Taggat med: Network Miner

Framtiden inom nätverksforensik

nätverksforensik

Jag var intresserad av hur framtiden inom nätverksforensik ser ut nu när allt mer av vår vardagliga kommunikation på internet är krypterad. Så därför kontaktade jag Erik Hjelmvik som driver företaget Netresec samt utvecklar den populära mjukvaran Network Miner. Erik är en av Sveriges främsta specialister inom nätverksforensik och en av de som jag känner som troligtvis kan besvara frågan bäst.

Så här skriver Erik om framtiden gällande nätverksforensik och de utmaningar som området står inför:

Erik Hjelmvik”Användningen av HTTPS har ökat dramatiskt under de senaste fyra åren. En orsak till den ökade SSL-användningen är att man nu kan få gratis SSL-certifikat genom initiativ som t.ex. Let’s Encrypt, men jag tror även att Snowdens avslöjanden har gjort att intresset för krypterad  kommunikation har ökat märkbart. Den ökade användningen av SSL gör dock att det blir allt svårare att genomföra nätverksforensik eftersom innehållet i kommunikationen nu ofta är krypterad.

Som forensiker är det därför viktigt att ta vara på den information som går, även när trafiken är krypterad. Jag har exempelvis byggt in stöd i NetworkMiner för att extrahera X.509-certifikat från nätverkstrafik, vilket gör det lättare att hitta felaktiga och ogiltiga certifikat som används av botnät och annan skadlig kod för att kryptera sin kommunikation. Ett annat exempel på trafik som använder sig av ogiltiga certifikat är Tor, vilket använder sig av en SSL-handskakning för att sätta upp sin krypterade förbindelse.

Fingeravtryck i nätverkstrafik

En annan utmaning är att den tillgängliga bandbredden ökar, och därmed även datamängden som en forensiker behöver analysera. Utmaningen blir med andra ord en variant av att hitta nålen i höstacken, där höstacken utgörs av inspelad nätverkstrafik. Som forensiker kan man använda sig av exempelvis ”Rinse-Repeat Threat Hunting” för att minimera höstacken. Det kan också vara bra att ta ett steg tillbaka och börja analysen med att titta på flow-data, som vilka IP-adresser som pratar med vilka, innan man börjar analysera innehållet i trafiken.

För att kunna göra det effektivt krävs det dock att flow-vyn är berikad med information om exempelvis domännamn och WHOIS-information om IP-adresser, vilket jag tagit fasta på i verktyget CapLoader. Styrkan med CapLoader ligger dock framför allt i att kunna gå från flow-analys till att analysera trafiken på paketnivå med bara ett klick. De flesta flow-verktygen saknar dock denna förmåga, vilket gör att forensiker ofta tittar på antingen flow-data eller på paketdata istället för att kombinera båda teknikerna till ett mer effektivt arbetsflöde”

Ny stabil uppdatering av Wireshark

Den omåttligt populära mjukvaran Wireshark som används för att läsa av nätverkstrafik finns nu ute i en ny stabil version: 2.0.5. Detta är den femte uppdatering till 2.0-serien som kom ut för snart ett år sedan (läs mitt test här).

Denna version åtgärdar 9 stycken säkerhetsbrister som identifierats samt 22 andra buggrättningar.

Behöver Er organisation hjälp med av analysera nätverkstrafik? Kontakta Triop AB >

Säkerhetsbristerna återfinnes i hanteringen av följande protokoll: CORBA IDL, PacketBB, WSP, RLC, LDSS, OpenFlow, MMSE, WAP samt WBXML.

Och i följande protokoll har avkodningen uppdaterats: 802.11 Radiotap, BGP, CAN, CANopen, H.248 Q.1950, IPv4, IPv6, LANforge, LDSS, MPTCP, OSPF, PacketBB, PRP, RLC, RMT-FEC, RSVP, RTP MIDI, T.30, TDS, USB, WAP, WBXML, WiMax RNG-RSP, och WSP.

Wireshark är gratis och finns till operativsystem såsom Linux, Windows och Mac OS X. Och ett bra alternativ till Wireshark är Network Miner. Och gillar du inte grafiska gränssnitt så följer även tshark med som går att köra direkt från terminalen.

Du kan läsa samtliga release-notes här för version 2.0.5 och du kan som vanligt ladda hem Wireshark från wireshark.org.

PCAP – Or it didn’t happend

Jag fick denna T-shirt av Erik på Netresec som bl.a. gör Network Miner och CapLoader. Du kan köpa den direkt från Netresec eller under konferensen 4SICS som går av stapeln imorgon.

PCAP or it didn't happend

Och vad menas med texten som står på t-shirten kanske du undrar? Jo, det är så att PCAP står för packet capture och är ett filformat för inspelad nätverkstrafik. För oss som jobbar med IT-säkerhet så är inspelad nätverkstrafik A och O när det gäller IT-forensiska undersökningar och analys av skadlig kod exempelvis.

Du kan läsa mer om inspelning av nätverkstrafik här.

NetworkMiner ute i version 1.6

NetworkMinerSvenskutvecklade NetworkMiner som är ett utmärkt verktyg vid nätverksforensik och analys av skadlig kod finns nu ute i en ny version.

NetworkMiner finns även som betalversion som då kommer med ett antal intressanta funktioner såsom automatisk protokollidentifiering: Port Independent Protocol Identification (PIPI) samt en kommandoradsklient (CLI).

Nytt i denna version är bl.a. PCAP över IP som gör att du kan starta tcpdump på en annan klient och sedan skicka sniffad data över nätverket till NetworkMiner för vidare analys som kör avkodning och utkarvning av filer från nätverkspaket.

Även så fungerar ”drag och släpp” direkt från NetworkMiner till ditt favoritprogram.

Pcap-over-IP

Fungerar även att skicka över SSL med följande kommando från Linux:

$ tcpdump -i eth0 -s 0 -U -w - | openssl s_client -connect 1.2.3.4:57012

Här kan mer information hittas: