Сетевая криминалистика

Сетевая криминалистика является сравнительно новой областью криминалистики. С ростом популярности интернета компьютеры становятся всё более сетевыми, и данные теперь доступны не только на дисках, но и через сеть. Сетевые расследования можно проводить отдельно либо в комбинации с компьютерной криминалистикой (часто — для установления связей между устройствами или реконструкции событий преступления)^[2].

Маркус Ранум (Marcus Ranum) определил сетевую криминалистику как «захват, запись и анализ сетевых событий для установления источника атак и других инцидентов безопасности»^[3].

В отличие от компьютерной криминалистики, где доказательства обычно сохраняются на носителях, сетевые данные гораздо более изменчивы и непредсказуемы. Следователь может иметь материал для анализа только если были заранее настроены фильтры, межсетевые экраны и средства обнаружения вторжений^[2].

Системы, используемые для сбора сетевых данных, делятся на два типа:^[4]

• «Лови всё, что можешь» (Catch-it-as-you-can) — при проходе трафика через определённую точку фиксируются все пакеты и записываются на накопитель, а анализ проводится позже в пакетном режиме. Такой подход требует большого объёма памяти хранения.
• «Остановись, посмотри и послушай» (Stop, look and listen) — каждый пакет анализируется «на лету» в памяти, и только выбранная информация сохраняется для дальнейшего анализа. Этот метод требует производительного процессора для обработки всего потока данных.

Практически все данные на этом уровне позволяют фильтровать по различным событиям. Используя такие инструменты, можно реконструировать веб-страницы, вложения электронной почты и прочий сетевой трафик — если они были переданы или получены в незашифрованном виде. Преимущество сбора подобных данных состоит в их прямой связи с конкретным узлом сети. Например, если известен IP-адрес или MAC-адрес устройства в определённый момент времени, можно отфильтровать весь трафик, отправленный с этого IP или MAC-адреса и полученный им.

Для установления связи между IP- и MAC-адресом полезно воспользоваться вспомогательными сетевыми протоколами. Например, таблицы ARP (Address Resolution Protocol) содержат сопоставление MAC- и IP-адресов.

Для сбора данных на этом уровне сетевую карту (NIC) можно перевести в режим промискуитета. В таком случае к процессору поступает весь трафик, а не только адресованный этому устройству.

Однако злоумышленник, подозревая возможность прослушки, может использовать шифрование соединения. В современных условиях взлом шифрования почти невозможен, но сам тот факт, что соединение подозреваемого с другим хостом постоянно зашифровано, может указывать на то, что данный хост — сообщник.

На сетевом уровне IP отвечает за маршрутизацию пакетов, сгенерированных TCP, добавляя исходные и целевые адреса — это позволяет маршрутизаторам по всей сети правильно направлять пакеты. Сотовые цифровые пакетные сети (например, GPRS) используют похожие протоколы, поэтому методы анализа для IP применимы и к ним.

Для правильной маршрутизации каждый промежуточный маршрутизатор использует свою таблицу маршрутизации. Эти таблицы являются ценным источником информации при расследовании киберпреступлений и отслеживании злоумышленников — при реконструкции маршрута пересылки пакетов и обнаружении компьютера-отправителя.

В условиях массового применения шифрования (TLS, Transport Layer Security) в интернете, по оценкам на апрель 2021 года, около половины вредоносного ПО применяет TLS для обхода обнаружения^[5]. Анализ зашифрованного трафика позволяет выявлять вредоносные программы и другие угрозы путём анализа подозрительных сочетаний характеристик TLS — как правило, при обращении к необычным сетям^[6] или серверам. Другой подход основан на создании базы «отпечатков» TLS-соединений^[7], однако такие методы критикуют за их лёгкость обхода злоумышленниками^[8][9] и невысокую точность.

Интернет — богатый источник цифровых улик: история веб-сёрфинга, электронная почта, ньюсгруппы, синхронные чаты и пиринговый (P2P) трафик. Например, журналы веб-сервера могут показать, когда подозреваемый заходил (или не заходил) к материалам, связанным с преступлением. В электронной почте часто содержатся свидетельства, но заголовки легко подделать, поэтому сетевая криминалистика может играть роль в установлении происхождения материалов. С помощью методов сетевого анализа иногда возможно выяснить пользователя конкретного компьютера^[10], извлекая из трафика сетевые учётные данные.

Беспроводная криминалистика (англ. wireless forensics) — поддисциплина сетевой криминалистики. Её основная задача — выработка методик и инструментов сбора и анализа трафика беспроводных сетей, которые могут быть представлены в суде в качестве цифровых доказательств. Такие доказательства могут касаться не только обычных данных, но и, с развитием технологий VoIP, голосовых переговоров — особенно для беспроводных соединений.

Анализ трафика беспроводных сетей в целом похож на анализ проводных, но сюда добавляются аспекты безопасности беспроводных сетей.

Устройство захвата пакетов (англ. packet capture appliance) — это автономное сетевое устройство, осуществляющее захват сетевых пакетов. Устройства захвата пакетов могут устанавливаться практически в любой точке сети, однако чаще всего размещаются на входах в сеть и перед критически важным оборудованием, таким как серверы с конфиденциальной информацией.