Сетевая криминалистика

Сетевая криминалистика — это подраздел цифровой криминалистики, связанный с мониторингом и анализом трафика компьютерной сети с целью сбора информации, юридических доказательств или обнаружения вторжений . ^[1] В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамической информацией. Сетевой трафик передается, а затем теряется, поэтому сетевая экспертиза часто представляет собой упреждающее расследование. ^[2]

Сетевая криминалистика обычно имеет два применения. Первый, касающийся безопасности, предполагает мониторинг сети на предмет аномального трафика и выявление вторжений. Злоумышленник может стереть все файлы журналов на скомпрометированном хосте; Таким образом, сетевые доказательства могут быть единственными доказательствами, доступными для судебно-медицинской экспертизы. ^[3] Вторая форма связана с правоохранительной деятельностью. В этом случае анализ захваченного сетевого трафика может включать в себя такие задачи, как повторная сборка переданных файлов, поиск по ключевым словам и анализ человеческого общения, например электронной почты или сеансов чата.

Для сбора сетевых данных обычно используются две системы; грубая сила «поймай, как сможешь» и более умный метод «перестань, смотри, слушай».

Обзор

Сетевая криминалистика — сравнительно новая область криминалистики. Растущая популярность Интернета в домах означает, что компьютеры стали сетецентричными, и данные теперь доступны за пределами цифровых доказательств на дисках . Сетевая криминалистика может проводиться как отдельное расследование или вместе с компьютерным криминалистическим анализом (где она часто используется для выявления связей между цифровыми устройствами или восстановления того, как было совершено преступление). ^[2]

Маркусу Рануму приписывают определение сетевой криминалистики как «захвата, записи и анализа сетевых событий с целью обнаружения источника атак безопасности или других проблемных инцидентов». ^[4]

По сравнению с компьютерной криминалистикой, где доказательства обычно сохраняются на диске, сетевые данные более изменчивы и непредсказуемы. У следователей часто есть материал только для проверки того, были ли настроены фильтры пакетов, межсетевые экраны и системы обнаружения вторжений для предотвращения нарушений безопасности. ^[2]

Системы, используемые для сбора сетевых данных для криминалистических целей, обычно бывают двух видов: ^[5]

«Поймай как сможешь» — здесь все пакеты, проходящие через определенную точку трафика, перехватываются и записываются в хранилище с последующим анализом в пакетном режиме. Этот подход требует больших объемов памяти.
«Остановись, посмотри и слушай». Здесь каждый пакет элементарно анализируется в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует более быстрого процессора для обработки входящего трафика.

Типы

Ethernet

Apt все данные на этом слое позволяет пользователю фильтровать различные события. С помощью этих инструментов страницы веб-сайтов, вложения электронной почты и другой сетевой трафик можно восстановить, только если они передаются или принимаются в незашифрованном виде. Преимущество сбора этих данных заключается в том, что они напрямую подключены к хосту. Если, например, известен IP-адрес или MAC-адрес хоста в определенное время, все данные, отправляемые на этот IP- или MAC-адрес или с него, могут быть отфильтрованы.

Чтобы установить связь между IP и MAC-адресом, полезно присмотреться к вспомогательным сетевым протоколам. В таблицах протокола разрешения адресов (ARP) перечислены MAC-адреса с соответствующими IP-адресами.

Для сбора данных на этом уровне сетевую карту (NIC) хоста можно перевести в « неразборчивый режим ». При этом весь трафик будет передаваться на ЦП, а не только трафик, предназначенный для хоста.

Однако если злоумышленник или злоумышленник знает, что его соединение может быть прослушано, он может использовать шифрование для защиты своего соединения. Сегодня практически невозможно взломать шифрование, но тот факт, что соединение подозреваемого с другим хостом все время зашифровано, может указывать на то, что другой хост является сообщником подозреваемого.

TCP/IP

На сетевом уровне Интернет-протокол (IP) отвечает за направление пакетов, генерируемых TCP, через сеть (например, Интернет) путем добавления информации об источнике и назначении, которая может интерпретироваться маршрутизаторами по всей сети. Сотовые цифровые пакетные сети, такие как GPRS , используют протоколы, аналогичные IP, поэтому методы, описанные для IP, также работают с ними.

Для правильной маршрутизации каждый промежуточный маршрутизатор должен иметь таблицу маршрутизации, чтобы знать, куда отправить пакет дальше.Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифровых преступлений и попытке выследить злоумышленника. Для этого необходимо проследить за пакетами злоумышленника, изменить маршрут отправки и найти компьютер, с которого пришел пакет (т. е. злоумышленника).

Аналитика зашифрованного трафика

Учитывая распространение шифрования TLS в Интернете, по состоянию на апрель 2021 г. ^[update] По оценкам, половина всех вредоносных программ использует TLS, чтобы избежать обнаружения. ^[6] зашифрованного Анализ трафика проверяет трафик для выявления зашифрованного трафика, исходящего от вредоносных программ и других угроз, путем обнаружения подозрительных комбинаций характеристик TLS, обычно в необычные сети. ^[7] или серверы. ^[8] Другой подход к анализу зашифрованного трафика использует сгенерированную базу данных отпечатков пальцев. ^[9] хотя эти методы подвергались критике за то, что хакеры легко обходят их. ^[10]^[11] и неточно.

Интернет

Интернет может быть богатым источником цифровых доказательств, включая просмотр веб-страниц, электронную почту, группы новостей , синхронный чат и одноранговый трафик. Например, журналы веб-сервера можно использовать, чтобы показать, когда (или получал ли) подозреваемый доступ к информации, связанной с преступной деятельностью. Учетные записи электронной почты часто могут содержать полезные доказательства; но заголовки электронных писем легко подделать, и поэтому сетевая экспертиза может использоваться для доказательства точного происхождения компрометирующих материалов. Сетевую экспертизу также можно использовать, чтобы выяснить, кто использует конкретный компьютер. ^[12] путем извлечения информации об учетной записи пользователя из сетевого трафика.

Беспроводная криминалистика

Криминалистика беспроводных сетей — это раздел сетевой криминалистики. Основная цель криминалистики беспроводных сетей — предоставить методологию и инструменты, необходимые для сбора и анализа трафика (беспроводной) сети , который может быть представлен в суде в качестве действительных цифровых доказательств. Собранные доказательства могут соответствовать простым данным или, при широком использовании технологий передачи голоса по IP (VoIP), особенно по беспроводной сети, могут включать голосовые разговоры.

Анализ трафика беспроводной сети аналогичен анализу проводных сетей, однако могут потребоваться дополнительные меры безопасности беспроводной сети .

Ссылки

^ Гэри Палмер, Дорожная карта цифровых криминалистических исследований, отчет DFRWS 2001, Первый семинар по цифровым криминалистическим исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., страницы 27–30
^ Перейти обратно: ^а ^б ^с Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 0-12-163104-4 .
^ Эрик Хьельмвик, Пассивный анализ сетевой безопасности с помощью NetworkMiner http://www.forensicfocus.com/passive-network-security-anaанализ-networkminer. Архивировано 23 февраля 2012 г. на Wayback Machine.
^ Маркус Ранум, сетевой регистратор полетов, http://www.ranum.com
^ Симсон Гарфинкель, Сетевая криминалистика: подключение к Интернету http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
^ Галлахер, Шон (21 апреля 2021 г.). «Почти половина вредоносных программ теперь используют TLS для сокрытия связи» . Новости Софоса . Проверено 29 апреля 2021 г.
^ Номера автономной системы
^ Анализ зашифрованного трафика (часть 1): обнаруживать, не расшифровывать , заархивировано из оригинала 20 декабря 2021 г. , получено 29 апреля 2021 г.
^ Альтхаус, Джон. «Отпечаток TLS с помощью JA3 и JA3S» .
^ Ринальди, Мэтью (3 ноября 2020 г.). «Имитация отпечатков пальцев JA3» . Середина . Проверено 29 апреля 2021 г.
^ «Сигнатуры JA3/S и как их избежать» . Безопасность БЦ . 16 апреля 2020 г. Проверено 29 апреля 2021 г.
^ «Facebook, SSL и сетевая экспертиза», Блог сетевой безопасности NETRESEC, 2011 г.

Внешние ссылки

[1] Гэри Палмер, Дорожная карта цифровых криминалистических исследований, отчет DFRWS 2001, Первый семинар по цифровым криминалистическим исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., страницы 27–30

[casey-2] Перейти обратно: ^а ^б ^с Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 0-12-163104-4 .

[3] Эрик Хьельмвик, Пассивный анализ сетевой безопасности с помощью NetworkMiner http://www.forensicfocus.com/passive-network-security-anaанализ-networkminer. Архивировано 23 февраля 2012 г. на Wayback Machine.

[4] Маркус Ранум, сетевой регистратор полетов, http://www.ranum.com

[5] Симсон Гарфинкель, Сетевая криминалистика: подключение к Интернету http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] Галлахер, Шон (21 апреля 2021 г.). «Почти половина вредоносных программ теперь используют TLS для сокрытия связи» . Новости Софоса . Проверено 29 апреля 2021 г.

[7] Номера автономной системы

[8] Анализ зашифрованного трафика (часть 1): обнаруживать, не расшифровывать , заархивировано из оригинала 20 декабря 2021 г. , получено 29 апреля 2021 г.

[9] Альтхаус, Джон. «Отпечаток TLS с помощью JA3 и JA3S» .

[10] Ринальди, Мэтью (3 ноября 2020 г.). «Имитация отпечатков пальцев JA3» . Середина . Проверено 29 апреля 2021 г.

[11] «Сигнатуры JA3/S и как их избежать» . Безопасность БЦ . 16 апреля 2020 г. Проверено 29 апреля 2021 г.

[12] «Facebook, SSL и сетевая экспертиза», Блог сетевой безопасности NETRESEC, 2011 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

v т и Цифровая криминалистика
Branches	Computer forensics Mobile device forensics Network forensics Database forensics Software forensics
Hardware	Forensic disk controller
Software	ADF Solutions Digital Evidence Investigator EnCase Foremost FTK PTK Forensics The Sleuth Kit The Coroner's Toolkit COFEE HashKeeper Xplico
Certification	Certified Forensic Computer Examiner (CFCE) Global Information Assurance Certification
Processes	Digital forensic process Data acquisition Digital evidence eDiscovery Anti–computer forensics
Organisations	National Software Reference Library Department of Defense Cyber Crime Center National Hi-Tech Crime Unit (NHTCU) Australian High Tech Crime Centre (AHTCC)
People	Mary Aiken Annie Antón Rebecca Bace Josh Brunty Eoghan Casey Hany Farid Simson Garfinkel Clifford Stoll Robert Zeidman
Glossary of digital forensics terms