E 'possibile provare che una certa e-mail è stata inviata usando un determinato computer?

Naviga le tue risposte
6

Posso capire che un SMS può essere rintracciato sul telefono cellulare da cui ha avuto origine e il proprietario del telefono non ha alcuna possibilità in tribunale, ma affermare che qualcun altro ha usato il suo telefono, ma che dire di una e-mail da un PC?

La maggior parte delle e-mail viene inviata usando un browser e un'interfaccia web e tanto meno il fatto che difficilmente trovi un PC al di fuori di un NAT. Aggiungete che la maggior parte dei laptop sono connessi tramite WiFi.

Sembra molto facile affermare che non ho inviato email X e l'indirizzo email Y non è mio. Indirizzo IP? non significa niente, lo sto condividendo con molte persone, potrebbe essere mia moglie che ha inviato quell'e-mail dal suo laptop o potrebbe essere i miei vicini che hanno hackerato il mio WiFi.

Come può un esperto sconfiggere tali affermazioni in tribunale di fronte a un giudice?

    
posta Ulkoma 28.09.2014 - 18:39
fonte

8 risposte

14

Gli esperti sono esperti. Ciò che un esperto dice rimane in tribunale finchè:

  • È un esperto.
  • L'altra parte non può fornire un altro esperto, il quale afferma che il primo esperto ha torto e lo dice in un modo più convincente e competente.

In pratica, si riterrà che un'e-mail sia stata inviata da un dato PC se il contesto lo rende molto più plausibile di qualsiasi altra spiegazione alternativa. Gli elementi di contesto includono gli indirizzi IP registrati dal lato server SMTP, facilità (o mancanza) di assumere quell'indirizzo IP sul lato client (WiFi o non WiFi, fili accessibili ...), presenza o assenza di file di registro sul PC. .. e, il più delle volte, se il presunto mittente ammette l'atto o meno.

Prendi atto che lo spergiuro è un reato grave, quindi le persone tendono a non negare l'invio di e-mail quando ciò che è in gioco (ad esempio una controversia commerciale) è "meno grave" delle conseguenze dell'essere intrappolati nell'atto di mentire al giudice . Il punto cruciale è che dimostrare se un'email è stata realmente inviata da qualche specifico individuo è una questione complessa in entrambi i modi : è difficile individuare con precisione il colpevole, ma è altrettanto difficile assicurarsi che non sarà mai definitivamente provato.

Questo riproduce il modello di sicurezza di firme autografe . In effetti, non è molto difficile imitare la firma di qualcun altro; è anche abbastanza difficile verificare effettivamente che una firma sia corretta o meno. Ma le firme scritte a mano avvengono nel mondo fisico, con penne e mani umane, quindi tendono a lasciare tracce - ciò che chiamo elementi contestuali. Puoi ripudiare la tua firma, ma è rischioso, perché non puoi essere sicuro che nessuno ti abbia visto, o che tu non abbia lasciato un'impronta digitale sulla penna o qualsiasi altro di un milione di possibili dettagli incriminanti. E provare a ripudiare la tua firma è severamente punito. Pertanto, è spesso preferibile riconoscere la firma come propria e assumerne le conseguenze.

Nel caso delle e-mail, lo stesso meccanismo è al lavoro. Sebbene le prove effettive siano spesso elementi inconsistenti (voci di registro e così via), negare di aver inviato un'e-mail che hai inviato è rischioso e ritenuto rischioso, soprattutto dal momento che coinvolge i computer (i computer sono oltre l'orizzonte magico della maggior parte delle persone) . Quindi la maggior parte dei casi che coinvolgono e-mail finiscono con la produzione di alcune voci di file di log (che potrebbero, in effetti, essere simulate in molti modi) e il mittente che si sbriciola sotto lo sguardo fisso del giudice.

    
risposta data 03.10.2014 - 17:16
fonte
10

Fondamentalmente, quasi tutti i metodi per scoprire il mittente sono notevolmente inaffidabili.

Di solito, non invii l'e-mail "direttamente" dal tuo PC. Di solito, si utilizza un server SMTP di proprietà del proprio provider Internet o del provider di servizi di posta elettronica. Questo server SMTP si prende cura della tua email. Ad esempio, se il server SMTP di destinazione finale non era disponibile, ritarda la consegna fino a quando la destinazione non si ripristina e quindi non è necessario avere il PC online tutto il tempo solo per garantire la consegna delle e-mail. L'email di solito supera diversi SMTP prima che raggiunga la sua destinazione.

Per prima cosa, dovresti sapere, ci sono solo poche intestazioni email obbligatorie. Anche l'intestazione "From" è solo opzionale. È solo la buona volontà di SMTP di mettere la firma in qualsiasi forma (come il suo IP) all'e-mail ed è solo la buona volontà dello SMTP di mantenere gli altri intestazioni nella posta elettronica.

In che modo affidabile puoi trovare il mittente? Dipende dagli SMTP in modo e-mail e da come puoi fidarti di loro. E quasi sempre non puoi.

Puoi chiedere agli amministratori SMTP se l'e-mail osservata ha passato il loro server, ma sono sicuro che non te lo dicono. Puoi controllare le intestazioni delle email, ma non puoi fidarti completamente di loro dato che tutti avrebbero potuto cambiarle.

Un certo livello di certezza potrebbe essere dato dalla firma DKIM (se l'e-mail è firmata). Ad esempio, se l'email è stata inviata da gmail.com, puoi controllare la sua firma DKIM e se fosse valida, puoi essere sicuro che è stata davvero inviata dai server SMTP di Gmail e poiché credo che Google non invierebbe alcuna email con fake (devi fidarti di google di questo) hai il mittente o meglio, hai la persona che ha accesso all'account gmail: -).

    
risposta data 02.10.2014 - 21:08
fonte
5

La risposta breve è no, nulla rimarrà in tribunale, tutte le possibili tecniche di tracciamento possono essere sconfitte in tribunale da un abile avvocato e un esperto di tecnologia.

Tuttavia, un altro modo di pensare al problema consiste nell'aggiungere ulteriori prove a tutte le informazioni di tracciamento sulla fonte dell'email che hai. Ad esempio se puoi tracciare l'indirizzo IP e collegarlo al sospetto.

Quindi utilizzi ulteriori prove come Analisi stenografica e di analisi forense. Alcuni paesi accettano l'analisi stilometrica come prova (ad esempio, la Gran Bretagna e gli Stati Uniti) Puoi consultare questa fonte per ulteriori informazioni su stylometric in tribunale

    
risposta data 02.10.2014 - 23:19
fonte
5

Da un punto di vista tecnico è possibile dimostrare che un'e-mail è stata inviata da un account di posta specifico, se il server SMTP originale applica tale politica e tutti i server intermedi autenticano l'origine dei messaggi pass-through, e . g. con DKIM (e supponendo che i server stessi non siano stati manomessi)

Da un punto di vista legale è necessario convincere il giudice o la giuria della tua tesi che l'e-mail sotto esame è falsa. Molti sistemi legali richiedono certezza oltre un "ragionevole ammontare di dubbi" per un verdetto di colpevolezza nei processi penali. Nelle cause civili la barra di solito è molto più bassa. Non entrerò in questo perché questo è un InfoSec e non un forum legale.

    
risposta data 28.09.2014 - 21:17
fonte
2

Devi chiedere al fornitore di servizi l'account di posta da cui è stata inviata l'email. La maggior parte di essi è probabilmente richiesta per registrare l'indirizzo IP dei client che si connettono al proprio server Web, e alcuni di essi potrebbero fare fingerprinting del browser per verificare che una connessione corrisponde al dispositivo conosciuto dell'utente. Quindi, c'è la possibilità che possano fornire informazioni che identificano chiaramente almeno una coppia di browser IP.

Tuttavia, tieni presente che se la discussione coinvolge potenziali avversari motivati e competenti, non puoi fare ipotesi. Qualcuno potrebbe prendere in giro un IP e trovare l'impronta digitale di un browser specifico e riutilizzarlo.

    
risposta data 01.10.2014 - 22:01
fonte
2

Come già detto, dimostrare chi ha inviato l'e-mail sarà complicato, ma che dire di provare che il tuo vicino ha hackerato il tuo wifi? Non so cosa tu abbia in atto, ma in genere anche il router di base può tracciare i dispositivi connessi e talvolta elencare gli indirizzi MAC. Il MAC che potresti paragonare al MAC di tua moglie. Se disponi di un router più avanzato e disponi di registri o di informazioni molto più dettagliate, potrebbe essere possibile associare i registri al momento dell'invio dell'e-mail. Ciò consentirebbe un tracciamento più affidabile. O se non si dispone di questo livello di tracciamento, è possibile configurarlo.

    
risposta data 03.10.2014 - 16:59
fonte
2

Riepilogo: dimostrare che un computer specifico ha inviato un'email è difficile da realizzare. Se tutti i partecipanti agiscono in buona fede, può essere dedotto, ma ciò richiede un alto livello di partecipazione.

Dettagli: sebbene l'identificazione positiva della fonte di un'e-mail non sia automaticamente possibile, sulla base delle seguenti ipotesi, è possibile dedurla, mettendo insieme le seguenti informazioni.

  • Se il mittente ha firmato l'e-mail utilizzando SMIME firmato da una CA attendibile (o una chiave PGP nota e certificata), è possibile presumere che la persona mittente non sia rimproverata, a meno che e fino a quando l'inviata non possa dimostrare che la la metà privata di quella chiave era compromessa prima dell'invio dell'e-mail
  • Se il dominio da cui proviene l'email fornisce SPF e DKIM, è possibile determinare se la posta è stata inoltrata tramite uno dei gateway di posta approvati (SPF consente di pubblicare un elenco di numeri IP consentiti per la posta in uscita, DKIM ti consente di pubblicare metà di una chiave che consente a un destinatario di convalidare una firma crittografica su un promemoria e-mail ricevuto e di avere la certezza che potrebbe essere stata firmata solo da qualcuno con l'altra metà della chiave)
  • In base a SPF e DKIM, puoi identificare in modo positivo il gateway di posta in uscita che ha inoltrato il memorandum alla tua organizzazione, azienda o agenzia
  • A questo punto, potresti avere l'opzione di citare in giudizio i log dall'operatore del gateway di posta, che potrebbe contenere il numero IP di origine (o almeno precedente-hop-relay)
    • Nota, questo potrebbe non essere affidabile per due motivi:
      • Il mittente potrebbe aver inviato il memo offendente da una rete pubblica o condivisa, ad esempio un coffee shop o una biblioteca
      • Se hai motivo di ritenere che l'organizzazione di ritrasmissione sia collusa con la persona che invia, potrebbe essere necessario determinare e provare se i log di posta sono stati manomessi (se non sono stati cancellati prima della scoperta, come una questione di politica organizzativa )
    • Comprendi anche l'onere di ottenere un mandato per questi log; non tutti i giudici ne rilasceranno uno senza uno sforzo significativo in anticipo
  • Se il relè hop precedente è il gateway di posta di un'altra organizzazione, itera il processo
  • Anche se l'IP del dispositivo di invio è identificato, è probabile che sia stato un dispositivo transitorio e, in quanto tale, potrebbe essere necessario citare in giudizio i registri DHCP dall'organizzazione che gestisce la rete in cui risiedeva il dispositivo di invio, in modo da può abbinarlo al nome host annunciato quando il dispositivo di invio richiesto e IP

Se tutti agiscono in buona fede, potresti essere in grado di determinare la persona che invia e il dispositivo di invio.

Buona fortuna.

    
risposta data 05.10.2014 - 19:28
fonte
-2

Oh mio, tante risposte. Sì, è possibile se il tuo indirizzo IP non è protetto. Il tuo indirizzo IP è come un numero di telefono. Il tuo server di posta conosce il tuo indirizzo IP e può essere ottenuto da un ordine del tribunale se il tuo ISP è affidabile.

Ci sono diversi modi per mostrare un indirizzo IP con un diverso grado di successo.

    
risposta data 07.10.2014 - 06:45
fonte

Leggi altre domande sui tag

Invio della password dall'app client al server con Java I certificati autofirmati non funzionano su Internet?