Kémkedés, adatszivárogtatás, e-mail headerek

Nemrég kaptunk egy meglehetősen szokatlan munkát.

A megbízás arról szólt, hogy a megbízó cég vezetőjéhez eljutott egy e-mail (a tartalmából ítélve két dummy hotmail-es cím közötti hosszú levelezés egy részlete), amely meglepő módon igen szenzitív információkat tartalmazott a megbízó pályázatáról egy nagy beszerzéssel kapcsolatban. A megbízó arra kért, hogy találjuk meg, hogy tőlük küldték-e ki a levelet, vagy egyéb helyről szivárogtak ki az információk. Nagyon sürgős volt a munka, ugyanis aznap délután a megbízó megbeszélésre volt hivatalos a pályázattal kapcsolatban.

Az e-mail vizsgálata során végigmentünk a szokásos lépéseken: megnéztük a headereket, és hamar reménykedni kezdtünk, ugyanis a levelet nem a hotmail webes felületéről küldték, hanem az X-mailer mező tanúsága szerint 2003-as Outlookból, a Received mezők pedig elárulták, hogy egy t-online-os/ADSL-es cím volt az eredeti feladó. Egy nyom megvan, meg kell tudni, kié az ADSL végpont - ennél azonban egyértelműbb nyom is akadt a levélben: a Message-id mező.

A kiküldött leveleken szereplő message-id mező szerepe az, hogy a kliensek nyilván tudják tartani, hogy melyik levél melyikre érkezett válaszként. Implementációtól függően másként generálják az id-t a kliensek, a generált id jellemző a kliensre: míg pl. a Thunderbird az elküldött levél azonosítóját a "sender" mezőben szereplő e-mailcím domainjéből képzi (tehát a zsombor.kovacs@korbacs.hu cím azonosítója krikszkraksz@korbacs.hu lesz), a domainbe léptetett Outlook2003 meglepő módon fix domaineset ad: mégpedig azt a domaint, amelybe be van léptetve a gép. Jelen esetben a hotmail-es címről érkező levél message-id értéke krikszkraksz@XYZ.hu alakú volt, ahol az XYZ a megbízóval kapcsolatban álló pályázatíró cég neve. Erős volt tehát a gyanú, hogy valahonnét onnét jött ki a kérdéses levél.

További könnyítés, hogy az Outlook előzékenyen elküldi a munkaállomás NetBIOS nevét, így az első SMTP szerver jó eséllyel beleteszi az EHLO handshake után a továbbküldött fejlécbe - további nyomként megtalálható egy belső hálózati név is a fejlécben, ami alapján jó eséllyel azonosítható volt a küldő munkaállomás.

A vizsgálatokra rendelkezésre álló néhány óra eredményeképp annyi volt állítható, hogy nagy valószínűséggel egy olyan gépről küldték ki a levelet, amely be van léptetve egy, a pályázatíró cég nevével megegyező domainbe. A megbízó ennek megfelelően tudta alakítani tárgyalási stratégiáját.