Mensajes

Muchas gracias por la respuesta,

Finalmente logré hacerlo y comprobar que era posible sin dejar rastro aparente en el servidor. Habría que ver los UID para saber que algo ha cambiado porque ni las trazas, ni las cabeceras ni nada se ve alterado al meter cambios.

Saludos

Busca en google: email forensic analysis imap

Hay muchas cosas que mirar como para comentarlo todo por aquí.

Yo empezaría por dumpear la actividad de la cuenta en donde se recibieron los correos y comprobar la fecha a ver si ves algo raro.

Dumpeo los emails si no los tienes con Google Takeout en formato MBOX (texto plano). Después puedes ir haciendo cat y greep a los archivos desde la terminal para buscar los metadatos. Tienes herramientas como diff y radare2 que te permiten comparar correos del mismo remitente para analizar otros correos y comprobar si hay alguna diferencia en donde no debería haberla. Esta última herramienta te permite hashear bloque a bloque y comparar si el hash es diferente. Esto respecto a lo referente de análisis manual.

Normalmente esto se suele hacer con herramientas automatizadas para analizar dumps grandes. Si solo es un correo mejor hacerlo manual.

Presta especial atención al contenido del body que se suele omitir. Puedes encotrar diferencias en el propio estilo del correo. Por ponerte un ejemplo, puede que yo siempre use saltos de líneas tras cada oración en todos mis correos profesionales. Si tienes dudas de que un correo que te llego mío es suplantado, podrías revisar todos los correos que te envié y encontrar este tipo de incongruencias o indicios que van sumando credibilidad sobre la exaustibidad del análisis y por ende de la credibilidad del mismo.

Chequea si el UID está desordenado. El x-mail (es como el user agent del navegador), el time zone desde donde se envió el correo, las extensiones(metadatos), formatos del email por si usara un encoding distinto, el recipiente y si la dirección de respuesta coincide, el hash del email y en las cabeceras ARC puedes ver la firma del email que envio el email y todos los servidores que hicieron forward para que llegase al cliente. 

[corporativo]

Buenas,

Sirva este primer mensaje como presentación. Estudié ingeniería informática y he empezado a interesarme por el mundo del hacking a raíz de varias peticiones de abogados para realización de peritajes. Por lo general es extraer información sobre fotos y vídeos que, hasta ahora, era capaz de responder. Lo último ya me ha resultado más difícil y a la vez me ha generado más curiosidad.

La cuestión es que se me pide hacer un contraperitaje en un caso en el que una persona que utiliza correo corporativo de GMAIL recibe un mensaje con adjuntos. Ese adjunto es un certificado falsificado (esto está claro por el CSV, no han tenido la más mínima vergüenza a la hora de reutilizar un CSV cambiando texto en el PDF). La cuestión es que dicen que han recibido el archivo tal cual. El perito en cuestión analiza cabeceras y demás y llega a la conclusión de que el correo es íntegro y que fue recibido así. Toca hacer un contraperitaje y poner en duda la veracidad del correo.

Lo podemos hacer fácilmente de forma indirecta porque ellos se apoyan en que el correo proviene a su vez reenviado de otra persona. Aquí es dónde podemos entrar porque eso sí que es texto puro y duro que se puede manipular fácilmente por parte del que les envía el correo. Creo que aquí el perito se ha columpiado al dar por buena la fecha y dirección del reenvío sólo con el típico texto que aparece en el cuerpo del mensaje. Pero claro, esto sería una forma válida pero que a mí me deja un regusto soso.. necesito saber técnicamente más.

Por lo tanto, empiezo a hacer pruebas y me envío correos a mi buzón corporativo en GMAIL y abro el correo con Outlook. Desde allí puedo cambiar texto, subject e incluso los adjuntos. Se sincroniza de nuevo la carpeta IMAP y ahí está el correo con la fecha original y todo. Por supuesto, esto cambia ciertas cosas de la cabecera como los "hops" por los que pasó el correo original. Imagino que esto es metainformación que Outlook cambia y mete en la cabecera pero me hace pensar si existirá una forma de modificar contenidos de un correo sin que se "note" tan exageradamente el cambio en la cabecera.

La pregunta surge porque, según he leído, hay un parámetro que aseguraría que el mail ha sido manipulado y es el UID del correo ya que, al modificarlo, GMAIL elimina el correo original y crea una copia exacta pero con un UID distinto. Este UID al ser correlativo y automático, hace que el correo modificado y la fecha ya no cuadren... En definitiva ese UID no sería problema ya que el perito no lo ha tenido en cuenta... pero vamos, que el contraperitaje está en marcha y es válido, pero quiero saber más...

¿Alguna utilidad, aplicación o algo que me permita hacer esas pruebas?

GRacias