Come si identificano le informazioni nella Network Forensics

24 Ott , 2019 Digital Security

La costante ma inesorabile digitalizzazione di molti aspetti della vita privata e professionale ha reso i computer cruciali in diversi ambiti; oltre ai singoli device elettronici – ed alla loro capacità di immagazzinare dati ed informazioni – anche le reti che mettono in comunicazione i dispositivi gli uni agli altri rivestono un ruolo di grande importanza nella circolazione di materiale digitalizzato di vario genere.

Naturalmente, la condivisione di dati e informazioni tramite i vari network pone questioni relative alla privacy, specie in relazione a dati sensibili o informazioni riservate; per questo, negli ultimi anni si è sviluppata una specifica disciplina, la Network Forensics.

Cos’è la Network Forensics

La Network Forensics (NF) è una branca delle scienze forensi, ossia quelle discipline che utilizzano strumenti e metodi scientifici e tecnologici per svolgere indagini legate a crimini di vario genere. Nello specifico, la Network Forensics fa parte delle scienze forensi digitali, che includono anche la Computer Forensics, orientata all’analisi forense dei device elettronici. Secondo la definizione fornita dall’ENISA (ovvero la European Union Agency for Cybersecurity), la NF è “una sotto-branca della digitalforensics collegata al monitoraggio ed all’analisi del traffico dei computer network con lo scopo di raccogliere informazioni, prove legali o individuare intrusioni”.

A cosa serve

L’obiettivo della Network Forensics è quello di analizzare il traffico che si sviluppo lungo una particolare rete. Tale analisi è orientata a raccogliere dati ed informazioni: queste, a loro volta, vengono accuratamente esaminate da tecnici specializzati con lo scopo di individuare elementi che possano dimostrare un accesso forzoso alla rete, un’acquisizione indebita di informazioni riservate o un qualsiasi altro tipo di azione illegittima o violazione nei confronti del network.

Per le sue caratteristiche, la Network Forensics è strettamente relata ad altre scienze forensi, in particolare quelle che si occupano di analizzare i computer, le memorie e i dispositivi di telefonia cellulare.

Attraverso le indagini di NF è possibile ottenere diversi tipi di prova digitale:

  • Full content data, ossia ogni informazione transitata attraverso il network senza alcun tipo di filtro; si tratta di un tipo di informazione che raramente può risultare davvero utile a chi conduce le indagini, dal momento che buona parte del materiale acquisito non è pertinente (per questo, in genere vengono preferiti gli extractedcontent data)
  • Session data; di solito, con questa espressione si identifica uno scambio di informazioni avvenuto tra due agenti che fanno parte dello stesso network. Questi dati permettono agli investigatori di scoprire quando e tra chi è avvenuta una ‘conversazione’ ma non fornisce alcun dettaglio sul contenuto dello scambio;
  • Alert data: si tratta dei dati generati automaticamente dal sistema di identificazione delle intrusioni del Network stesso; il problema principale è che spesso questi ‘Alert data’ si rivelano essere dei falsi allarmi, rappresentando un elemento distraente per gli investigatori;
  • Statistical data (dati statistici): come si può evincere già dal nome, si tratta di informazioni di natura statistica, spesso indicati come ‘metadata’. Questo genere di dati include: il numero di bytes contenuti in un packet trace, tempi di inizio e fine delle conversazioni sul network, il numero di servizi e protocolli usati, i ‘nodi’ più e meno attivi della rete.

La finalità della Network Forensics non è solo quella di analizzare lo stato della rete e del relativo traffico. I riscontri ottenuti tramite i controlli forensi consentono anche di mettere in evidenza i punti deboli della rete, quelli più vulnerabili ad un attacco dall’esterno. Le indagini di NF, quindi, possono assolvere anche una funzione di carattere preventivo, consentendo al titolare o al gestore del network di analizzare le falle della rete (e dei sistemi di sicurezza attivi a protezione della stessa) e di pianificare una strategia idonea che preveda l’attuazione delle contromosse necessarie a rimettere in sicurezza il network e il relativo traffico di informazioni. Non a caso, l’attività di indagine va di pari passo con quella di costante monitoraggio dell’attività che si svolge sulla rete e con il cosiddetto ‘logging’, ossia la notifica degli elementi problematici che avviene periodicamente od al verificarsi di determinate condizioni di sistema. Entrambe le fasi consentono di individuare tempestivamente le anomalie, in modo tale da intervenire per analizzarle, scoprire le cause o i fattori che le hanno determinate e delineare le misure correttive necessarie.

Come si identificano le informazioni

Per svolgere indagini di Network Forensics è consigliabile rivolgersi ad un’agenzia di investigazione specializzata in questo genere di servizi. Se le indagini devono essere svolte su di un network aziendale, il mandato d’indagine può essere conferito sia dal titolare dell’azienda sia da un legale rappresentante.

I controlli di Network Forensics vengono effettuati nel rispetto degli stessi principi che si applicano nella Digital Forensics:

  • Ottenimento delle informazioni: questo passaggio rappresenta la prima fase di indagine. Gli incaricati raccolgono le informazioni relative all’anomalia ossia l’ora, la data, l’ambiente in cui si è verificato, le persone coinvolte, cosa è stato fatto durante e dopo, chi era a capo del processo decisionale. In questa fase è anche possibile fissare gli obiettivi ed individuare quelli prioritari;
  • Definizione della strategia: si tratta di programmare l’indagine definendone i punti;
  • Raccolta delle prove: questa fase delle indagini di Network Forensics consiste nell’ottenere ogni tipo di prove dalle fonti a disposizione. Il processo di ‘raccolta’ si articola a sua volta in tre momenti ben distinti: documentazione, acquisizione e conservazione. Per ‘documentazione’ si intende la registrazione di informazioni quali tempo e modalità di acquisizione delle prove, fonte e gli investigatori coinvolti. L’acquisizione, invece, è rappresentata da tutti i processi pratici messi in atto per venire in possesso dei dati da analizzare (copia di file, duplicazione di hard disk e simili) mentre la conservazione deve essere implementata nella maniera corretta, al fine di assicurare l’integrità e la sicurezza delle informazioni raccolte. In generale, la raccolta dei dati può essere effettuata con una serie di tecniche diverse: via cavo, acquisendo i dati dalla fonte, con i tap (network taps o vampire taps), tramite un punto di connessione (hub) o degli interruttori che connettono assieme più stazioni a formare un LAN.
  • Analisi: la fase cruciale delle indagini consiste nel passare al vaglio i dati raccolti, secondo diverse metodologie. È compito degli investigatori scegliere l’approccio e gli strumenti che meglio si addicono al singolo caso di specie.

Ciascuna delle fasi sopra descritta prevede l’utilizzo di tool professionali, in grado di realizzare la ‘cattura’ e l’analisi dettagliata dei dati provenienti dal network; tra i software più utilizzati si segnalano Wireshark, Snort e Argus.

Le indagini di concludono, in ogni caso, con la stesura – da parte degli investigatori – di una relazione finale. In questo documento gli agenti riportano in dettaglio il lavoro svolto e i risultati ottenuti.


Desideri ricevere una consulenza gratuita o un preventivo senza impegno su questo argomento?
CONTATTACI SUBITO: