forensics compreende a captura, armazenamento e analise de dados trafegados na rede de computadores para detectar a origem de algum problema de segurança ou algum outro incidente.
Garfinkel separa network forensics em dois sistemas básicos:
"Catch-it-as-you-can" ou pegue tudo que puder: neste sistema, todos os pacotes que trafegarem por determinado ponto será capturado e armazenado em um storage, para uma análise posterior.
"Stop, look and listen" ou pare, olhe e escute: neste sistema, cada pacote capturado é analisado em memória, no momento da captura, e apenas informações que atendam a um determinado critério serão salvas para uma posterior análise. Esta abordagem requer uma hardware com alto poder de processamento, para que não haja perda de pacotes capturados.
Alguns programas open source, tais como wireshark, ethereal, tcpdump e windump podem ser usados para captura de dados e análise, mas aqui eu vou falar de uma solução forense, que DEVE ser séria e profissional: o NetWitness. Antes de você torcer o nariz e sair dizendo que este blog é comercial, saiba que você pode começar a brincadeira com uma versão free (não é trial, é free!) do NetWitness Investigator (disponível em 4n6.cc/tTVZS). Claro, não há almoço de graça, a versão free tem algumas limitações, mas para quem se contentava com o Wireshark, você está no lucro, amigo ;-)
Bom, antes de mais nada, vamos posicionar o Netwitness: ele é diferente do wireshark e dos outros programinhas que citei a pouco: o NW faz o que chamamos de análise de sessão, enquanto os programas wireshark like fazem análise de pacotes. O que isso quer dizer? Mudança de foco. A sua análise é feita em cima da sessão de determinado aplicativo ou determinado protocolo. Ok, você consegue fazer isso no wireshark também, remontando as seções, mas alguém já tentou remontar uma conversa VoIP (H.323) utilizando wireshark? E se eu disser que isso é nativo no Netwitness? Sério! Quando você terminar de instalar a versão free do Investigator, ele vem com uma "demo collection" que contém uma conversa VoIP entre duas pessoas. E remontar a conversa é absurdamente simples! Num tráfego "normal" de rede você encontra algumas características que são previstas no TCP, mas atrapalham o trabalho braçal com o Wireshark: fragmentação, colisão e re-transmissão. Isso gera muito lixo, que o wireshark vai te mostrar, mas o Netwitness sabe tratar, por que o Netwitness foca na sessão.

No comments:
Post a Comment