ARTICULO

Analisis forense en MSN Messenger

 

 

Cuenca Sarzuri Rudy
Universidad Mayor De San Andres
Carrera De Informatica
Simulacion de Sistemas
rudymooni 11 @hotmail.com

 

 

---

RESUMEN

Hoy en dia muchos tenemos miedo a que se nos dane nuestro correo electronico o que nos quiten el pasword de nuestra cuenta , lo cual conoceriamos como el secuestro de email. El presente trabajo elaborado describe alguna de las maneras en que se pueden usurpar el correo, tambien veremos que herramienta forense se debe utilizar para verificar si es que se presenta un secuestro de cuentas de MSN, en especial.

Palabras Clave

MSN, SPAM, Multitraking, HOAX, POP3,

---

 

 

1. INTRODUCTION

Hoy en dia quien no tiene un correo electronico, para poder entregar y recibir informacion. Cualquiera diria en una empresa el MSN es innecesario, pero no, en una empresa donde los empleados tienen su propia cuenta de correo electronico podemos mencionar que mediante Chat, el jefe de la empresa puede llamar a todos los empleados a una reunion no estando en el mismo edificio, tambien se hace uso del chat para la entrega de documentos, por la transferencia de datos mas directa, facilitando la entrega de la informacion electronica hacia otras oficinas.

En cuanto a errores, hay momentos en el cual el Messenger tiene errores no solo por el trafico de cuentas sino tambien por el dano que sufren los archivos del MSN por algun virus, o gusano que danan los archivos de ejecucion, para ello tambien hay herramientas de correccion, de los cuales el MSN E-Fix 2.0.exe es el mas utilizado para la restauracion, la cual posee una variedad de tipo de errores, para dar la respectiva reparacion.

 

2. SEGURIDAD EN CORREOS ELECTRONICOS

HOAXES, los cuales son mensajes que da una noticia de alarma como de un virus filtrado en el MSN o noticia que requiera de su apoyo, etc. Generalmente son enviados a personas que, una vez que reciben el mensaje ellos envian a todos sus contactos.

Un buen articulo introductorio sobre las tecnicas filtrado de SPAM es ". Normalmente, realizado por un robot, que recoge direcciones de una base de datos o recogidas de analizar las existentes en un hoax previamente lanzado, tambien es posible. Microsoft publico un truco para anadir simultaneamente a

varios remitentes en la lista de no deseados en . () es un puerto para Windows del SpamAssasing, un proxy local (127.0.0.1) de POP3 que filtra los mensajes y los marca como SPAM, utiliza filtros bayesianos para autoaprender del SPAM anterior. Se integra perfectamente con el cliente de correo Bloomba ().

 

3. MAILTRACKING

es un sistema de seguimiento de emails mediante la confirmacion manual de recepcion del destinatario. es una utilidad para extraer ficheros de un archivo Winmail.dat de Outlook, permite extraer varios ficheros multipartes de emails en crudo en formato codificado MIME-Base64, etc.

Respecto al MSN Messenger, el protocolo utilizado esta ampliamente documentado en la web del ; ademas de ser utilizado tambien por una version de software libre, .

 

4. ANALISIS EN MESSENGER

4.1. MSN Shadow

Es una herramienta de analisis forense orientada a MSN Messenger (recientemente rebautizado como Windows Live Messenger), ya que puede realizar operaciones especificas de analisis basadas en el Microsoft Notification Protocol, el protocolo de mensajeria instantanea desarrollado por Redmond del que se abastece el popular Messenger.

MSN Shadow permite capturar el trafico de texto y de video de las sesiones Messenger, pudiendo exportarlas a HTML y AVI respectivamente. Adicionamente, permite la realizacion de pruebas de concepto relacionadas con el spoofing de autoria de mensajes (reenviando los numeros ACK de las conversaciones mediante paquetes reset RST) y el secuestro de sesiones (igual que el metodo anterior, pero creando dos reglas especificas iptables para gestionar los paquetes, lo que hara que se abra una nueva ventana para continuar la conversacion como si fueramos la persona cuya sesion ha sido secuestrada)

Este software esta pensado para analizar el trafico de Messenger y para poder verificar si es factible la suplantacion y el secuestro de sesiones, lo que podria tener utilidad como prueba pericial en un caso donde se presenten evidencias en la forma de logs de mensajeria instantanea. Bajo ningun concepto se entiende que este orientado a espiar/perjudicar/enganar/molestar a nadie

 

Para instalar MSN Shadow debe ejecutarse el tradicional ./configure & make & make install. Lamentablemente para los usuarios de Windows, no existe un binario ejecutable para esta plataforma en la actualidad.

 

5. ¿QUEESELACK?

ACKNOWLEDGEMENT (ACK) (en espanol acuse de recibo), en comunicaciones entre computadores, es un mensaje que se envia para confirmar que un mensaje o un conjunto de mensajes han llegado. Si la terminal de destino tiene capacidad para detectar errores, el significado de ACK es "ha llegado y ademas ha llegado correctamente".

Hay tipos mas complejos de ACK cuyo significado podria traducirse como "reenviame la trama 2" o "he recibido tu ultimo mensaje, pero no puedo recibir mas hasta que termine de procesar los anteriores".

La forma exacta del mensaje, es decir, la combinacion de unos y ceros que lo caracterizan y su posicion dentro de una trama, varia segun el protocolo utilizado.

Segun el protocolo que se utilice, puede existir una contrapartida de este mensaje denominada (Negative ACKnoledgement, o asentimiento negativo), que se suele enviar cuando se ha detectado un error en la trama recibida o cuando se ha perdido una trama.

La perdida de una trama se detecta por su numeracion en protocolos basados en (esto es, hay un error si la ultima trama recibida fue la numero 3 y la recibida actualmente es la 6). Tambien pueden detectarse perdidas por parte de la terminal emisor: si se envia una trama o grupo de tramas y el asentimiento no llega en un tiempo determinado, se asume que hay que volver a enviar los datos. Este tiempo se calcula en funcion de la velocidad de transmision de las terminales y el tiempo que tarda una trama en viajar del origen al destino, de forma que no sea ni demasiado corto ni demasiado largo.

 

6. QUE ES UN SPOOFING?

Por spoofing se conoce a la creacion de tramas TCP/IP utilizando una direccion IP falseada; la idea de este ataque -al menos la idea - es muy sencilla: desde su equipo, un pirata Simula la identidad de otra maquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algun tipo de confianza basada en el nombre o la direccion IP del host suplantado. Y como los anillos de confianza basados en estas caracteristicas tan facilmente falsificables son aun demasiado abundantes (no tenemos mas que pensar en los comandos r-, los accesos NFS, o la proteccion de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organizacion. Como hemos visto, en el spoofing entran en juego tres maquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relacion con el atacado; para que el pirata pueda conseguir su objetivo necesita por un lado establecer una comunicacion falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque. Probablemente esto ultimo no le sea muy dificil de conseguir, a pesar de que existen multiples formas de dejar fuera de juego al sistema suplantado -al menos a los ojos del atacado-que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes enrre ambos sistemas...), lo mas facil en la mayoria de ocasiones es simplemente lanzar una negacion de servicio contra el sistema en cuestion. Aunque mas adelante, hablaremos con mas detalle de estos ataques, no suele ser dificil de tumbar, o al menos bloquear parcialmente, un sistema medio; si a pesar de todo el atacante no lo consigue, simplemente puede esperar a que desconecten de la red a la maquina a la que desea suplantar (por ejemplo, por cuestiones de puro mantenimiento).

 

7. SOFTWARE IM HISTORY

IM History es una excelente aplicacion que permite guardar las de diferentes clientes de mensajeria instantanea en una sola aplicacion de forma que todo nuestro log de charlas queden en un solo lugar.

Para utilizar el IM History solo tenemos que , descargar e instalar el programa, este detectara automaticamente los clientes de mensajeria instantanea que tengas instalado y los configurara.

 

El IM History no se limita a guardar nuestras conversaciones en texto piano sino que ademas guarda imagenes, fotos ademas de guardar el texto con su tipo de fuente y color.

Los clientes de mensajeria instantanea soportados de momento son: MSN , Yahoo! Messenger, ICQ, Trillian, Miranda, AIM, Skype, y pronto agregaran soporte para Gtalk, Kopete e iChat.

 

8. ¿QUE ES RST?

RST o codigo RST es un usado para describir la calidad de las transmisiones de, especialmente en escritos por el messenger. Cada letra del codigo representa un factor especifico de la senal, y cada factor tiene diferentes escalas.
Explicacion del codigo de tabla 1, donde:

 

R representa la CALIDAD DE RECEPCION, que cubre 5 posibilidades.

S representa la INTENSIDA DE LA SENAL, que abarca las 9 posibilidades.

T representa la TONALIDAD (usada actualmente solo para telegrafia), que igual que la anterior, cubre las 9 posibilidades.

 

9. CONCLUSION

El sistema MSN shadow es una herramienta forense aplicada a programas de mensajeria instantanea como el MSN messenger, esta disenado para verificar si es posible el seuestro de emails. Pero es necesario preveer que asi como un cuchillo es una herramienta para un panadero pero un arma para un asesino, es necesario evaluar hasta que punto esta aplicacion es util y para que es Ml.

 

10. REFERENCIAS

[l] http://tUDYFORENSE/showthread.php.html

[2] http://es.wikipedia.org/wiki/ACK        [ Links ]

[3] http://foro.latinohack.com/showthread.php?t=13724        [ Links ]

[4] http://es.wikipedia.org/wiki/RST        [ Links ]

[5]http://foro.latinohack.com/showthread.php?t=10798        [ Links ]

[6] http://msnshadow.blogspot.com/        [ Links ]

[7] http://sourceforge.net/proj ects/msnshadow        [ Links ]