Network forensics

La Network forensics è la branca dell’informatica forense che si occupa della registrazione e dell’analisi di eventi che si verificano nelle comunicazioni di rete (veicolate su precisi protocolli standard) al fine di ottenere informazioni utili allo svolgimento di indagini tecniche in ambito legale/giudiziario:

• • Analisi dei file di log;
• • Analisi delle reti di contatti (social network analysis);
• • Analisi del traffico di rete, anche in tempo reale;
• • Disamina e correlazione dei file di log di uno o più sistemi;
• • Ricostruzione delle attività online (gmail, social network);
• • Ricostruzione di attività anomale, attacchi alle risorse, tentativi di intrusione;
• • Ricerca di strumenti atti ad intercettare le operazioni eseguite dagli utenti sul sistema (remote control program);
• • Ricerca di strumenti atti ad intercettare le trasmissioni di dati (sniffer).

• La network forensics si estende anche al tracciamento dei pacchetti per la verifica della posizione geografica, dell’autore, delle responsabilità, e di svariati altri aspetti. Le attività degli utenti web (generalmente di tipo browser), determinano una serie di trasmissioni IP, anche molto sofisticate, le cui analisi hanno implementato lo sviluppo di particolari studi di network forensics (non limitati al web), codificabili in una nuova disciplina, chiamata Internet Forensics.

• In questo caso l’analisi che si rende possibile, ai fini legali, è classificabile (a seconda del “tempo” e dei dati “sorgenti”) in:

• • Real time: acquisizione dei pacchetti e/o dei frame con valutazione istantanea dei contenuti (net monitoring);

• • Post mortem: acquisizione dei pacchetti e/o frame e/o messaggi a livello applicazione, con valutazione ex post (dopo il fatto);
• • Flow based: analisi delle meccaniche di flusso (statistiche, log, ecc.);
• • Content based: acquisizione selettiva dei pacchetti in base a parametri di contenuto.

• La real time è un’attività tipica della network security (ad esempio negli IDS – Intrusion Detection System) e delle intercettazioni telematiche; la post mortem è una classica applicazione della network forensics; la flow based è un’indagine di massima su grandi sistemi di comunicazione mentre la content based è tipica delle intercettazioni parametriche. In tutte queste attività non può ritenersi banale l’associazione degli elementi di comunicazione a degli utenti, delle posizioni fisiche, dei numeri di telefono, dei MAC address e, più in generale, a precisi riferimenti nel mondo reale.