O que é análise forense em redes?

Análise Forense em Redes é parte integrante da Computação Forense, que tem como objetivo identificar ativos de redes, que armazenam dados de incidentes de segurança.

Quer saber muito mais sobre Forense em Redes? Leia este artigo até o final!

Introdução

A Análise Forense em Redes visa identificar ativos de redes, que armazenam dados de incidentes de segurança, para, então, correlacionarem esses dados com o processo de investigação, de elucidação dos fatos concretos, bem como sobre a ação do cibercriminoso mediante o uso da fluidez da rede de internet.

A Forense em Redes contempla um rol de técnicas e ferramentas específicas, capazes e eficientes na obtenção de dados e artefatos, possibilitando quantificá-las como vestígios de crime, evidências digitais ou provas judiciais.

A Forense em Redes é capaz de elucidar quesitos investigativos como:

1. Ocorreu alguma técnica de levantamento de dados?
2. Ocorreu invasão?
3. Mediante qual serviço a invasão correu?
4. Qual a vulnerabilidade explorada?
5. O invasor instalou algo no dispositivo? E muito mais!

O que é análise forense em redes?

Primeiramente, cumpre destacar que segundo Bustamante (2006)3, a perícia forense pode ser definida como coleção e análise de dados de um computador, sistema, rede ou dispositivos de armazenamento, de forma que sejam admitidos em juízo, sendo que as evidências que um perito encontra geralmente não podem ser vistas de forma direta, dependendo de ferramentas e meios para a sua obtenção.

A Análise forense em redes, ou network forensics, na prática refere-se ao processo de captura, armazenamento, tratamento e análise de informações que trafegam em redes de dispositivos computacionais, como parte de uma perícia digital.

Também conhecida como Forense em Rede, a Network Analysis é a técnica de obtenção de “dados dos demais ativos de rede envolvidos em um incidente de segurança” (MELO, 2009).1

A análise forense em redes é uma fonte indispensável e inesgotável de dados de diversos tipos, emergentes de um incidente, como, por exemplo, a invasão de um servidor.

Neste contexto, deve ser realizada, por um perito digital devidamente qualificado para tanto, uma análise forense em redes, imediatamente após o ataque ter ocorrido ou logo na sequência que foi possível a sua identificação, para evitar maiores prejuízos, extravio de dados e evidências, alteração do ambiente atacado, e possibilitar o máximo possível a coleta dos rastros da invasão.

De acordo com The Open University (2016, 34), a “análise de redes é o monitoramento, captura, armazenamento e análise de atividades ou eventos de redes para descobrir a fonte de ataques de segurança, invasões ou outros incidentes problemáticos, ou seja, ataques de worms, vírus ou malware, tráfego de redes anormal e violações de segurança. ”

A forense em redes, na maioria das vezes, se torna um imenso desafio para o perito digital, uma vez que os dados ali alocados são extremamente voláteis, bem como devido à natureza intermitente do tráfego de redes.

O trafego de uma rede pode ser analisado em tempo real ou a partir de uma captura realizada anteriormente. Independente da forma de captura do pacote, para perícia, geralmente é importante saber a origem e destino do pacote, as portas, e principalmente o conteúdo completo dos pacotes suspeitos (GALVÃO 2013).[1]

Ainda, é importante ressaltar que caso os dados desejados não forem coletados quando da sua transmissão, fica sujeito ao seu extravio em definitivo.

Além do mais, o monitoramento, para coletar informações alocadas em redes, proporciona uma vasta quantidade de dados capturados, auxiliando os trabalhos dos profissionais de alçada no incidente investigado.

A forense em redes é um meio de coleta de dados relacionados a toda atividade do computador comprometido que podem ser extraídas dos ativos de redes pelos quais tal computador fez fluir dados em algum momento, seja em um acesso ao servidor de arquivos, seja no um recebimento ou envio de e-mail por exemplo. Em suma, informações dos ativos de redes que podem ser correlacionados como: registro de eventos de um Firewall, IDS, Proxy, IPS ou qualquer outro servidor. (Melo, 2009)[2]

Qual a importância da análise forense em redes?

A Análise Forense em Redes é uma fonte rica de informações de um Incidente de Segurança em um servidor, principalmente em se tratando de Incidentes de Invasão de Sistemas, especialmente no âmbito corporativo, onde há um imenso processamento de dados.

Aplicando a análise forense em redes é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma sequência de eventos e comparando com as outras evidências encontradas.[3]

A análise forense em redes é fundamental para a compreensão profunda sobre o funcionamento de determinada rede e seus serviços, e, neste sentido:

“A análise de tráfego é um assunto essencial para administradores de redes de computadores. Com tal análise, um administrador realmente dominará a sua rede. Muitas vezes, administradores não conhecem os conceitos básicos sobre protocolos de redes e terminam não resolvendo, conscientemente, os problemas técnicos encontrados. Isso sem mencionar os problemas que existem, mas nunca foram vistos. ” (Mota Filho, 2013).[4]

Ataques cibernéticos em ambientes corporativos vêm aumentando drasticamente dia após dia, além dos mais os cibercriminosos aperfeiçoam seus métodos de ataques, a medida em que a tecnologia se desenvolve, prejudicando a defesa preventiva, contínua e efetiva dos dados das organizações.

A realidade acima exposta, torna a análise forense em redes essencial para a resolução de crimes digitais e para a busca da efetiva prevenção de novos ataques cibernéticos, seja no âmbito corporativo de qualquer seguimento ou porte, e, até mesmo, em redes particulares, que também estão suscetíveis a invasões e consequências incontáveis.

Friso, uma vez mais, que a análise forense em redes é de suma importância para a investigação de crimes cibernéticos cometidos mediante a fluidez da rede utilizada, e, neste sentido, vejamos:

Segundo Junior e Moreira (2014), a análise forense em redes possibilita a reunião de informações sobre o tráfego e colabora para a elaboração de respostas aos quesitos levantados pela investigação. O objetivo é examinar eventuais dados e informações que tenham relação com o incidente, de forma a elucidar o fato investigado (Erbacher; Christiansen; Sundberg, 2006).[5] (grifo meu)

Evidências digitais de redes

A coleta da evidência Digital deve ser realizada utilizando-se dos métodos e procedimentos e ela se divide, de acordo com o vocabulário utilizado pelos peritos, em análise viva e análise morta.

Na análise viva a busca é por interações que remetam a acontecimentos no tempo real do fato investigado, assim temos as análises de memória e de rede, esta última realizada através da análise de tráfego em rede.

Uma precisa análise do tráfego em rede do sistema ou equipamento com provável envolvimento na relação que se investiga pode descobrir vestígios e evidências que auxiliem o investigador a elucidar o caso.[6]

Para saber mais sobre Forense em rede, bem como sobre as principais fontes de evidências digitais em redes, participe do treinamento da Academia de Forense Digital, sobre Fundamentos da Forense Digital, que possui um conteúdo completo sobre os Tipos de Evidências de Rede.

Sobre o Treinamento de Fundamentos da Forense Digital

Nesse treinamento você também aprenderá sobre procedimentos relativos ao manuseio de evidências digitais, técnicas de aquisição de logs e trafego de rede, técnicas de interceptação de tráfego de rede, cadeia de custódia e outras documentações, ferramentas para processamento de evidências, principais objetos de análise, identificação de IOCs (indicadores de comprometimento), estudos de casos e muito mais sobre os Fundamentos da Forense Digital.

O treinamento é gravado, e matriculando-se você terá acesso imediato às vídeos-aulas. Ao final do treinamento o aluno é contemplado com um certificado de 24 horas.

O curso é ministrado pelo nosso Ilustre Professor Renan Cavalheiro, profissional com mais de 10 anos na área de Forense Digital, Diretor na STWBrasil e na Academia de Forense Digital, pós-graduado em Cyber Security e MBA em Segurança da Informação, professor de cursos de pós-graduação na temática de Perícia Digital. Certificado EnCE, CHFI, GCIH, ECIH, CTIA, dentre outras.

Além do mais, os alunos AFD ao se matricularem no Fundamentos da Forense Digital, serão contemplados com 30 (trinta) dias gratuitos de aulas de inglês, com todos os módulos completos da escola de inglês EnglishLive.

Sem contar que nossos alunos contam com MeetUps exclusivos, que são encontros online entre os professores e alunos.

Esses encontros são nutridos de muito networking para potencializar a carreira dos nossos alunos, onde professores e alunos discutem sobre diversas matérias, expõem suas ideias, tiram dúvidas, criando um ambiente agradável de muita troca, conversa e aprendizado mútuo.

Conclusão

Ressaltamos neste trabalho a importância da Análise Forense em Rede para a Computação Forense, considerando que a rede é uma das principais, para não dizer a principal, fonte de evidências digitais de um ataque cibernético.

Contudo, a Análise Forense em Rede também se distingue por ser um dos principais desafios que os profissionais da área, os peritos digitais, enfrentam quando estão atuando, haja vista o caráter volátil dos dados armazenados na fluidez da rede, e entre outros aspectos.

Outrossim, aliando a importância da Análise Forense em Rede aos desafios da matéria, somado ao crescimento diário de ataques cibernéticos, a linha entre a alta demanda de trabalho e a escassez de profissionais qualificados, é tênue.

Por esse motivo, o perito digital que domina a análise forense em rede é um profissional que amplia as suas possibilidades profissionais, impulsando vigorosamente a sua carreira.

Está esperando o que para se matricular no nosso treinando sobre Fundamentos da Forense Digital? Destaque-se profissionalmente dominando a análise forense em rede e muito mais. Não perca tempo!

---

Referências:

• [1] GALVÃO, R. K. M. Introdução à análise forense em redes de computadores: São Paulo: Novatec, 2013.
• [2] MELO, Sandro Pereira de. Computação Forense com Software Livre. Editora: Alta books, 2009. Disponível em: <https://tede2.pucsp.br/bitstream/handle/21181/2/Sandro%20Pereira%20de%20Melo.pdf>. Acesso em 15 de março de 2023.
• [3] ARGOLO, Frederico Henrique Böhm. “Análise Forense em sistemas GNU/Linux”. Rio de Janeiro, 2005.
• [4] MOTA FILHO, João Eriberto. Descobrindo o Linux: entenda o sistema operacional GNU/Linux. 2012. Disponível em: <https://repositorio.animaeducacao.com.br/bitstream/ANIMA/3682/1/CRISTIANO_MONTEIRO_NUNES-apos_apresentacao.pdf>. Acesso em 15 de março de 2023.
• [5] ERBACHER, R. F.; CHRISTIANSEN, K.; SUNDBERG, A. Visual network forensic  techniques and process. In: ANNUAL SYMPOSIUM ON INFORMATION. 2006. Disponível em: <http://www.redes.ufsm.br/docs/tccs/Paulo-Souza.pdf>. Acesso em 15 de março de 2023.
• [6] NUNES, Cristiano Monteiro. A análise de tráfego em redes como método de coleta de evidências digitais: estudo de casos com softwares de análise de tráfego. Disponível < https://repositorio.animaeducacao.com.br/bitstream/ANIMA/3682/1/CRISTIANO_MONTEIRO_NUNES-apos_apresentacao.pdf>. Acesso em 15 de março de 2023.