No repudio en Exchange / Outlook sin firmas digitales

A menos que haya alguna configuración especial con la que no esté familiarizado:

1. usuario de Joe. Hay una función Edit , escondida allí debajo de Other Actions (en Outlook 2007, al menos ...). Tenga en cuenta que solo puede ver esto cuando lo abre en la vista completa del mensaje y no en el panel de vista previa (como normalmente lo leo ...). Tenga en cuenta también que esto no está disponible a través de OWA.
   Puede ser posible configurar los buzones de correo de Exchange para evitar eso, pero no estoy familiarizado con tal configuración (y no tengo Exchange a la mano en este momento para verificar, lo siento). Reedición: es una buena pregunta, qué partes pueden modificarse: el sujeto / cuerpo / adjuntos son fáciles. Los destinatarios y las marcas de tiempo no están habilitados por la interfaz de usuario de Outlook, por lo que al menos JoeUser no se entretendrá con esos campos tan fácilmente ... Sin embargo, estoy seguro de que es posible modificarlos, usando otras herramientas (o editando directamente el archivo). ), pero no estoy familiarizado con eso. También tenga en cuenta la adición en el siguiente punto ...

2. Outlook! :)
   Por otro lado, no he investigado en profundidad sobre los formatos de archivo ni sobre el análisis forense: es posible que Outlook rastree los cambios en los mensajes recibidos, dentro del archivo.
   Además, tenga en cuenta que asumo que estamos hablando de mensajes recibidos , no enviados, es trivial falsificar cualquier tipo de mensaje enviado reclamado, sin enviarlo realmente.
   Además de lo anterior, tenga en cuenta que si el correo electrónico no está firmado, es sencillo enviarse un mensaje de correo electrónico falso, que dice ser de cualquier otro usuario que desee. En ese momento, por supuesto, puede falsificar cualquier parte del correo electrónico que desee. (Sin embargo, esto depende de su configuración de Exchange: de manera predeterminada, es posible enviar mensajes SMTP casi arbitrarios, aunque, por supuesto, esto se puede cambiar, como debería ser).

3. No puede, en ninguna dirección. Excepto, quizás, un estricto régimen de respaldo. "Por supuesto, eso sería un montón de trabajo alucinante, para mostrar los mensajes exactos y probar que fue el mensaje recibido originalmente. Probablemente, esto solo podría hacerse correctamente si las copias de seguridad se configuraron correctamente. en primer lugar (es decir, haga una copia de seguridad del mensaje como se recibió y no solo lo que el usuario hace en su bandeja de entrada). Además, no estoy incluyendo aquí ninguna forma de comportamiento forense ...

Pero hay una razón por la que se requieren firmas digitales.

Esta configuración no proporciona no repudio. El no repudio es muy difícil de lograr y, según lo que oigo, no estás cerca de ello.

Según su descripción, no podrá probar la validez de los correos electrónicos solo a través de argumentos técnicos. Tendrá que utilizar argumentos no técnicos. Es posible que encuentre otros testigos para testificar lo que hay en los correos electrónicos. Podría argumentar que lo que hay en los correos electrónicos es consistente con otras fuentes de evidencia: idealmente, podría mostrar una constelación de evidencia entrelazada que sea tan abrumadora, coherente y diversa que no haya otra interpretación plausible.

Pero la colección de correo electrónico en el servidor no prueba nada. Se podría haber modificado, por lo que sabe: al menos, no puede descartarlo razonablemente, en función de la información que nos proporcione aquí.

En primer lugar, estoy interpretando que su pregunta significa que los usuarios finales no usarán firmas digitales. No se les puede molestar, etc. Respondo a esto con el uso de firmas no interactivas en el servidor que el usuario final nunca vería ni se vería afectado por.

Pregunta 1: ... ¿qué tan fácil es para los empleados sospechosos alterar las pruebas de correo electrónico no firmadas ... en su Bandeja de entrada? ... en su archivo PST?

Como el usuario tiene el control para editar cualquier cosa en su máquina local, y para eliminar o crear elementos a voluntad en el servidor, uno debe asumir que es trivial.

Pregunta 2: ¿Qué tipo de herramientas podrían usarse para modificar esta evidencia de correo electrónico no firmada? (O, ¿se puede hacer fácilmente sin herramientas especializadas?)

Un editor de texto, un editor hexadecimal o incluso el propio Outlook pueden ser opciones.

Pregunta 3: ¿Cómo puede Acme Corp. defender (o refutar) la validez de los correos electrónicos no firmados?

Todo lo que se envíe a través de Exchange debe ser enviado por un cliente autenticado o por SMTP. Sus usuarios internos no deben utilizar SMTP. No permitiría que ningún reclamo de ser uno de sus usuarios sea recibido o reenviado en su servidor de Exchange a través de SMTP. Me gustaría registrar cualquier correo electrónico que se envíe desde su empresa. Si firma correos electrónicos secuencialmente con la firma del último correo electrónico incluido en el texto que se firmó para el próximo correo electrónico, puede crear una cadena que pruebe al menos el orden en que se enviaron los correos electrónicos. Esto puede ayudar a mostrar de manera confiable la hora en que se envió un correo electrónico y evitará que alguien modifique o elimine algo en el pasado sin que se detecte en la cadena.

Si toma el paso de guardar y firmar cada correo electrónico y solo permite enviar correos electrónicos a través del servidor por medios autenticados, entonces cualquier correo electrónico enviado a través del servidor debe ser verificable. También puede verificar que no se eliminaron correos electrónicos posteriormente. Restos de posibles ataques:

• Las credenciales de un usuario están comprometidas. El correo electrónico parece ser legítimamente de ellos.
• Alguien envía un correo electrónico a través de otro servidor. Su cliente / cliente / etc. no se da cuenta de esto.
• Alguien con el control del servidor envía un correo electrónico y de alguna manera lo elimina de la cola de firma.

Pregunta 3 (Parte 1):

Si el mensaje fue enviado entre dos compañías, o entre dos relés SMTP que usan DKIM (una herramienta antispam), puede haber una firma digital secreta de la que no estén al tanto.

Es decir, se puede probar que un mensaje no se modificó si el mensaje tiene una firma DKIM y se pasa. Esta es una firma oculta que la mayoría de las personas no piensa que no está relacionada con SMIME y que a menudo se incluye en secreto en los mensajes. Por ejemplo, Yahoo y GMail DKIM firman todos los mensajes salientes sin el conocimiento de los remitentes o destinatarios. Dependiendo de su situación, es posible que los mensajes que le preocupan estén firmados por DKIM, pero usted o su cliente desconocen la presencia de esta firma.

Solo debes saber que una firma DKIM

• ... no es SMIME (a menudo llamada firma digital)
• ... no se mostrará en los navegadores web / Outlook incluso si existe
• ... es una herramienta utilizada en tecnologías antispam
• ... no puede firmar todo el mensaje, o una parte del mismo (a través del parámetro -l, u omitiendo los encabezados clave del mensaje)
• ... Puede fallar si un servidor SMTP intermedio modifica el mensaje (listas de correo, reenviadores SMTP, etc.)

En general, un mensaje DKIM firmado pasará si no se modifica. Si falla un mensaje DKIM, existe una pequeña posibilidad de que un ingeniero / desarrollador de correo electrónico capacitado pueda hacer que la encriptación se "pase" si la falla se debe únicamente a problemas de infraestructura.

TL; DR : un mensaje DKIM firmado que pasa Y firma el de, el, el asunto y el cuerpo significa que el mensaje no se modificó. Un fallo de DKIM no significa nada (mal intento o de otra manera).

(Parte 2)

Fuera de un pase DKIM, no es posible probar que los mensajes no fueron manipulados en esta situación. Sin embargo, puede haber una manera de detectar alteraciones observando las propiedades MAPI del mensaje. Para empezar, la propiedad "Encabezado" contendrá el asunto original si la línea del asunto fue editada.

Si se modificó el mensaje, hay varias marcas de Fecha / Hora internas que pueden actualizarse y, según la versión de Outlook, el nombre de usuario que modificó el mensaje también se almacena en el mensaje. La última vez que investigué esto, hubo una diferencia entre los campos que se actualizaron durante un movimiento de mensaje (de una carpeta a otra) en comparación con hacer clic con el botón derecho y editar el mensaje (o marcarlo como leído).

El cuerpo del mensaje se almacena en al menos dos ubicaciones en un mensaje MAPI: la versión de texto sin formato, una versión de texto enriquecido y el original. Es posible que una versión editada del mensaje actualice una (pero no todas) las instancias del mensaje.

Si el mensaje reside en la base de datos del servidor de Exchange, el mensaje puede residir en una o más "secuencias". Estos flujos de mensajes existen para el uso exclusivo de MAPI u OWA y, a veces, no están sincronizados. Esto puede suceder si se modifica un mensaje y "promoción de propiedad" podría arrojar luz sobre un mensaje modificado.

Habiendo dicho eso, fuera de DKIM o SMIME no hay nada que pruebe que un mensaje no fue modificado , sin embargo, podría haber una manera de probar que fue modificado.

La herramienta que necesita para investigar estas propiedades de bajo nivel se llama MFCMapi .