Examen forense de armas de fuego
El examen forense de armas de fuego es el proceso forense de examinar las características de las armas de fuego o las balas dejadas en la escena del crimen.... (leer más)
Análisis forense de redes
Imprimir Citar
El análisis forense de redes es una rama secundaria del análisis forense digital relacionado con la supervisión y el análisis del tráfico de redes informáticas con el fin de recopilar información, pruebas legales o detección de intrusos. A diferencia de otras áreas del análisis forense digital, las investigaciones de redes se ocupan de información volátil y dinámica. El tráfico de la red se transmite y luego se pierde, por lo que el análisis forense de la red suele ser una investigación proactiva.
El análisis forense de redes generalmente tiene dos usos. El primero, relacionado con la seguridad, implica monitorear una red en busca de tráfico anómalo e identificar intrusiones. Un atacante podría borrar todos los archivos de registro en un host comprometido; Por lo tanto, la evidencia basada en la red podría ser la única evidencia disponible para el análisis forense. La segunda forma se relaciona con la aplicación de la ley. En este caso, el análisis del tráfico de red capturado puede incluir tareas como volver a ensamblar archivos transferidos, buscar palabras clave y analizar comunicaciones humanas, como correos electrónicos o sesiones de chat.
Normalmente se utilizan dos sistemas para recopilar datos de red; una fuerza bruta "atrápalo como puedas" y un método más inteligente de "deja de mirar y escucha".
Visión general
El análisis forense de redes es un campo comparativamente nuevo de la ciencia forense. La creciente popularidad de Internet en los hogares significa que la informática se ha vuelto centrada en la red y los datos ahora están disponibles fuera de la evidencia digital basada en disco. El análisis forense de redes se puede realizar como una investigación independiente o junto con un análisis forense informático (donde a menudo se usa para revelar vínculos entre dispositivos digitales o reconstruir cómo se cometió un delito).
A Marcus Ranum se le atribuye la definición de análisis forense de redes como "la captura, el registro y el análisis de eventos de la red para descubrir el origen de los ataques de seguridad u otros incidentes problemáticos".
En comparación con la informática forense, donde la evidencia generalmente se conserva en el disco, los datos de la red son más volátiles e impredecibles. Los investigadores a menudo solo tienen material para examinar si se configuraron filtros de paquetes, cortafuegos y sistemas de detección de intrusos para anticipar violaciones de seguridad.
Los sistemas utilizados para recopilar datos de red para uso forense generalmente vienen en dos formas:
- "Atrápalo como puedas": aquí es donde todos los paquetes que pasan por un determinado punto de tráfico se capturan y se escriben en el almacenamiento y el análisis se realiza posteriormente en modo por lotes. Este enfoque requiere grandes cantidades de almacenamiento.
- "Detente, mira y escucha": aquí es donde cada paquete se analiza de manera rudimentaria en la memoria y solo se guarda cierta información para futuros análisis. Este enfoque requiere un procesador más rápido para mantenerse al día con el tráfico entrante.
Tipos
Ethernet
Apt todos los datos en esta capa y permite al usuario filtrar por diferentes eventos. Con estas herramientas, las páginas de sitios web, los archivos adjuntos de correo electrónico y otro tráfico de red se pueden reconstruir solo si se transmiten o reciben sin cifrar. Una ventaja de recopilar estos datos es que está directamente conectado a un host. Si, por ejemplo, se conoce la dirección IP o la dirección MAC de un host en un momento determinado, se pueden filtrar todos los datos enviados hacia o desde esta dirección IP o MAC.
Para establecer la conexión entre la dirección IP y MAC, es útil observar más de cerca los protocolos de red auxiliares. Las tablas del Protocolo de resolución de direcciones (ARP) enumeran las direcciones MAC con las direcciones IP correspondientes.
Para recopilar datos en esta capa, la tarjeta de interfaz de red (NIC) de un host se puede poner en "modo promiscuo". Al hacerlo, todo el tráfico pasará a la CPU, no solo el tráfico destinado al host.
Sin embargo, si un intruso o atacante es consciente de que su conexión puede ser interceptada, podría usar el cifrado para asegurar su conexión. Hoy en día es casi imposible romper el cifrado, pero el hecho de que la conexión de un sospechoso a otro host esté cifrada todo el tiempo podría indicar que el otro host es cómplice del sospechoso.
TCP/IP
En la capa de red, el Protocolo de Internet (IP) es responsable de dirigir los paquetes generados por TCP a través de la red (por ejemplo, Internet) agregando información de origen y destino que pueden interpretar los enrutadores de toda la red. Las redes celulares de paquetes digitales, como GPRS, usan protocolos similares a IP, por lo que los métodos descritos para IP también funcionan con ellos.
Para el enrutamiento correcto, cada enrutador intermedio debe tener una tabla de enrutamiento para saber dónde enviar el paquete a continuación. Estas tablas de enrutamiento son una de las mejores fuentes de información si se investiga un delito digital y se intenta rastrear a un atacante. Para hacer esto, es necesario seguir los paquetes del atacante, invertir la ruta de envío y encontrar la computadora de la que proviene el paquete (es decir, el atacante).
Análisis de tráfico cifrado
Dada la proliferación del cifrado TLS en Internet, a partir de abril de 2021 se estima que la mitad de todo el malware utiliza TLS para evadir la detección. El análisis de tráfico cifrado inspecciona el tráfico para identificar el tráfico cifrado procedente de malware y otras amenazas mediante la detección de combinaciones sospechosas de características de TLS, generalmente en redes o servidores poco comunes. Otro enfoque para el análisis del tráfico encriptado utiliza una base de datos generada de huellas dactilares, aunque estas técnicas han sido criticadas por ser fácilmente eludidas por los piratas informáticos y por ser inexactas.
La Internet
Internet puede ser una rica fuente de evidencia digital que incluye navegación web, correo electrónico, grupos de noticias, chat síncrono y tráfico entre pares. Por ejemplo, los registros del servidor web se pueden usar para mostrar cuándo (o si) un sospechoso accedió a información relacionada con actividades delictivas. Las cuentas de correo electrónico a menudo pueden contener evidencia útil; pero los encabezados de los correos electrónicos se falsifican fácilmente y, por lo tanto, el análisis forense de la red puede usarse para probar el origen exacto del material incriminatorio. El análisis forense de redes también se puede usar para averiguar quién está usando una computadora en particular al extraer la información de la cuenta del usuario del tráfico de la red.
Análisis forense inalámbrico
El análisis forense inalámbrico es una subdisciplina del análisis forense de redes. El objetivo principal del análisis forense inalámbrico es proporcionar la metodología y las herramientas necesarias para recopilar y analizar el tráfico de la red (inalámbrica) que se puede presentar como evidencia digital válida en un tribunal de justicia. La evidencia recopilada puede corresponder a datos simples o, con el amplio uso de las tecnologías de voz sobre IP (VoIP), especialmente inalámbricas, puede incluir conversaciones de voz.
El análisis del tráfico de la red inalámbrica es similar al de las redes cableadas, sin embargo, puede haber la consideración adicional de las medidas de seguridad inalámbrica.
- Te puede interesar
- Te puede interesar
Análisis forense de audio
El análisis forense de audio es el campo de la ciencia forense relacionado con la adquisición, el análisis y la evaluación de grabaciones de sonido que... (leer más)
- Te puede interesar
Criminología positiva
La criminología positiva se basa en la perspectiva de que la integración y las influencias positivas en la vida que ayudan a las personas a desarrollarse... (leer más)
Más resultados...