Perícia e investigação de vazamento de informações por e-mail↑ voltar ao topo ↑
A recuperação de e-mails em arquivos storage PST é há muito tempo discutida
em 09/01/2014 às 11h11Palavras-chave: e-mailsredes sociais


Não restam dúvidas que o serviço de e-mails é muito utilizado por insiders ou colaboradores para a prática de concorrência desleal ou para a cópia indevida de informações corporativas, com a remessa para fora da empresa de dados, softwares, bancos de dados, dentre outros ativos. Logicamente, um atacante vai preferir um dispositivo de armazenamento para gigabytes de informações, mas não se pode descartar a cópia discreta de códigos e pequenas quantidades de informação remetidas via e-mail.

Isto pode ocorrer via webmail ou e-mail desktop. Dois conhecidos clientes Desktop são o Outlook e Thunderbird. Certamente, diante de uma possível fraude, o agente lidará com recuperação de mensagens nestes sistemas. Considere também que a empesa possa não ter um servidor ou backup centralizado, mas que as estações (incluindo a do suspeito) tenha seu próprio arquivo storage de mensagens. Um risco!

A recuperação de e-mails em arquivos storage PST é há muito tempo discutida na comunidade forense. Embora tenhamos muitas ferramentas, vale conhecer uma técnica interessante: com um editor hexa e um pouco de sorte é possível recuperar e-mails permanentemente deletados, desde a última compactação do arquivo lote.

Um método incerto (pois depende de uma série de fatores) mas muito difundindo na investigação forense e auditoria digital é o da corrupção da tabela de conteúdo (Table of Contents TOC, uma espécie de MFT dos e-mails) para ser tratada com o utilitário scanpst.exe (Windows). A TOC é usada para determinar a localização de uma mensagem de e-mail. Quando a mensagem é apagada o conteúdo continua no storage (white space) mas a referencia é removida da TOC, logo, a mensagem de e-mail “some”.

Quando o scanpst atua em um arquivo corrompido ele repara a TOC e não toma conhecimento das mensagens deletadas, trazendo o conteúdo à tona. Nem todas as mensagens podem retornar. Preenchendo com espaços (hexa: 20) a coluna de 7 a 13 e depois reparando o PST com o scanpst, existe a possibilidade da recuperação de algumas mensagens. Para mais informações, acesse.

Mas nem tudo é Microsoft.

Recentemente, nos deparamos com uma perícia e investigação para a qual era necessário recuperar mensagens apagadas em um mailer Thunderbird, da Mozilla. Supostamente, um colaborador estava remetendo informações para fora da empresa. Mas por que ele não acessou um webmail e enviou dele para ele mesmo? Não nos cabe julgar a perspicácia do insider.

É claro que o Postfix tinha muito a dizer, assim como o servidor de e-mails, mas é sempre útil corroborar evidências com outras fontes, como por exemplo, a tão almejada mensagem enviada e apagada no mailer instalado na máquina.

Uma técnica interessante é descrita por Tina Sieber neste link. Basicamente, temos que coletar os arquivos de lote (mdf), comumente localizados em  C:\Documents and Settings\YOUR USER NAME\Application Data\Thunderbird\Profiles em sistemas Windows. (Lembrando que é preciso habilitar a exibição da pasta Application Data, que é oculta)

Geralmente buscamos o Inbox.mdf, mas neste caso o interessante é acessar o arquivo Inbox sem qualquer extensão. Abra o arquivo no Notepad.exe e vá tomar um café, pois vai demorar. Pode ser que o notepad trave. Lembrando que estamos tratando de uma mensagem apagada, com lixeira do mailer limpa, onde já coletamos o arquivo de lote.

No arquivo aberto, poderemos então buscar pelo e-mail apagado pelo concorrente desleal e alterar a expressão  X-Mozilla-Status para 0000. Comumente em um e-mail apagado estará “X-Mozilla-Status: 0009 ou "0001". Alteremos para 0000.

From - Wed Sep 26 09:07:26 2012
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00800000
X-Mozilla-Keys:                                                                                
Message-ID: <5062EFE3.8000501@xxxx.com.br>
Date: Wed, 26 Sep 2012 09:06:59 -0300
From: xxxx <remetente@xxx.com.br>
User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
MIME-Version: 1.0
To: destinatario@xxxx.xom.br
Subject: teste
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

Basta salvar e reabrir o Thunderbird. Mensagens recuperadas! Lembrando que a técnica vale apenas se o suspeito não compactou as pastas. Se houver compactado, passamos para o próximo passo. Talvez seja interessante uma ferramenta da mitec http://www.mitec.cz/mailview.html   para buscas mais apuradas (visualização).

Aproveito e indico a lista de ferramentas de Derek Newton para análises forenses, disponível aqui.  Um excelente vídeo sobre Forense em Thunderbird usando o Autopsy pode ser visto no YouTube - detalhe que o Autor usa um Autopsy para Windows.

Igualmente, um addon útil ao perito ao manipular e-mails no Thunderbird
pode ser este.

Por fim, cumpre destacar que no curso preparatório para CHFI somos apresentados à ferramenta Stellar Phoenix Mail Recovery. Nunca tinha usado até precisar... Realmente excelente ferramenta e que otimiza a análise e recuperação de mensagens de arquivos storage de diversos mailers, dentre os quais Outlook e Thunderbird.


Últimas notícias
Ver todas
Últimos vídeos
Ver todos
Redes Sociais