Методы, используемые правоохранительными органами для анализа и сбора информации в сети

НОВОСТИ
2018-11-29 11:38:41
0
6.7K

Интернет, особенно Даркнет, стал тем местом, где мошенники, наркоторговцы, работорговцы, экстремисты, торговцы оружием чувствуют себя более чем комфортно. Конфиденциальность, предоставляемая им Даркнетом существенно снижает их риск быть пойманными. Анонимность, криптография и иные способы скрыть свою личность и пути передвижения по всемирной паутине, используемые представителями ее темной стороны, создают серьезные проблемы для правоохранительных органов, занимающихся расследованиями преступлений в киберпространстве.

В недавно опубликовано докладе был представлен обзор некоторых используемых в настоящее время методов для идентификации, сбора, анализа и представления информации, полученной из темной паутины, в судебном порядке.

Несмотря на то, что область компьютерной криминалистики и исследования киберпреступности представляет собой относительно новую область исследований среди более традиционных моделей компьютерной безопасности, в настоящее время существуют некоторые компании и сообщества, которые специализируются на судебных расследованиях. Ниже представлены наиболее часто используемые ими инструменты во время сбора доказательств цифрового исследования:

1- Брандмауэр и журналы маршрутизатора: Эти устройства настроены так, что они могут записывать любую форму подозрительной активности.

2. Сниффинг траффика: эта процедура позволяет исследователю осуществлять мониторинг в реальном времени различных видов деятельности, происходящих в сети.

3 - Системы обнаружения вторжений (IDS): более крупные сети иногда могут развертывать IDS для сбора пакетов данных, которые могут быть связаны с подозрительными действиями.

4-Серверы удаленного доступа: сюда входят устройства, например, модемные серверы и VPN-шлюзы, которые облегчают различные виды соединений между сетями.

5- Программное обеспечение для управления событиями безопасности: эти инструменты помогают анализировать файлы журналов, которые обычно производятся с помощью инструментов IDS, маршрутизаторов и брандмауэров.

6- Инструменты сетевого криминалистического анализа: эти инструменты полезны при восстановлении событий посредством визуализации и воспроизведения сетевого трафика, происходящего в течение определенного периода времени.

7- Другие источники. Эти источники могут включать записи интернет-провайдера (ISP), сетевые подключения и конфигурацию хостов, клиент-серверные приложения и записи протокола DHCP.

Инструменты сетевого расследования:

Ниже перечислены наиболее часто используемые программные инструменты для сниффинга трафика:

TCPDump / WinDump:

TCPDump и WinDump являются, соответственно, представителями Lunix и Windows, которые работают на локальном компьютере, чтобы захватить весь сетевой трафик, проходящий через Ethernet и / или беспроводные соединения.

Ethereal:

Ethereal доступен как для Linux, так и для ОС Windows. Он имеет более удобный пользовательский интерфейс, чем TCPDump. Ethereal. Также имеется несколько вариантов декодирования протокола (> 400). Инструмент позволяет судебному следователю анализировать собранные данные на основе протокола или на основе пакета.

Сетевые средства судебно-аналитического анализа (NFAT):

NFAT - это специальные формы инструментов анализа пакетов, которые способны обнаруживать попытки обхода брандмауэра. Например, корпоративные брандмауэры могут блокировать доступ к своим сотрудникам к социальным сетям и мессенджерам на работе. Как правило, Yahoo Messenger работает через порт 5050, но когда этот порт заблокирован, он автоматически переключится на порт 23. Соответственно, этот сдвиг порта может обойти брандмауэр, однако NFAT все еще сможет обнаружить, что сеть используется Yahoo Messenger посредством пакетного анализа. NFAT не предназначены для замены брандмауэров или программного обеспечения IDS, но разработаны для совместной работы с ними. Обычно NFAT зависят от другого программного обеспечения для сбора пакетов данных трафика, таких как TCPDump.

Программное обеспечение для управления инцидентами и событиями (SIEM):

Программное обеспечение SIEM представляет собой комбинацию различных категорий ПО для управления инцидентами безопасности и ПО для управления событиями безопасности. SIEM имеет довольно разный следственный подход к вышеупомянутым инструментам анализа в режиме реального времени. Программное обеспечение SIEM обычно фокусируется на импорте информации о событиях безопасности, связанной с несколькими источниками сетевого трафика, включая журналы IDS, журналы брандмауэра и другие. Оно работает на основе «после факта», в то время как он анализирует разные копии журналов, которые пытаются обнаружить подозрительные события сетевой активности, путем сопоставления IP-адресов, временных меток данных и других функций сетевого трафика. OSSIM является примером форм с открытым исходным кодом такого программного обеспечения.

Оборудование для проверки пакетов:

При регулярной работе сетевых интерфейсных плат (NIC) устройства принимают только входящие пакеты, которые специально адресованы его IP-адресу. Однако, когда сетевой адаптер находится в беспорядочном режиме, он будет принимать все пакеты, которые он видит, независимо от их предназначенных пунктов назначения. Оборудование для аппаратного сниффинга обычно работает по принципу «конфигурация доступна для захвата всех пакетов или только тех, у кого есть определенные функции», например, определенные TCP-порты, определенные IP-адреса источника или назначения и т. д. Этот стиль захвата сетевого трафика может использоваться в сочетании с методами оптимизации выборки программного обеспечения в целях уменьшения общего размера данных, подлежащих исследованию.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ

0
6.7K
Написать комментарий

Добавить комментарий