důsledku chybně zadaného PIN kódu dochází k logování tohoto neúspěšného
pokusu o zadání PIN s tím, že při definovaném počtu povolených opakování může
dojít k vyčerpání tohoto limitu (počtu pokusů pro zadání správného PIN kódu) a
k zablokování platební karty v bankomatu.
2. případ MALWARE – „fiktivní faktura“
MALWARE je všeobecné označení pro škodlivý kód. Nejčastěji to může být
počítačový vir, červ nebo stále častěji Trojský kůň. Dříve se tyto škodlivé kódy šířily
přímo e-mailem. V dnešní době se ale stále více využívá sociální inženýrství, kdy
v textu e-mailu je pouze odkaz na tento škodlivý kód, který je připojen v příloze. Pod
záminkou, že odkaz směřuje na fakturu, popř. na zajímavý obrázek, video nebo e-
pohlednici nutí adresáta, aby přílohu otevřel. Pokud neopatrný uživatel na odkaz
klikne, stáhne si namísto faktury nebo slibovaných obrázků škodlivý kód.
Další případ škodlivého kódu Malware, který můžeme pracovně nazvat jako
„fiktivní faktura“ budu demonstrovat na svém příkladu (ze své vlastní zkušenosti).
Popíši postup, jakým způsobem lze zjistit, že se jedná o HOAX a jaký zvolit postup,
abyste si nezavirovali svůj počítač. Na mou emailovou adresu na Policejní akademii
v Praze [[email protected]) mi byla dne 9. 2. 2015 v 10:01 hod. doručena zpráva od
odesílatele „Pavla Wurdak [email protected]“, viz. obr. č. 3. Zpráva obsahuje
zazipovaný nebezpečný soubor [email protected].
4
Dobrý den, vážený kliente S politováním Vás informujeme že banka obdržela od společností UNIPRO SERVIS, spol. s r.o. u které jste dřív nakoupil na splátky a jíž obdržel následující zboží ========= HP LaserJet 4200DTN, bílá: 1 x 52 687,00 Kč =52 687,00 Kč GB 7VT600-RZ, Socket A, KT600/8235, FSB400,LAN,AC97,ATX,Bulk, bílá: 1 x 1 558,00 Kč =1 558,00 Kč ST373307LW 73.4GB U320 Wide 4.7ms 10000rpm 8MB Cache, bílá: 1 x 7 157,00 Kč =7 157,00 Kč ========= Vznesenýpožadavek o sráženi z bankovního účtu dlužníka neuhrazených včas splátek. Informujeme Vás o tom že podle znění ustanovení § 565 zákona 89/2012 Sb., obč. Zák., dlužník ztratí veškeré výhody splátek v případě, že dohodnutou splátku neuhradí řádně a včas . Je-li dlužník v prodlení s úhradou dohodnuté splátky v den její splatnosti, může prodejce v souladu s ustanovením § 565 obč. zák. žádat o zaplacení celé pohledávky do splatnosti nejblíže příští splátky, aniž by bylo rozhodné, zda dlužník splátku, se kterou byl v prodlení, po její splatnosti uhradil. Ve smyslu zákona 89/2012 Sb., obč. Zák. a na základě smluvního ujednání mezi prodejcem a kupujícím má prodejce nárok na strhnutí dlužné částky z účtu dlužníka. Pokud během následujících 7 pracovních dnů neobdržíme od věřitele potvrzení o jakékoliv formě vyrovnaní případně prodloužení dlužných splátek, musí banka dle výšeuvedeného odůvodnění učinit tak že dlužná částka bude shrnuta z vašeho bankovního účtu ve prospěch prodejce. V proloženém souboru zasíláme Vám kopie požadavku o strhnutí z bankovního účtu k nahlédnutí. S pozdravem Pavla Wurdak +420 602 590 384
Obr. č. 3 – plný text doručené emailové zprávy na adresu [email protected]
od odesílatele Pavla Wurdak [email protected]“.
Když pomineme skutečnost, že jsem si od společnosti UNIPRO SERVIS, spol.
s r.o. nikdy nic nezakoupil, natož na splátky, tak jak je třeba se chovat (postupovat)
při přijetí takovéto pochybné pošty. Zkusíme si definovat postup – pravidla:
5
1. Pravidlo, NIKDY, zdůrazňuji NIKDY neotvírat přílohu emailové pošty, abyste
se přesvědčili o tom, co je to za nesmysl! Způsobili by jste si tím zavirování
počítače!
2. pravidlo, na internetové adrese www.hoax.cz se můžeme podívat, zda tento
tip korespondence (HOAXU, MALWARE) již není zveřejněn s upozorněním,
že se jedná o škodlivý vir.
3. Pravidlo, abychom mohli s došlým emailem dále pracovat postupujeme tak,
že z doručené pošty zkopírujeme problematický email na plochu počítače
(pravým tlačítkem přetáhneme na plochu), viz obr. č. 4 a z došlé pošty tento
pochybný email odstraníme (smažeme).
Obr. č. 4 Přetažení (zkopírování emailu „Pavla Wurdak“ na plochu Pc
(+detail) a zabalit do souboru.rar nebo .zip (pravé tlačítko)
4. pravidlo, zobrazíme si záhlaví zprávy (Outlook 2013)
Podmínky pro zobrazení:
1. Zpráva musí být otevřena ve vlastním okně
2. Na kartě Soubor vyberte Vlastnosti, viz obr. č. 5
http://www.hoax.cz/
http://www.hoax.cz/malware
6
Záhlaví zobrazíme tak, že po kliknutí na došlou emailovou zprávu se nám zpráva
zobrazí v samostatném okně, viz obr. č. 5.
Obr. č. 5 Otevření došlé emailové zprávy ve vlastním okně (+ detail)
Po kliknutí na „SOUBOR“ se zobrazí nabídka „Informace-Uložit-Uložit jako-
Uložit přílohy-Vytisknout-Zavřít …“, viz obr. č. 6. Z obrázku je patrné, že je nutno
v menu „Informace“ zvolit „Vlastnosti“.
Obr. č. 6 Menu s možností volby Informace-Vlastnosti
7
Ve vlastnostech se zobrazí (červeně orámované pole) Internetová záhlaví, viz
obr. č. 7
Obr. č. 7 Menu s možností volby Informace-Vlastnosti
V dalším kroku už pak následuje zkopírování hlavičky do wordu a následné její
vyhodnocení! Ale nejprve k hlavičce e-mailové zprávy.
Co znamená hlavička neboli internetové záhlaví e-mailové zprávy?
Hlavička je neoddělitelná součást e-mailu, která by se dala přirovnat třeba
k nápisu na obálce. Obsahuje informace o odesílateli, o příjemci i o cestách, které
zpráva vykonala během cesty sítí Internet od odesílatele ke svému příjemci.
Vysvětlení vybraných údajů, které je možné nalézt v hlavičce:
Received - Adresa emailového serveru a IP adresa počítače, který email
odeslal Další Received - Ukazuje přes jaké servery šel email
k cílovému příjemci
Sender - určuje odesílatele zprávy, pokud je jiný, než je uvedeno
v položce "From".
Subject - Předmět zprávy From - Definuje adresa odesilatele ve
formátu „jméno“ nebo „adresa“
To - Definuje adresu příjemce
From - Adresa odesilatele
8
Date - Datum a čas odeslání zprávy ve formátu GMT
(př.: "Thu, 18 Jan 2001 16:44 +0100").
Received: from – přijaté od
Cc: - Kopie emailu (formát je shodný s „From“
Bcc: - Skrytá kopie (formát je shodný s „Cc“)
Jak číst hlavičku?
Hlavičku čteme naopak, tedy ne od shora dolů, ale odspodu nahoru. Zde je
několik nejdůležitějších prvků v hlavičce došlé emailové zprávy (čteno odspoda
nahoru – řazeno již odshora dolů) a jejich popis:
Received-SPF: Pass (protection.outlook.com: domain of agorapraha.cz designates
76.64.167.78 as permitted sender) receiver=protection.outlook.com;
client-ip=76.64.167.78; helo=transferfactormexico.net;
Authentication-Results: spf=pass (sender IP is 76.64.167.78)
[email protected]; polac.cz; dkim=none (message not signed)
header.d=none;
Subject: [email protected]
To: <[email protected]>
From: Pavla Wurdak <[email protected]>
Date: Mon, 9 Feb 2015 04:01:02 -0500
Received: from transferfactormexico.net (76.64.167.78) by
AM1FFO11FD048.mail.protection.outlook.com (10.174.65.211) with Microsoft SMTP
Server id 15.1.87.10 via Frontend Transport; Mon, 9 Feb 2015 09:03:31 +0000
Z výtahu hlavičky zjišťujeme IP adresu počítače, ze kterého byla e-mailová pošta
odeslána, předmět zprávy, komu bylo adresováno a kdy – v kolik hodin byla zpráva
doručena.
5. pravidlo, lokalizace IP adresy odesílajícího počítače
Nás zajímá IP adresa počítače [ 76.64.167.78 ]. Na níže uvedené adrese zadáme
internetovou adresu vyhledávače IP adres a pokusíme se lokalizovat server, odkud
nám e-mailová pošta byla doručena, viz obr. č. 8, 9.
9
Obr. č. 8 – Lokalizace IP adresy 76.64.167.78
Obr. č. 9 – Lokalizace IP adresy 76.64.167.78
Výsledek Ottawa, Elgin Street, Bell Canada
Kitchener Sympatico Hse
10
Classless Inter-Domain Routing (CIDR)4 je v počítačových sítích metoda
směrování, která se v TCP/IP (tj. i v Internetu) používá pro rozdělení velkých sítí
na podsítě. Spočívá v možnosti zvolit pro každou podsíť specifickou masku sítě,
která definuje rozsah IP adres, které je možné v této podsíti používat. CIDR je
nástupce dnes již nepoužívaného systému tříd IP adres. Byl představen IETF v roce
1993.
CIDR přinesl do adresace dva nové principy:
délka adresy sítě je libovolná
adresy se přidělují hierarchicky, což umožňuje agregaci směrování
Organizace přidělování adres
Reorganizován byl i proces přidělování IP adres. Nyní je přidělují takzvaní lokální
registrátoři (LIR, Local Internet Registry), kteří garantují dodržování stanovené
procedury a pravidel, včetně agregace adres a přidělování prefixů odpovídající délky.
Tuto roli typicky hrají poskytovatelé Internetu.
Jim přidělují adresní prefixy do správy regionální registrátoři (RIR, Regional
Internet Registry), kteří koordinují správu adres v přidělené oblasti. RIR zároveň
stanovují pravidla a adresní politiky pro danou oblast. Vycházejí přitom z názorů
svých členů, kterými jsou lokální registrátoři. V současnosti je Internet rozdělen mezi
pět regionálních registrátorů:
AfriNIC - Afrika
APNIC - Asie a Austrálie (pacifická oblast)
ARIN - Severní Amerika
LACNIC - Jižní (latinská) Amerika
RIPE NCC – Evropa.
Z obr. č. 9 je patrné, že regionálním registrátorem hledané IP adresy je „ARIN“ –
Severní Amerika, konkrétně pak firma „Bell Canada“, 160 Elgin Street Ottawa. Co
4 Classless Inter-Domain Routing. Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2015-07-20]. Dostupné z: https://cs.wikipedia.org/wiki/Classless_Inter-Domain_Routing
11
je pro nás důležité, že rozsah sítě (NetRange) je od čísla 76.64.0.0 až
76.761.255.255. Pokud bychom chtěli znát uživatele, kterému byla hledaná IP
adresa přidělena, musíme dále znát přesný čas připojení odesílatele – odeslání
podezřelého e-mailu. V našem případě je to:
Date: Mon. 9 Feb 2015 04:01:02 -0500
Čas doručení emailové pošty je pak
Received: from Mon. 9 Fef 2015 09:03:31 +0000
Tyto údaje budou důležité, pokud se příslušný státní orgán obrátí na Kanadu
k poskytnutí identifikačních údajů podle čl. 35 Úmluvy o počítačové kriminalitě5.
V tomto okamžiku vytěžování otevřených informačních zdrojů končí a musí
nastoupit profesionální práce policie! Úmluva definuje skutky, které musí členské
státy stíhat. Jde o následující okruhy trestných činů:
Trestné činy týkající se počítačových dat (neoprávněný přístup k počítači a
neoprávněný odposlech dat, zasahování do dat a do počítačového sytému,
zneužívání zařízení, zpřístupnění zařízení k páchání této trestné činnosti).
Trestné činy související s počítačem (padělání s pomocí počítače, počítačové
podvody).
Trestné činy související s obsahem dat (dětská pornografie).
Trestné činy související s porušením autorských práv.
Kromě vymezení skutkových podstat se Úmluva věnuje otázkám procesního
práva a stanoví členským státům povinnosti v oblasti vyšetřovacích postupů. Členské
státy jsou zejména povinny přijmout opatření, aby byla zajištěna možnost
urychleného uchování a zpřístupnění uložených počítačových dat, vydání příkazu
k předložení, prohlídky a zajištění uložených počítačových dat, shromažďování dat
v reálném čase či odposlouchávání dat. V Úmluvě je řešena i mezinárodní
spolupráce členských států. V případech, kdy státy mají uzavřenou již jinou
5 Sbírka mezinárodních smluv Česká republiky, částka 56/2013, dostupné na: http://www.epravo.cz/_dataPublic/sbirky/2013/sb0056-2013m.pdf
12
mezinárodní smlouvu o právní pomoci a vydávání, tak je tato Úmluva podpůrným
pramenem.6
Ke dni 21. 7. 2015 je celkem 47 členských států, kteří Úmluvu podepsalo a i
ratifikovalo (Česká republika Úmluvu podepsala dne 9. 2. 2005, ratifikovala po 8mi
letech dne 22. 8. 20013 a v platnost vstoupila dne 1. 12. 2013). U 7mi států ještě
neproběhla následná ratifikace Úmluvy.7 Kanada jako člen Rady Evropy tuto Úmluvu
ratifikovala dne 8. 7. 2015.
Důležité ustanovení Úmluvy o počítačové kriminalitě je článek 35, kterým je,
vytvoření kontaktních míst k dispozici 24 hodin denně, sedm dní v týdnu, usnadnit
mezinárodní spolupráci: Článek 35 - 24/7 Síť „Každá strana určí styčný bod k
dispozici čtyřiadvacet hodin denně po sedm dní v týdnu, aby bylo možné poskytovat
okamžitou pomoc pro účely vyšetřování nebo řízení ohledně trestných činů
spojených s počítačovými systémy a daty, nebo pro shromažďování důkazů v
elektronické formě o trestném činu. V souladu s článkem 35 Úmluvy je pro Českou
republiku kontaktním místem Odbor informační kriminality Úřadu služby kriminální
policie a vyšetřování Policejního prezidia České republiky.
6 PATRIA ONLINE: Počítačová kriminalita: Mezinárodní úmluva je konečně závazná i pro Česko [online]. [cit. 2015-07-21]. Dostupné z: http://www.patria.cz/pravo/2694193/pocitacova-kriminalita-mezinarodni-umluva-je-konecne-zavazna-i-pro-cesko.html
7 Counsil of Europe: Treaty Office. Úmluva o počítačové kriminalitě: CETS č.: 185 [online]. [cit. 2015-07-21]. Dostupné z: http://www.microsofttranslator.com/BV.aspx?ref=IE8Activity