Tendencias en el Forense de Redes

  • Posted on: 23 May 2019
  • By: ReYDeS

El forense de redes tradicionalmente se ha aplicado a entornos cableados, y se ha enfocado a la versión 4 del protocolo de Internet (IP), y protocolos relacionados en la capa de red de la suite del protocolo TCP/IP. A continuación se detallan trabajos recientes en el forense de redes:

Esteganografía: Muchos atacantes utilizan formas “ligeras” de criptografía para dificultar el reconocimiento de rootkits o patrones de ataques, pues de otra manera serían fácilmente detectados por cualquier IDS.

Forense de Honeypots: Los honeypots son colocados para ser comprometidos y proporcionan información sobre las técnicas y herramientas de los atacantes maliciosos, antes y después de la intrusión en el honeypot. Nuevas formas de rootkits, troyanos, y exploits de día cero son descubiertos. Se puede obtener una mejor comprensión de las áreas de interés y enlaces ocultos entre los equipos de atacantes maliciosos.

Forense IPv6: Internet IPv6 proporciona a los usuarios maliciosos un refugio temporal seguro, pues los eventos son pobremente registrados y vigilados. Muchos proveedores de túneles libres proporcionan una conectividad relativamente simple y anónima. La transición desde IPv4 hacia IPv6 tomará tiempo, y ambos protocolos coexistirán por alguna tiempo más, razón por la cual requiere un mecanismo de interoperación. Este arreglo de pila dual proporciona nuevas vulnerabilidades de seguridad y exploits, los cuales necesitarán un análisis forense.

Forense de Botnet: Las máquinas comprometidas pueden enlazarse para formar “botnets” bajo un control externo, el cual es utilizado para enviar mensajes de correo electrónicos “SPAM”, o deshabilitar sitios web con una gran cantidad de peticiones falsas. Es muy difícil de rastrear la identidad de los spammers únicamente analizando el rastro electrónico.

Forense de Redes Inalámbricas: Las compañías están adoptando las tecnologías inalámbricas a un ritmo rápido, y la frecuencia de fuga de datos tanto como el robo aumentan constantemente. Existe una gran necesidad de perfilar las actividades del usuario, enfatizando en la necesidad de vigilar las redes 802.11 e inspeccionar el contenido. Existe una clara ausencia de herramientas y procedimientos para las investigaciones forenses de computadoras, en lo referente al manejo efectivo de los dispositivos inalámbricos. Por lo tanto existen muchas formas de uso inadecuados los cuales escapan a la detección.

Las redes VoIP sobre redes inalámbricas (VoIPoW) se están convirtiendo en los sistemas más populares para comunicaciones móviles en el mundo Sin embargo, estudios de ataques a redes inalámbricas VoIP aún son relativamente bajos. Existen retos en las redes MANETs (Mobile Ad Hoc Networks), donde el número de paquetes de evidencia es controlado por el nivel y fiabilidad.

Forense a la Capa de Aplicación: Los ataques se han desplazado desde las capas de transporte y red hacia la capa de aplicación del la suite de protocolos TCP/IP. Los ataques en seguridad web incluyen cross site scripting (XSS), inyección SQL, desbordamientos de buffer, etc. Evidencia digital confiable puede ser proporcionada desde los payloads del tráfico de datos de red siendo transmitidas hacia y desde el servicio web. El forense al servicio de nombres de dominio es también un reto importante.

Forense a Redes SCADA: Los sistemas SCADA son ampliamente utilizados en el control y automatización industrial. Protocolos SCADA modernos frecuentemente emplean TCP/IP para transportar datos del sensor y señales de control. El uso de TCP/IP como protocolo acarreador y la interconexión de TI y redes SCADA, plantean serios temas de seguridad. Ataques exitosos sobre un a red TI y estos dispositivos de pasarela podrían hacer un túnel dentro de una red SCADA, causando estragos en el proceso industrial.

Forense a la Malla: La computación en Malla agrega todo tipo de recursos heterogeneos los cuales están geográficamente distribuidos, y requieren servicios de seguridad profundos para proteger los recursos y datos. Esto también implica técnicas forenses adecuadas, las cuales puedan ser empleadas para evaluar la responsabilidad de los atacantes. Los equipos de seguridad carecen de experiencia en forense a la malla como de la computación en malla por si mismo, la cual es una tecnología creciente.

Representación de Datos Forenses: La representación de datos forenses predice una crisis inminente en el forense digital, pues muchos observadores han identificado la continuación de las tendencias actuales. Existe una seria necesidad de hacer la investigación forense digital más eficiente a través de la creación de nuevas abstracciones para el proceso de representación de datos forenses.

Forense de la Nube: La computación en la nube requiere un cambio en las políticas de seguridad y corporativas concernientes al acceso remoto, uso de datos sobre un navegador, mecanismos de privacidad y auditoría, sistemas de reporte, y sistemas de gestión, la cual incorpora como los datos son asegurados sobre una computadora rentaba en cualquier lugar del mundo. La compleja serie de interrelaciones entre el proveedor de la nube y el consumidor de la nube, proporciona un terreno fértil para los atacantes maliciosos y criminales. El forense de redes para la computación en la nube requiere una nueva mentalidad de investigación, donde algunos datos no están disponibles, algunos datos serán sospechosos, y únicamente algunos estarán listo para una corte.

Forense a Redes Inteligentes: Un sistema forense de redes inteligente reconstruye escenarios de intrusión, y hace las atribuciones de ataque requieran conocimiento sobre las firmas de intrusión, evidencias, impactos, y objetivos. Es esencial el conocimiento para la resolución de problemas describa como el sistema puede utilizar el conocimiento del dominio para analizar actividades maliciosas. Se deben adaptar las investigaciones en la web semántica, arquitectura de información, e ingeniería ontológica para diseñar un método de ontología para el análisis forense de redes.

Fuentes:

https://digital-forensics.sans.org/blog/category/network-forensics
https://arxiv.org/pdf/1004.0570.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete