Nätverksforensik

Nätverkskriminalteknik är en undergren av digital forensik relaterad till övervakning och analys av datornätverkstrafik i syfte att samla in information, juridiska bevis eller intrångsdetektering . Till skillnad från andra områden inom digital forensik, handlar nätverksutredningar om flyktig och dynamisk information. Nätverkstrafik överförs och går sedan förlorad, så nätverksforensik är ofta en proaktiv undersökning.

Nätverksforensik har i allmänhet två användningsområden. Den första, som avser säkerhet, innebär att övervaka ett nätverk för onormal trafik och identifiera intrång. En angripare kanske kan radera alla loggfiler på en intrång i en värd; Nätverksbaserade bevis kan därför vara det enda bevis som finns tillgängligt för rättsmedicinsk analys. Den andra formen avser brottsbekämpning. I det här fallet kan analys av fångad nätverkstrafik inkludera uppgifter som att återmontera överförda filer, söka efter nyckelord och analysera mänsklig kommunikation som e-post eller chattsessioner.

Två system används vanligtvis för att samla in nätverksdata; en brute force "catch it as you can" och en mer intelligent "stopp look listen"-metod.

Översikt

Nätverksforensik är ett relativt nytt område inom forensisk vetenskap. Internets växande popularitet i hemmen innebär att datoranvändning har blivit nätverkscentrerad och data är nu tillgänglig utanför diskbaserade digitala bevis . Nätverksforensik kan utföras som en fristående utredning eller vid sidan av en datorkriminalteknisk analys (där den ofta används för att avslöja kopplingar mellan digitala enheter eller rekonstruera hur ett brott begicks).

Marcus Ranum är krediterad för att ha definierat nätverksforensik som "fångst, inspelning och analys av nätverkshändelser för att upptäcka källan till säkerhetsattacker eller andra problemincidenter".

Jämfört med datorkriminalteknik, där bevis vanligtvis bevaras på disk, är nätverksdata mer flyktiga och oförutsägbara. Utredarna har ofta bara material för att undersöka om paketfilter, brandväggar och intrångsdetekteringssystem har satts upp för att förutse säkerhetsöverträdelser.

System som används för att samla in nätverksdata för kriminalteknisk användning finns vanligtvis i två former:

"Catch-it-as-you-can" – Det är här alla paket som passerar genom en viss trafikpunkt fångas upp och skrivs till lagring med analys som därefter görs i batch-läge. Detta tillvägagångssätt kräver stora mängder lagring.
"Stoppa, titta och lyssna" – Det är här varje paket analyseras på ett rudimentärt sätt i minnet och endast viss information sparas för framtida analys. Detta tillvägagångssätt kräver en snabbare processor för att hålla jämna steg med inkommande trafik.

Typer

Ethernet

Wireshark , ett vanligt verktyg som används för att övervaka och registrera nätverkstrafik

Anpassa all data på detta lager och låter användaren filtrera efter olika händelser. Med dessa verktyg kan webbsidor, e-postbilagor och annan nätverkstrafik endast rekonstrueras om de sänds eller tas emot okrypterat. En fördel med att samla in denna data är att den är direkt ansluten till en värd. Om till exempel IP-adressen eller MAC-adressen för en värd vid en viss tidpunkt är känd, kan all data som skickas till eller från denna IP- eller MAC-adress filtreras.

För att upprätta kopplingen mellan IP och MAC-adress är det användbart att titta närmare på extra nätverksprotokoll. ARP-tabellerna (Address Resolution Protocol) listar MAC-adresserna med motsvarande IP-adresser.

För att samla in data på detta lager kan en värds nätverkskort (NIC) försättas i " promiskuöst läge" . När du gör det kommer all trafik att skickas till CPU:n, inte bara trafiken som är avsedd för värden.

Men om en inkräktare eller angripare är medveten om att hans anslutning kan avlyssnas, kan han använda kryptering för att säkra sin anslutning. Det är nästan omöjligt nuförtiden att bryta kryptering men det faktum att en misstänkts anslutning till en annan värd är krypterad hela tiden kan tyda på att den andra värden är en medbrottsling till den misstänkte.

TCP/IP

På nätverkslagret är Internetprotokollet (IP) ansvarigt för att styra de paket som genereras av TCP genom nätverket (t.ex. Internet) genom att lägga till käll- och destinationsinformation som kan tolkas av routrar över hela nätverket. Mobila digitala paketnätverk, som GPRS , använder liknande protokoll som IP, så metoderna som beskrivs för IP fungerar också med dem.

För korrekt routing måste varje mellanliggande router ha en routingtabell för att veta vart paketet ska skickas härnäst. Dessa routingtabeller är en av de bästa informationskällorna om man utreder ett digitalt brott och försöker spåra en angripare. För att göra detta är det nödvändigt att följa angriparens paket, vända på sändningsvägen och hitta datorn paketet kom från (dvs angriparen).

Krypterad trafikanalys

Med tanke på spridningen av TLS -kryptering på internet, från april 2021 uppskattas det att hälften av all skadlig programvara använder TLS för att undvika upptäckt. Krypterad trafikanalys inspekterar trafik för att identifiera krypterad trafik som kommer från skadlig programvara och andra hot genom att upptäcka misstänkta kombinationer av TLS-egenskaper, vanligtvis till ovanliga nätverk eller servrar. Ett annat tillvägagångssätt för krypterad trafikanalys använder en genererad databas med fingeravtryck , även om dessa tekniker har kritiserats för att vara lätta att kringgå av hackare och vara felaktiga.

Internet

Internet kan vara en rik källa till digitala bevis, inklusive webbsurfning, e-post, nyhetsgrupp , synkron chatt och peer-to-peer- trafik. Till exempel kan webbserverloggar användas för att visa när (eller om) en misstänkt har kommit åt information relaterad till brottslig verksamhet. E-postkonton kan ofta innehålla användbara bevis; men e-postrubriker är lätta att förfalska och därför kan nätverkskriminalteknik användas för att bevisa det exakta ursprunget till anklagende material. Nätverksforensik kan också användas för att ta reda på vem som använder en viss dator genom att extrahera användarkontoinformation från nätverkstrafiken.

Trådlös kriminalteknik

Trådlös forensik är en underdisciplin av nätverksforensik. Huvudmålet med trådlös kriminalteknik är att tillhandahålla den metod och de verktyg som krävs för att samla in och analysera (trådlös) nätverkstrafik som kan presenteras som giltiga digitala bevis i en domstol. Bevisen som samlas in kan motsvara vanlig data eller, med den breda användningen av Voice-over-IP -teknik (VoIP), särskilt trådlöst, kan det inkludera röstsamtal.

Analys av trådlös nätverkstrafik liknar den i trådbundna nätverk, men det kan finnas extra hänsyn till trådlösa säkerhetsåtgärder .

^ Gary Palmer, A Road Map for Digital Forensic Research, Rapport från DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, 7–8 augusti, 2001, Sida(r) 27–30
^ ^a ^b ^c Casey, Eoghan (2004). Digitala bevis och datorbrott, andra upplagan . Elsevier. ISBN 0-12-163104-4 .
^ Erik Hjelmvik, Passiv nätverkssäkerhetsanalys med NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Arkiverad 2012-02-23 på Wayback Machine
^ Marcus Ranum, Network Flight Recorder, http://www.ranum.com
^ Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
^ Gallagher, Sean (2021-04-21). "Nästan hälften av skadlig programvara använder nu TLS för att dölja kommunikation" . Sophos News . Hämtad 2021-04-29 .
^ Krypterad trafikanalys (del 1): Detektera, dekryptera inte , arkiverad från originalet 2021-12-20 , hämtad 2021-04-29
^ Rinaldi, Matthew (2020-11-03). "Imitera JA3-fingeravtryck" . Medium . Hämtad 2021-04-29 .
^ "JA3/S-signaturer och hur man undviker dem" . BC Säkerhet . 2020-04-16 . Hämtad 2021-04-29 .
^ "Facebook, SSL and Network Forensics", NETRESEC Network Security Blog, 2011

externa länkar

[1] Gary Palmer, A Road Map for Digital Forensic Research, Rapport från DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, 7–8 augusti, 2001, Sida(r) 27–30

[casey-2] Casey, Eoghan (2004). Digitala bevis och datorbrott, andra upplagan . Elsevier. ISBN 0-12-163104-4 .

[3] Erik Hjelmvik, Passiv nätverkssäkerhetsanalys med NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Arkiverad 2012-02-23 på Wayback Machine

[4] Marcus Ranum, Network Flight Recorder, http://www.ranum.com

[5] Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] Gallagher, Sean (2021-04-21). "Nästan hälften av skadlig programvara använder nu TLS för att dölja kommunikation" . Sophos News . Hämtad 2021-04-29 .

[7] Krypterad trafikanalys (del 1): Detektera, dekryptera inte , arkiverad från originalet 2021-12-20 , hämtad 2021-04-29

[8] Rinaldi, Matthew (2020-11-03). "Imitera JA3-fingeravtryck" . Medium . Hämtad 2021-04-29 .

[9] "JA3/S-signaturer och hur man undviker dem" . BC Säkerhet . 2020-04-16 . Hämtad 2021-04-29 .

[10] "Facebook, SSL and Network Forensics", NETRESEC Network Security Blog, 2011

Digital kriminalteknik
Grenar	Datorkriminalteknik Forensics för mobila enheter Nätverksforensik Databas forensics
Hårdvara	Forensisk diskkontroller
programvara	ADF Solutions Digital Evidence Investigator Innesluta Främst FTK PTK Forensics Sleuth Kit Rättsläkarens verktygslåda KAFFE HashKeeper Xplico
Certifiering	Certifierad Forensic Computer Examinator (CFCE) Global Information Assurance-certifiering
Processer	Digital kriminalteknisk process Datainsamling Digitala bevis eDiscovery Anti-dator kriminalteknik
Organisationer	National Software Reference Library Department of Defense Cyber Crime Center National Hi-Tech Crime Unit (NHTCU) Australian High Tech Crime Center (AHTCC)
människor	Mary Aiken Annie Anton Rebecca Bace Josh Brunty Eoghan Casey Hany Farid Simson Garfinkel Clifford Stoll Robert Zeidman
Ordlista över termer för digital kriminalteknik