Сетевая криминалистика

Сетевая криминалистика — это подраздел цифровой криминалистики, относящийся к мониторингу и анализу трафика компьютерных сетей в целях сбора информации, юридических доказательств или обнаружения вторжений . ^[1] В отличие от других областей цифровой криминалистики, сетевые расследования имеют дело с изменчивой и динамической информацией. Сетевой трафик передается, а затем теряется, поэтому сетевая криминалистика часто является упреждающим расследованием. ^[2]

Сетевая криминалистика обычно имеет два применения. Первое, связанное с безопасностью, включает мониторинг сети на предмет аномального трафика и выявление вторжений. Злоумышленник может стереть все файлы журналов на скомпрометированном хосте; таким образом, сетевые доказательства могут быть единственными доказательствами, доступными для криминалистического анализа. ^[3] Вторая форма относится к правоохранительным органам. В этом случае анализ захваченного сетевого трафика может включать такие задачи, как повторная сборка переданных файлов, поиск ключевых слов и разбор человеческого общения, такого как электронные письма или сеансы чата.

Для сбора сетевых данных обычно используются две системы: метод грубой силы «поймай, как сможешь» и более интеллектуальный метод «остановись, посмотри, послушай».

Обзор

Сетевая криминалистика — сравнительно новая область криминалистики. Растущая популярность Интернета в домах означает, что вычисления стали сетецентричными, и данные теперь доступны за пределами цифровых доказательств на дисках . Сетевая криминалистика может проводиться как отдельное расследование или вместе с компьютерным криминалистическим анализом (где она часто используется для выявления связей между цифровыми устройствами или реконструкции того, как было совершено преступление). ^[2]

Маркусу Рануму приписывают определение сетевой криминалистики как «захвата, записи и анализа сетевых событий с целью обнаружения источника атак на безопасность или других проблемных инцидентов» ^{[4] .}

По сравнению с компьютерной криминалистикой, где доказательства обычно сохраняются на диске, сетевые данные более изменчивы и непредсказуемы. У следователей часто есть только материал для изучения, были ли установлены пакетные фильтры, брандмауэры и системы обнаружения вторжений для предупреждения нарушений безопасности. ^[2]

Системы, используемые для сбора сетевых данных для судебно-медицинской экспертизы, обычно бывают двух видов: ^[5]

"Catch-it-as-you-can" – это когда все пакеты, проходящие через определенную точку трафика, захватываются и записываются в хранилище с последующим анализом в пакетном режиме. Этот подход требует больших объемов хранилища.
"Остановись, посмотри и послушай" – это когда каждый пакет анализируется элементарным способом в памяти, и только определенная информация сохраняется для будущего анализа. Этот подход требует более быстрого процессора , чтобы справляться с входящим трафиком.

Типы

Ethernet

Apt all data на этом уровне позволяет пользователю фильтровать различные события. С помощью этих инструментов страницы веб-сайтов, вложения электронной почты и другой сетевой трафик могут быть реконструированы только в том случае, если они передаются или принимаются незашифрованными. Преимущество сбора этих данных заключается в том, что они напрямую связаны с хостом. Если, например, известен IP-адрес или MAC-адрес хоста в определенное время, все данные, отправленные на этот IP-адрес или MAC-адрес или с него, могут быть отфильтрованы.

Чтобы установить связь между IP и MAC-адресом, полезно более подробно рассмотреть вспомогательные сетевые протоколы. Таблицы протокола разрешения адресов (ARP) содержат список MAC-адресов с соответствующими IP-адресами.

Для сбора данных на этом уровне сетевая интерфейсная карта (NIC) хоста может быть переведена в « беспорядочный режим ». При этом весь трафик будет передаваться на ЦП, а не только трафик, предназначенный для хоста.

Однако если злоумышленник или атакующий знает, что его соединение может прослушиваться, он может использовать шифрование для защиты своего соединения. В наши дни практически невозможно взломать шифрование, но тот факт, что соединение подозреваемого с другим хостом все время зашифровано, может указывать на то, что другой хост является сообщником подозреваемого.

TCP/IP

На сетевом уровне Интернет-протокол (IP) отвечает за направление пакетов, сгенерированных TCP, через сеть (например, Интернет), добавляя информацию об источнике и месте назначения, которая может быть интерпретирована маршрутизаторами по всей сети. Сотовые цифровые пакетные сети, такие как GPRS , используют похожие протоколы, такие как IP, поэтому методы, описанные для IP, работают и с ними.

Для правильной маршрутизации каждый промежуточный маршрутизатор должен иметь таблицу маршрутизации, чтобы знать, куда отправить пакет дальше. Эти таблицы маршрутизации являются одним из лучших источников информации при расследовании цифрового преступления и попытке выследить злоумышленника. Для этого необходимо проследить пакеты злоумышленника, изменить маршрут отправки и найти компьютер, с которого пришел пакет (т. е. злоумышленника).

Аналитика зашифрованного трафика

Учитывая распространение шифрования TLS в Интернете, по ^[update]оценкам на апрель 2021 года половина всех вредоносных программ использует TLS для обхода обнаружения. ^[6]Анализ зашифрованного трафика проверяет трафик для идентификации зашифрованного трафика, поступающего от вредоносных программ и других угроз, путем обнаружения подозрительных комбинаций характеристик TLS, обычно в необычных сетях ^[7] или серверах. ^[8] Другой подход к анализу зашифрованного трафика использует сгенерированную базу данных отпечатков пальцев, ^[9] хотя эти методы подвергались критике за то, что их легко обходят хакеры ^[10]^[11] и что они неточны.

Интернет

Интернет может быть богатым источником цифровых доказательств, включая просмотр веб-страниц, электронную почту, новостные группы , синхронный чат и одноранговый трафик. Например, журналы веб-сервера могут использоваться для того, чтобы показать, когда (или если) подозреваемый получил доступ к информации, связанной с преступной деятельностью. Учетные записи электронной почты часто могут содержать полезные доказательства; но заголовки электронной почты легко подделываются, и поэтому сетевая криминалистика может использоваться для доказательства точного происхождения инкриминирующего материала. Сетевая криминалистика также может использоваться для того, чтобы выяснить, кто использует конкретный компьютер ^[12], путем извлечения информации об учетной записи пользователя из сетевого трафика.

Беспроводная криминалистика

Беспроводная криминалистика — это подраздел сетевой криминалистики. Основная цель беспроводной криминалистики — предоставить методологию и инструменты, необходимые для сбора и анализа (беспроводного) сетевого трафика , который может быть представлен в качестве действительного цифрового доказательства в суде. Собранные доказательства могут соответствовать простым данным или, при широком использовании технологий Voice-over-IP (VoIP), особенно по беспроводной связи, могут включать голосовые разговоры.

Анализ трафика беспроводной сети аналогичен анализу трафика проводных сетей, однако могут быть приняты во внимание дополнительные меры безопасности беспроводной сети .

Ссылки

^ Гэри Палмер, Дорожная карта для цифровых судебных исследований, Отчет с DFRWS 2001, Первый семинар по цифровым судебным исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., страницы 27–30
^ abc Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Elsevier. ISBN 0-12-163104-4.
^ Эрик Хельмвик, Пассивный анализ сетевой безопасности с помощью NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Архивировано 23.02.2012 на Wayback Machine
^ Маркус Ранум, сетевой бортовой самописец, http://www.ranum.com
^ Симсон Гарфинкель, Сетевая криминалистика: прослушивание Интернета http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
^ Галлахер, Шон (21.04.2021). «Почти половина вредоносных программ теперь использует TLS для сокрытия коммуникаций». Sophos News . Получено 29.04.2021 .
^ Номера автономных систем
^ Анализ зашифрованного трафика (часть 1): обнаружить, не расшифровывать, заархивировано из оригинала 20.12.2021 , извлечено 29.04.2021
^ Альтхаус, Джон. «TLS-фингерпринтинг с JA3 и JA3S».
^ Ринальди, Мэтью (2020-11-03). "Impersonating JA3 Fingerprints". Medium . Получено 2021-04-29 .
^ "Сигнатуры JA3/S и как их избегать". BC Security . 2020-04-16 . Получено 2021-04-29 .
^ «Facebook, SSL и сетевая криминалистика», блог сетевой безопасности NETRESEC, 2011 г.

Внешние ссылки

Обзор сетевых криминалистических инструментов и наборов данных (2021)
Криминалистика Вики (2010)

[1] Гэри Палмер, Дорожная карта для цифровых судебных исследований, Отчет с DFRWS 2001, Первый семинар по цифровым судебным исследованиям, Ютика, Нью-Йорк, 7–8 августа 2001 г., страницы 27–30

[casey-2] Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание. Elsevier. ISBN 0-12-163104-4.

[3] Эрик Хельмвик, Пассивный анализ сетевой безопасности с помощью NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Архивировано 23.02.2012 на Wayback Machine

[4] Маркус Ранум, сетевой бортовой самописец, http://www.ranum.com

[5] Симсон Гарфинкель, Сетевая криминалистика: прослушивание Интернета http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] Галлахер, Шон (21.04.2021). «Почти половина вредоносных программ теперь использует TLS для сокрытия коммуникаций». Sophos News . Получено 29.04.2021 .

[7] Номера автономных систем

[8] Анализ зашифрованного трафика (часть 1): обнаружить, не расшифровывать, заархивировано из оригинала 20.12.2021 , извлечено 29.04.2021

[9] Альтхаус, Джон. «TLS-фингерпринтинг с JA3 и JA3S».

[10] Ринальди, Мэтью (2020-11-03). "Impersonating JA3 Fingerprints". Medium . Получено 2021-04-29 .

[11] "Сигнатуры JA3/S и как их избегать". BC Security . 2020-04-16 . Получено 2021-04-29 .

[12] «Facebook, SSL и сетевая криминалистика», блог сетевой безопасности NETRESEC, 2011 г.