Analisiak egiterakoan, auzitegikoak, inteligentziakoak, finantza arlokoak edo bestelakoak, egiaren bilaketa nabarmentzen da. Egia helburu gisa eta arrazoia bitarteko gisa erabiliz, Descartesek bere garaian Metodoaren Diskurtsoan deskribatu zuen bezalaarrazoimena ondo bideratzeko eta egia zientzietan bilatzeko.Analista gisa bilatu nahi dugu. gertatutakoa ezagutu eta bezeroaren kezkei erantzutea, alde batera utzi gabe, batzuetan, egia dela lekukorik konplexuena.
Mezu elektronikoen azterketa forentsea ia osorik ikertu behar duen gertaera edo gorabehera baten ondoren sortzen da. Azterketa hauek batzuetan bi zatik osatzen dute, atal teknologikoa (bidaltzeko eta jasotzeko prozesua) eta informazio zatia (mezu elektronikoan jasotakoa eta/edo horri erantsita).
Iruzurrezko mezu elektronikoen azterketa teknologikoa egiteko gogoeta nagusiak, analisi guztietan beti lekurik izango ez duten arren, hasieran kontuan hartu beharrekoak, hauek dira:
- Identifikatu esklusiboki jatorrian zein helmugan parte hartzen duten posta-zerbitzuak. Bi aldeen posta elektronikoaren teknologia identifikatu behar da, hodeiko mezu elektronikoak (SaaS) edo lokaleko posta-zerbitzariak izan daitezke.
- Posta elektronikoak manipulatu ez direla bermatu, administrazio-kontu batekin aztertu beharreko e-posta laginak zuzenean zerbitzaritik lortuz, ez kaltetutako erabiltzaileen posta-bezeroetatik.
- Jasotako mezu elektronikoetako goiburu teknikoak aztertzea bidalketaren jatorri-zerbitzariak identifikatzeko.
- Aztertu posta elektronikoaren segurtasun-elementuak, hala nola:
- SPF lerrokatzea: SPF lerrokatzea aldatu gabe kontsidera daiteke "MAIL-FROM" edo "Return-Path" eta "From" domeinua berdina denean. Hauen arteko ezberdintasunak mezu elektronikoa faltsua dela iradoki dezake.
- SPF autentifikazioa: SPF autentifikazioa "faltsua" bada, esan nahi du igorlearen IP helbidea ez dagoela baimenduta igorle baten izenean mezu elektronikoak bidaltzeko. Hau da, ez duzu baimenik mezu elektronikoak bidaltzeko domeinu legitimoaren izenean.
- DKIM hamaikakoa: Mezu elektroniko batean DKIM lerrokatzea berresteko, "DKIM-Sinadura" eremuak "From" goiburuko domeinuaren sinadura sartu behar du bere "etiketan; d=domeinua.com”.
- DKIM autentifikazioa: DKIM sinadura eremua egiaztatzen ez bada, posta elektronikoa aldatu edo aldatu dela pentsa dezakezu.
Posta elektronikoko informazioari buruzko analisiaren zatiari dagokionez, beharrezkoa da objektiboki erreparatzea bertan idatzitakoari, baita erantsitako artxiboetan jasotakoari ere, halakorik balego. Zati honetan, hainbat premisa hartu behar dira kontuan:
- Idazketa, estilo literarioa eta ortografia: Adimen artifiziala erabiliz erasotzaile batek sortutako mezu erreal edo legezkoen arteko bereizketa gero eta konplexuagoa da.
- Sinadura formatua: sinaduraren ikus-analisia faltsutze posibleen bila edo, nolanahi ere, benetako sinadura baten kopia izateko aukera badago, sinaduraren azpian egon behar ez diren espazioak identifikatuz. .
- Datuak garrantzitsuak: ezarri mezu elektronikoko zer informazio dagoen domeinu publikoan edo pribatuan. Informazio horren ezagutza-esparru posibleak.
- Pertsonak aipatu: pertsonak errealak ala fikziozkoak diren baloratu; erasotzaileen kasuan, lehenengoa litekeena da, baina garrantzitsua da analisia egin aurretik ez baztertzea.
- Isuritako edo agerian dauden mezu elektronikoak: identifikatu mezu elektronikoa jasotzen duen kontua datu-filtrazioetan dagoen edo iturri irekietan aurki daitekeen. Pasahitz-filtrazioen kasuan, kontuan hartu kontua arriskuan jartzeko aukera.
- Modus operandi: hipotesi bat ezartzea, erabilgarri dauden oinarri objektibo eta zehatzenekin, erasoa nola egin zitekeen adierazten duena.
- Helburua: Erasotzailearen helburu posiblea aztertzea, baita lortuko lukeen onura ere, lagungarria izan daiteke kasu konplexuetan.
- Erantsitako artxiboak: fitxategietatik metadatuak ateratzea eta bi horien eta dokumentuaren beraren informazioa (sinadura, banku-kontuaren zenbakia, etab.) aztertzea.
Azterketa forentsearen funtsezko alderdi gisa, elementuaren erauzketa eta elementu gisa haren zaintza-katea nabarmendu behar dira. Auzitegi-arloan garrantzitsua den arren, bereziki garrantzitsua da posta-kasuan, analisi bat egin behar baita igaro den puntu guztietan.
Auzitegiko analisian, beraz, beti komeni da aditu onenengana jotzea, ebidentziaren identifikazio ona egiten dutenak eta frogatutako gertakariak lotzeko gai diren hipotesi edo uste faltsuetan erori gabe. Horrez gain, txostena epaitegietan aurkeztuko den bitartean, gailuak edo/eta fitxategiak behar bezala zaintzea egiten da, txostena egin duten perituekin ere kontatuta, epaitegietan zuzen defendatzeko.
Sergio Gutierrez, Teknikoaren arduraduna n Zerolynx eta Noelia B. Cyber Intelligence Analyst at Zerolynx.
