OTEVŘENÉ INFORMAČNÍ ZDROJE IDENTIFIKACE ODESÍLATELE EMAILOVÉ POŠTY

JUDr. Štěpán Kalamár, Ph.D.

Foto: Ilustrační, Zdroj1

Anotace:

Příspěvek „Otevřené informační zdroje – identifikace odesílatele emailové pošty“

je pátým pokračováním seriálu příspěvků, který je věnován problematice vytěžování

dat z otevřených informačních zdrojů.

Klíčová slova:

Hoax, Malware, fiktivní faktura, vir, červ, trojský kůň, opatření proti hospodářské

kriminalitě.

1 Ilustrační foto viz http://www.otevrenadata.cz/res/images/logo.png

2

HOAX

Jedním z velmi častých nešvarů, který se na Internetu vyskytuje, je šíření

škodlivého kódu, tj. poplašných, nebezpečných a zbytečných řetězových zpráv, tzv.

hoaxů.2 Jako jeden příklad hoaxu za všechny, který byl šířen pomocí emailu

„BANKOMAT + PIN – může to být užitečné“, obr. č. 1., 2 Tento tip HOAXU měl

celkem 5 verzí.3

Obr. č. 1 - HOAX „V NOUZI ZADEJ PIN OPAČNĚ“

Obr. č. 2 – Obrázková verze hoaxu z roku 2014

2 HO@X: HOAX [online]. [cit. 2015-07-10]. Dostupné z: http://www.hoax.cz/cze/

3 HO@X: V NOUZI ZADEJ PIN OPAČNĚ [online]. [cit. 2015-07-13]. Dostupné z: http://www.hoax.cz/hoax/v-nouzi-zadej-pin-opacne/

3

Tato informace přirozeně není pravdivá! Všechny bankomaty jsou nastaveny

tak, že při výběru peněžní hotovosti po vložení karty do bankomatu a zadání PIN, je

požadavek v zakryptované podobě odeslán do autorizačního centra, kde dochází

k ověřování (porovnání) čísla platební karty a zadané hodnoty PIN proti parametrům

stejného = správného PIN kódu. Pokud jsou parametry shodné, transakce je,

po prověření limitu a dostatečného zůstatku hotovosti na účtu, povolena. Pokud se

liší, je požadavek zamítnut! Můžeme připustit výjimku, kdy by správný PIN měl

podobu např. 1221, 2332, 3443 atd. (opačně napsané čísla mají shodnou hodnotu)l.

Pak systém vyhodnotí zadaný PIN kód jako správný. Proto není od věci při autorizaci

platební karty a volbě PIN kódu, který chceme používat, mít tuto skutečnost na

paměti.

V důsledku chybně zadaného PIN kódu dochází k logování tohoto neúspěšného

pokusu o zadání PIN s tím, že při definovaném počtu povolených opakování může

dojít k vyčerpání tohoto limitu (počtu pokusů pro zadání správného PIN kódu) a

k zablokování platební karty v bankomatu.

2. případ MALWARE – „fiktivní faktura“

MALWARE je všeobecné označení pro škodlivý kód. Nejčastěji to může být

počítačový vir, červ nebo stále častěji Trojský kůň. Dříve se tyto škodlivé kódy šířily

přímo e-mailem. V dnešní době se ale stále více využívá sociální inženýrství, kdy

v textu e-mailu je pouze odkaz na tento škodlivý kód, který je připojen v příloze. Pod

záminkou, že odkaz směřuje na fakturu, popř. na zajímavý obrázek, video nebo e-

pohlednici nutí adresáta, aby přílohu otevřel. Pokud neopatrný uživatel na odkaz

klikne, stáhne si namísto faktury nebo slibovaných obrázků škodlivý kód.

Další případ škodlivého kódu Malware, který můžeme pracovně nazvat jako

„fiktivní faktura“ budu demonstrovat na svém příkladu (ze své vlastní zkušenosti).

Popíši postup, jakým způsobem lze zjistit, že se jedná o HOAX a jaký zvolit postup,

abyste si nezavirovali svůj počítač. Na mou emailovou adresu na Policejní akademii

v Praze [kalamar@polac.cz) mi byla dne 9. 2. 2015 v 10:01 hod. doručena zpráva od

odesílatele „Pavla Wurdak dluh@agorapraha.cz“, viz. obr. č. 3. Zpráva obsahuje

zazipovaný nebezpečný soubor kalamar@polac.cz.rar.

4

Dobrý den, vážený kliente S politováním Vás informujeme že banka obdržela od společností UNIPRO SERVIS, spol. s r.o. u které jste dřív nakoupil na splátky a jíž obdržel následující zboží ========= HP LaserJet 4200DTN, bílá: 1 x 52 687,00 Kč =52 687,00 Kč GB 7VT600-RZ, Socket A, KT600/8235, FSB400,LAN,AC97,ATX,Bulk, bílá: 1 x 1 558,00 Kč =1 558,00 Kč ST373307LW 73.4GB U320 Wide 4.7ms 10000rpm 8MB Cache, bílá: 1 x 7 157,00 Kč =7 157,00 Kč ========= Vznesenýpožadavek o sráženi z bankovního účtu dlužníka neuhrazených včas splátek. Informujeme Vás o tom že podle znění ustanovení § 565 zákona 89/2012 Sb., obč. Zák., dlužník ztratí veškeré výhody splátek v případě, že dohodnutou splátku neuhradí řádně a včas . Je-li dlužník v prodlení s úhradou dohodnuté splátky v den její splatnosti, může prodejce v souladu s ustanovením § 565 obč. zák. žádat o zaplacení celé pohledávky do splatnosti nejblíže příští splátky, aniž by bylo rozhodné, zda dlužník splátku, se kterou byl v prodlení, po její splatnosti uhradil. Ve smyslu zákona 89/2012 Sb., obč. Zák. a na základě smluvního ujednání mezi prodejcem a kupujícím má prodejce nárok na strhnutí dlužné částky z účtu dlužníka. Pokud během následujících 7 pracovních dnů neobdržíme od věřitele potvrzení o jakékoliv formě vyrovnaní případně prodloužení dlužných splátek, musí banka dle výšeuvedeného odůvodnění učinit tak že dlužná částka bude shrnuta z vašeho bankovního účtu ve prospěch prodejce. V proloženém souboru zasíláme Vám kopie požadavku o strhnutí z bankovního účtu k nahlédnutí. S pozdravem Pavla Wurdak +420 602 590 384

Obr. č. 3 – plný text doručené emailové zprávy na adresu Kalamar@polac.cz

od odesílatele Pavla Wurdak dluh@agorapraha.cz“.

Když pomineme skutečnost, že jsem si od společnosti UNIPRO SERVIS, spol.

s r.o. nikdy nic nezakoupil, natož na splátky, tak jak je třeba se chovat (postupovat)

při přijetí takovéto pochybné pošty. Zkusíme si definovat postup – pravidla:

5

1. Pravidlo, NIKDY, zdůrazňuji NIKDY neotvírat přílohu emailové pošty, abyste

se přesvědčili o tom, co je to za nesmysl! Způsobili by jste si tím zavirování

počítače!

2. pravidlo, na internetové adrese www.hoax.cz se můžeme podívat, zda tento

tip korespondence (HOAXU, MALWARE) již není zveřejněn s upozorněním,

že se jedná o škodlivý vir.

3. Pravidlo, abychom mohli s došlým emailem dále pracovat postupujeme tak,

že z doručené pošty zkopírujeme problematický email na plochu počítače

(pravým tlačítkem přetáhneme na plochu), viz obr. č. 4 a z došlé pošty tento

pochybný email odstraníme (smažeme).

Obr. č. 4 Přetažení (zkopírování emailu „Pavla Wurdak“ na plochu Pc

(+detail) a zabalit do souboru.rar nebo .zip (pravé tlačítko)

4. pravidlo, zobrazíme si záhlaví zprávy (Outlook 2013)

Podmínky pro zobrazení:

1. Zpráva musí být otevřena ve vlastním okně

2. Na kartě Soubor vyberte Vlastnosti, viz obr. č. 5

http://www.hoax.cz/

http://www.hoax.cz/malware

6

Záhlaví zobrazíme tak, že po kliknutí na došlou emailovou zprávu se nám zpráva

zobrazí v samostatném okně, viz obr. č. 5.

Obr. č. 5 Otevření došlé emailové zprávy ve vlastním okně (+ detail)

Po kliknutí na „SOUBOR“ se zobrazí nabídka „Informace-Uložit-Uložit jako-

Uložit přílohy-Vytisknout-Zavřít …“, viz obr. č. 6. Z obrázku je patrné, že je nutno

v menu „Informace“ zvolit „Vlastnosti“.

Obr. č. 6 Menu s možností volby Informace-Vlastnosti

7

Ve vlastnostech se zobrazí (červeně orámované pole) Internetová záhlaví, viz

obr. č. 7

Obr. č. 7 Menu s možností volby Informace-Vlastnosti

V dalším kroku už pak následuje zkopírování hlavičky do wordu a následné její

vyhodnocení! Ale nejprve k hlavičce e-mailové zprávy.

Co znamená hlavička neboli internetové záhlaví e-mailové zprávy?

Hlavička je neoddělitelná součást e-mailu, která by se dala přirovnat třeba

k nápisu na obálce. Obsahuje informace o odesílateli, o příjemci i o cestách, které

zpráva vykonala během cesty sítí Internet od odesílatele ke svému příjemci.

Vysvětlení vybraných údajů, které je možné nalézt v hlavičce:

Received - Adresa emailového serveru a IP adresa počítače, který email

odeslal Další Received - Ukazuje přes jaké servery šel email

k cílovému příjemci

Sender - určuje odesílatele zprávy, pokud je jiný, než je uvedeno

v položce "From".

Subject - Předmět zprávy From - Definuje adresa odesilatele ve

formátu „jméno“ nebo „adresa“

To - Definuje adresu příjemce

From - Adresa odesilatele

8

Date - Datum a čas odeslání zprávy ve formátu GMT

(př.: "Thu, 18 Jan 2001 16:44 +0100").

Received: from – přijaté od

Cc: - Kopie emailu (formát je shodný s „From“

Bcc: - Skrytá kopie (formát je shodný s „Cc“)

Jak číst hlavičku?

Hlavičku čteme naopak, tedy ne od shora dolů, ale odspodu nahoru. Zde je

několik nejdůležitějších prvků v hlavičce došlé emailové zprávy (čteno odspoda

nahoru – řazeno již odshora dolů) a jejich popis:

Received-SPF: Pass (protection.outlook.com: domain of agorapraha.cz designates

76.64.167.78 as permitted sender) receiver=protection.outlook.com;

client-ip=76.64.167.78; helo=transferfactormexico.net;

Authentication-Results: spf=pass (sender IP is 76.64.167.78)

smtp.mailfrom=dluh@agorapraha.cz; polac.cz; dkim=none (message not signed)

header.d=none;

Subject: kalamar@polac.cz

To: <kalamar@polac.cz>

From: Pavla Wurdak <dluh@agorapraha.cz>

Date: Mon, 9 Feb 2015 04:01:02 -0500

Received: from transferfactormexico.net (76.64.167.78) by

AM1FFO11FD048.mail.protection.outlook.com (10.174.65.211) with Microsoft SMTP

Server id 15.1.87.10 via Frontend Transport; Mon, 9 Feb 2015 09:03:31 +0000

Z výtahu hlavičky zjišťujeme IP adresu počítače, ze kterého byla e-mailová pošta

odeslána, předmět zprávy, komu bylo adresováno a kdy – v kolik hodin byla zpráva

doručena.

5. pravidlo, lokalizace IP adresy odesílajícího počítače

Nás zajímá IP adresa počítače [ 76.64.167.78 ]. Na níže uvedené adrese zadáme

internetovou adresu vyhledávače IP adres a pokusíme se lokalizovat server, odkud

nám e-mailová pošta byla doručena, viz obr. č. 8, 9.

9

Obr. č. 8 – Lokalizace IP adresy 76.64.167.78

Obr. č. 9 – Lokalizace IP adresy 76.64.167.78

Výsledek Ottawa, Elgin Street, Bell Canada

Kitchener Sympatico Hse

10

Classless Inter-Domain Routing (CIDR)4 je v počítačových sítích metoda

směrování, která se v TCP/IP (tj. i v Internetu) používá pro rozdělení velkých sítí

na podsítě. Spočívá v možnosti zvolit pro každou podsíť specifickou masku sítě,

která definuje rozsah IP adres, které je možné v této podsíti používat. CIDR je

nástupce dnes již nepoužívaného systému tříd IP adres. Byl představen IETF v roce

1993.

CIDR přinesl do adresace dva nové principy:

délka adresy sítě je libovolná

adresy se přidělují hierarchicky, což umožňuje agregaci směrování

Organizace přidělování adres

Reorganizován byl i proces přidělování IP adres. Nyní je přidělují takzvaní lokální

registrátoři (LIR, Local Internet Registry), kteří garantují dodržování stanovené

procedury a pravidel, včetně agregace adres a přidělování prefixů odpovídající délky.

Tuto roli typicky hrají poskytovatelé Internetu.

Jim přidělují adresní prefixy do správy regionální registrátoři (RIR, Regional

Internet Registry), kteří koordinují správu adres v přidělené oblasti. RIR zároveň

stanovují pravidla a adresní politiky pro danou oblast. Vycházejí přitom z názorů

svých členů, kterými jsou lokální registrátoři. V současnosti je Internet rozdělen mezi

pět regionálních registrátorů:

AfriNIC - Afrika

APNIC - Asie a Austrálie (pacifická oblast)

ARIN - Severní Amerika

LACNIC - Jižní (latinská) Amerika

RIPE NCC – Evropa.

Z obr. č. 9 je patrné, že regionálním registrátorem hledané IP adresy je „ARIN“ –

Severní Amerika, konkrétně pak firma „Bell Canada“, 160 Elgin Street Ottawa. Co

4 Classless Inter-Domain Routing. Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2015-07-20]. Dostupné z: https://cs.wikipedia.org/wiki/Classless_Inter-Domain_Routing

11

je pro nás důležité, že rozsah sítě (NetRange) je od čísla 76.64.0.0 až

76.761.255.255. Pokud bychom chtěli znát uživatele, kterému byla hledaná IP

adresa přidělena, musíme dále znát přesný čas připojení odesílatele – odeslání

podezřelého e-mailu. V našem případě je to:

Date: Mon. 9 Feb 2015 04:01:02 -0500

Čas doručení emailové pošty je pak

Received: from Mon. 9 Fef 2015 09:03:31 +0000

Tyto údaje budou důležité, pokud se příslušný státní orgán obrátí na Kanadu

k poskytnutí identifikačních údajů podle čl. 35 Úmluvy o počítačové kriminalitě5.

V tomto okamžiku vytěžování otevřených informačních zdrojů končí a musí

nastoupit profesionální práce policie! Úmluva definuje skutky, které musí členské

státy stíhat. Jde o následující okruhy trestných činů:

Trestné činy týkající se počítačových dat (neoprávněný přístup k počítači a

neoprávněný odposlech dat, zasahování do dat a do počítačového sytému,

zneužívání zařízení, zpřístupnění zařízení k páchání této trestné činnosti).

Trestné činy související s počítačem (padělání s pomocí počítače, počítačové

podvody).

Trestné činy související s obsahem dat (dětská pornografie).

Trestné činy související s porušením autorských práv.

Kromě vymezení skutkových podstat se Úmluva věnuje otázkám procesního

práva a stanoví členským státům povinnosti v oblasti vyšetřovacích postupů. Členské

státy jsou zejména povinny přijmout opatření, aby byla zajištěna možnost

urychleného uchování a zpřístupnění uložených počítačových dat, vydání příkazu

k předložení, prohlídky a zajištění uložených počítačových dat, shromažďování dat

v reálném čase či odposlouchávání dat. V Úmluvě je řešena i mezinárodní

spolupráce členských států. V případech, kdy státy mají uzavřenou již jinou

5 Sbírka mezinárodních smluv Česká republiky, částka 56/2013, dostupné na: http://www.epravo.cz/_dataPublic/sbirky/2013/sb0056-2013m.pdf

12

mezinárodní smlouvu o právní pomoci a vydávání, tak je tato Úmluva podpůrným

pramenem.6

Ke dni 21. 7. 2015 je celkem 47 členských států, kteří Úmluvu podepsalo a i

ratifikovalo (Česká republika Úmluvu podepsala dne 9. 2. 2005, ratifikovala po 8mi

letech dne 22. 8. 20013 a v platnost vstoupila dne 1. 12. 2013). U 7mi států ještě

neproběhla následná ratifikace Úmluvy.7 Kanada jako člen Rady Evropy tuto Úmluvu

ratifikovala dne 8. 7. 2015.

Důležité ustanovení Úmluvy o počítačové kriminalitě je článek 35, kterým je,

vytvoření kontaktních míst k dispozici 24 hodin denně, sedm dní v týdnu, usnadnit

mezinárodní spolupráci: Článek 35 - 24/7 Síť „Každá strana určí styčný bod k

dispozici čtyřiadvacet hodin denně po sedm dní v týdnu, aby bylo možné poskytovat

okamžitou pomoc pro účely vyšetřování nebo řízení ohledně trestných činů

spojených s počítačovými systémy a daty, nebo pro shromažďování důkazů v

elektronické formě o trestném činu. V souladu s článkem 35 Úmluvy je pro Českou

republiku kontaktním místem Odbor informační kriminality Úřadu služby kriminální

policie a vyšetřování Policejního prezidia České republiky.

6 PATRIA ONLINE: Počítačová kriminalita: Mezinárodní úmluva je konečně závazná i pro Česko [online]. [cit. 2015-07-21]. Dostupné z: http://www.patria.cz/pravo/2694193/pocitacova-kriminalita-mezinarodni-umluva-je-konecne-zavazna-i-pro-cesko.html

7 Counsil of Europe: Treaty Office. Úmluva o počítačové kriminalitě: CETS č.: 185 [online]. [cit. 2015-07-21]. Dostupné z: http://www.microsofttranslator.com/BV.aspx?ref=IE8Activity