Ağ adli tıp - Network forensics
| Bir kısmı bir dizi üzerinde |
| Adli bilim |
|---|
 |
Ağ adli tıp , bilgi toplama, yasal kanıt veya izinsiz giriş tespiti amacıyla bilgisayar ağı trafiğinin izlenmesi ve analizi ile ilgili dijital adli tıp alt dalıdır . Diğer dijital adli tıp alanlarının aksine, ağ araştırmaları değişken ve dinamik bilgilerle ilgilenir. Ağ trafiği iletilir ve sonra kaybolur, bu nedenle ağ adli tıp genellikle proaktif bir araştırmadır.
Ağ adli tıp genellikle iki kullanıma sahiptir. Birincisi, güvenlikle ilgili, anormal trafik için bir ağı izlemeyi ve izinsiz girişleri tanımlamayı içerir. Bir saldırgan, güvenliği ihlal edilmiş bir ana bilgisayardaki tüm günlük dosyalarını silebilir; bu nedenle ağ tabanlı kanıt, adli tıp analizi için mevcut olan tek kanıt olabilir. İkinci biçim, kanun yaptırımı ile ilgilidir. Bu durumda, yakalanan ağ trafiğinin analizi, aktarılan dosyaları yeniden birleştirme, anahtar sözcükleri arama ve e-postalar veya sohbet oturumları gibi insan iletişimini ayrıştırma gibi görevleri içerebilir.
Ağ verilerini toplamak için yaygın olarak iki sistem kullanılır; kaba kuvvet "yapabildiğin kadar yakala" ve daha akıllı bir "dur bak dinle" yöntemi.
Genel Bakış
Ağ adli bilimi, nispeten yeni bir adli bilim alanıdır. İnternetin evlerde artan popülaritesi, bilgi işlemin ağ merkezli hale geldiği ve verilerin artık disk tabanlı dijital kanıtların dışında mevcut olduğu anlamına geliyor . Ağ adli tıp, bağımsız bir soruşturma olarak veya bilgisayar adli tıp analizinin yanında gerçekleştirilebilir (burada genellikle dijital cihazlar arasındaki bağlantıları ortaya çıkarmak veya bir suçun nasıl işlendiğini yeniden yapılandırmak için kullanılır).
Marcus Ranum, Ağ adli bilişimini "güvenlik saldırılarının veya diğer sorun olaylarının kaynağını keşfetmek için ağ olaylarının yakalanması, kaydedilmesi ve analizi" olarak tanımlayarak itibar kazanmıştır.
Kanıtların genellikle diskte korunduğu bilgisayar adli tıpla karşılaştırıldığında, ağ verileri daha uçucudur ve öngörülemez. Araştırmacılar genellikle yalnızca, güvenlik ihlallerini önceden tahmin etmek için paket filtreleri, güvenlik duvarları ve izinsiz giriş tespit sistemlerinin kurulup kurulmadığını inceleyecek materyale sahiptir.
Adli tıp kullanımı için ağ verilerini toplamak için kullanılan sistemler genellikle iki biçimde gelir:
- "Yapabildiğiniz kadar yakala" - Bu, belirli bir trafik noktasından geçen tüm paketlerin yakalandığı ve daha sonra toplu modda analiz yapılarak depoya yazıldığı yerdir. Bu yaklaşım, büyük miktarlarda depolama gerektirir.
- "Dur, bak ve dinle" - Burası, her paketin hafızada temel bir şekilde analiz edildiği ve gelecekteki analizler için yalnızca belirli bilgilerin kaydedildiği yerdir. Bu yaklaşım, gelen trafiğe ayak uydurmak için daha hızlı bir işlemci gerektirir .
Türler
Ethernet
Bu katmandaki tüm verileri apt ve kullanıcının farklı olayları filtrelemesine izin verir. Bu araçlarla, web sitesi sayfaları, e-posta ekleri ve diğer ağ trafiği, yalnızca şifrelenmeden iletilir veya alınırsa yeniden yapılandırılabilir. Bu verileri toplamanın bir avantajı, doğrudan bir ana bilgisayara bağlı olmasıdır. Örneğin, bir ana bilgisayarın belirli bir zamandaki IP adresi veya MAC adresi biliniyorsa, bu IP veya MAC adresine veya bu adreslerden gönderilen tüm veriler filtrelenebilir.
IP ve MAC adresi arasında bağlantı kurmak için, yardımcı ağ protokollerine daha yakından bakmak yararlıdır. Adres Çözümleme Protokolü (ARP) tabloları, MAC adreslerini karşılık gelen IP adresleriyle listeler.
Bu katmanda veri toplamak için , bir ana bilgisayarın ağ arayüz kartı (NIC) " rastgele moda " konulabilir . Bunu yaparken, yalnızca ana makineye yönelik trafik değil, tüm trafik CPU'ya aktarılacaktır.
Bununla birlikte, bir davetsiz misafir veya saldırgan bağlantısının gizlice dinlenebileceğinin farkındaysa, bağlantısını güvence altına almak için şifreleme kullanabilir. Günümüzde şifrelemeyi kırmak neredeyse imkansızdır, ancak bir şüphelinin başka bir ana bilgisayara bağlantısının her zaman şifrelenmiş olması, diğer ana bilgisayarın şüphelinin suç ortağı olduğunu gösterebilir.
TCP / IP
Ağ katmanında İnternet Protokolü (IP), TCP tarafından üretilen paketleri ağ üzerinden (örneğin İnternet), tüm ağdaki yönlendiriciler tarafından yorumlanabilen kaynak ve hedef bilgileri ekleyerek yönlendirmekten sorumludur . GPRS gibi hücresel dijital paket ağları, IP gibi benzer protokolleri kullanır, bu nedenle IP için açıklanan yöntemler de onlarla çalışır.
Doğru yönlendirme için, her ara yönlendiricinin , paketi daha sonra nereye göndereceğini bilmesi için bir yönlendirme tablosuna sahip olması gerekir. Bu yönlendirme tabloları, dijital bir suçu araştırıyor ve bir saldırganın izini sürmeye çalışıyorsanız en iyi bilgi kaynaklarından biridir. Bunun için saldırganın paketlerini takip etmek, gönderme rotasını tersine çevirmek ve paketin geldiği bilgisayarı (yani saldırgan) bulmak gerekir.
Şifreli Trafik Analizi
İnternette TLS şifrelemesinin yaygınlaşması göz önüne alındığında, Nisan 2021 itibarıyla tüm kötü amaçlı yazılımların yarısının tespit edilmekten kaçınmak için TLS kullandığı tahmin edilmektedir. Şifrelenmiş trafik analizi, genellikle yaygın olmayan ağlara veya sunuculara giden TLS özelliklerinin şüpheli kombinasyonlarını tespit ederek kötü amaçlı yazılımlardan ve diğer tehditlerden gelen şifreli trafiği tanımlamak için trafiği inceler . Şifrelenmiş trafik analizine yönelik başka bir yaklaşım, parmak izlerinin oluşturulmuş bir veritabanını kullanır , ancak bu teknikler bilgisayar korsanları tarafından kolayca atlanabildiği ve yanlış olduğu gerekçesiyle eleştirilmiştir.
İnternet
İnternet; web'de gezinme, e-posta, haber grubu , eşzamanlı sohbet ve eşler arası trafik dahil olmak üzere zengin bir dijital kanıt kaynağı olabilir . Örneğin, web sunucusu günlükleri, bir şüphelinin suç faaliyetleriyle ilgili bilgilere ne zaman (veya eğer) eriştiğini göstermek için kullanılabilir. E-posta hesapları genellikle yararlı kanıtlar içerebilir; ancak e-posta başlıkları kolayca sahtedir ve bu nedenle suçlayıcı materyalin tam kaynağını kanıtlamak için ağ adli tıp kullanılabilir. Ağ adli tıp, ağ trafiğinden kullanıcı hesabı bilgilerini çıkararak belirli bir bilgisayarı kimin kullandığını bulmak için de kullanılabilir.
Kablosuz adli tıp
Kablosuz adli tıp , ağ adli tıp biliminin bir alt disiplinidir. Kablosuz adli bilimin temel amacı, bir mahkemede geçerli dijital kanıt olarak sunulabilecek (kablosuz) ağ trafiğini toplamak ve analiz etmek için gereken metodolojiyi ve araçları sağlamaktır . Toplanan kanıtlar düz verilere karşılık gelebilir veya IP üzerinden Ses (VoIP) teknolojilerinin özellikle kablosuz üzerinden geniş kullanımıyla sesli konuşmaları içerebilir.
Kablosuz ağ trafiğinin analizi, kablolu ağlardakine benzer, ancak ek olarak kablosuz güvenlik önlemleri de söz konusu olabilir .
Referanslar
- ^ Gary Palmer, Dijital Adli Araştırma için Yol Haritası, DFRWS 2001 Raporu, First Digital Forensic Research Workshop, Utica, New York, 7-8 Ağustos 2001, Sayfa 27–30
- ^ a b c Casey, Eoghan (2004). Digital Evidence and Computer Crime, İkinci Baskı . Elsevier. ISBN 0-12-163104-4 .
- ^ Erik Hjelmvik, NetworkMiner ile Pasif Ağ Güvenliği Analizi http://www.forensicfocus.com/passive-network-security-analysis-networkminer Arşivlenen de 2012-02-23 Wayback Machine
- ^ Marcus Ranum, Ağ Uçuş Kaydedici, http://www.ranum.com
- ^ Simson Garfinkel, Ağ Adli Tıp: İnternete Dokunmak http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
- ^ Gallagher, Sean (2021/04/21). "Kötü amaçlı yazılımların neredeyse yarısı artık iletişimi gizlemek için TLS kullanıyor" . Sophos News . Erişim tarihi: 2021-04-29 .
- ^ Şifrelenmiş Trafik Analizi (Bölüm 1): Algıla, Şifresini Çözme , 2021-04-29 alındı
- ^ Rinaldi, Matthew (2020-11-03). "JA3 Parmak İzlerini Taklit Etmek" . Orta . Erişim tarihi: 2021-04-29 .
- ^ "JA3 / S İmzaları ve Bunlardan Nasıl Kaçınılır" . BC Güvenliği . 2020-04-16 . Erişim tarihi: 2021-04-29 .
- ^ "Facebook, SSL ve Ağ Adli Tıp", NETRESEC Network Security Blog, 2011