Network Forensics com NetWitness

Um dos ramos de atuação da computação forense é a forense de rede, ou network forensics. De acordo com Simson Garfinkel, conceituado autor especializado em temas de segurança da informação, network 
forensics compreende a captura, armazenamento e analise de dados trafegados na rede de computadores para detectar a origem de algum problema de segurança ou algum outro incidente.

Garfinkel separa network forensics em dois sistemas básicos:

"Catch-it-as-you-can" ou pegue tudo que puder: neste sistema, todos os pacotes que trafegarem por determinado ponto será capturado e armazenado em um storage, para uma análise posterior.

"Stop, look and listen" ou pare, olhe e escute: neste sistema, cada pacote capturado é analisado em memória, no momento da captura, e apenas informações que atendam a um determinado critério serão salvas para uma posterior análise. Esta abordagem requer uma hardware com alto poder de processamento, para que não haja perda de pacotes capturados.

Alguns programas open source, tais como wireshark, ethereal, tcpdump e windump podem ser usados ​​para captura de dados e análise, mas aqui eu vou falar de uma solução forense, que DEVE ser séria e profissional: o NetWitness. Antes de você torcer o nariz e sair dizendo que este blog é comercial, saiba que você pode começar a brincadeira com uma versão free (não é trial, é free!) do NetWitness Investigator (disponível em 4n6.cc/tTVZS). Claro, não há almoço de graça, a versão free tem algumas limitações, mas para quem se contentava com o Wireshark, você está no lucro, amigo ;-)

Bom, antes de mais nada, vamos posicionar o Netwitness: ele é diferente do wireshark e dos outros programinhas que citei a pouco: o NW faz o que chamamos de análise de sessão, enquanto os programas wireshark like fazem análise de pacotes. O que isso quer dizer? Mudança de foco. A sua análise é feita em cima da sessão de determinado aplicativo ou determinado protocolo. Ok, você consegue fazer isso no wireshark também, remontando as seções, mas alguém já tentou remontar uma conversa VoIP (H.323) utilizando wireshark? E se eu disser que isso é nativo no Netwitness? Sério! Quando você terminar de instalar a versão free do Investigator, ele vem com uma "demo collection" que contém uma conversa VoIP entre duas pessoas. E remontar a conversa é absurdamente simples! Num tráfego "normal" de rede você encontra algumas características que são previstas no TCP, mas atrapalham o trabalho braçal com o Wireshark: fragmentação, colisão e re-transmissão. Isso gera muito lixo, que o wireshark vai te mostrar, mas o Netwitness sabe tratar, por que o Netwitness foca na sessão.



Em outras oportunidades vou falar um pouco mais sobre o Netwitness. Por hora, recomendo o download do NW Investigator free, disponível em 4n6.cc/tTVZS. Para quem não tem nenhum contato com a ferramenta, o pessoal da Netwitness disponibilizou um webcast muito bom: chama-se Learn to Use NetWitness Investigator Freeware. Recomendo muito!