La Network Forensics è una branca della Digital Forensics che si occupa della cattura e monitoraggio del traffico di rete. A differenza dell’analisi forense tradizionale che si concentra su dischi rigidi e sistemi operativi, la network forensics si occupa di ciò che accade nel flusso di dati tra i dispositivi di una rete. La network forensics permette, in sostanza, di raccogliere e analizzare pacchetti di dati, log di sistema, traffico in tempo reale e qualsiasi informazione che transiti su una rete.

Campi di applicazione della network forensics

Le applicazioni della network forensics sono molteplici. Viene utilizzata, ad esempio, quando si sospetta un attacco informatico in corso, come un’intrusione da parte di un hacker o una fuga di informazioni sensibili. In ambito aziendale, consente di verificare se un dipendente ha violato le policy interne oppure ha trasferito dati riservati verso l’esterno.
Un’analisi di network forensics, per quanto sia concentrata sulla raccolta ed analisi del traffico dati, non è a ciò limitata. In molti casi, infatti, la network forensics prevede l’estrazione ed analisi dei file di LOG delle connessioni avvenute in passato: ciò risulta particolarmente utile ed efficace nel caso in cui sia necessario ricostruire le connessioni avvenute all’interno di una rete aziendale (ad esempio, per comprendere se determinati dipendenti hanno effettuato accessi non autorizzati a specifiche risorse online).

Altre situazioni in cui la network forensics è coinvolta:

• Analisi post-incident per ricostruire l’origine di un attacco (ad esempio, per verificare l’accesso abusivo a file server o computer in rete)
• Monitoraggio delle comunicazioni
• Rilevamento di malware che utilizza la rete per comunicare con server di comando e controllo (C&C)

Procedure per l’analisi della rete

Il processo di network forensics inizia dalla cattura del traffico di rete, attraverso strumenti che permettono di osservare e registrare i pacchetti che transitano tra i dispositivi. Questo può avvenire tramite la modalità “promiscuous” delle interfacce di rete, che consente di intercettare anche i pacchetti non destinati direttamente alla macchina investigativa.

Una volta acquisiti, i dati vengono analizzati per identificare pattern sospetti, anomalie nei protocolli, connessioni verso indirizzi IP noti per attività malevole, oppure comunicazioni cifrate anomale. L’obiettivo è ricostruire una timeline degli eventi e, ove possibile, identificare il responsabile delle attività illecite.

La fase successiva riguarda la correlazione con altri dati, come i log di sistema, le autenticazioni, i firewall e i proxy, per ottenere un quadro più completo. Tutto ciò deve essere documentato meticolosamente per conservare la validità legale delle informazioni raccolte.

Strumenti per la network forensics

Wireshark – Forse il tool più famoso nel mondo della network analysis. Wireshark permette la cattura e l’analisi dettagliata dei pacchetti di rete in tempo reale. È utile sia in ambito investigativo che per troubleshooting

tcpdump – Un classico strumento da riga di comando per sistemi Unix/Linux. Permette di catturare pacchetti sulla rete con grande precisione, ideale per analisi rapide o scriptate

NetworkMiner – Un network forensic analysis tool (NFAT) per Windows, capace di ricostruire intere sessioni di comunicazione e identificare file trasmessi via rete. Offre un’interfaccia grafica intuitiva

Security Onion – Una distribuzione Linux appositamente realizzata per la sicurezza informatica e la network forensics. Integra Snort, Suricata, Zeek, e altri strumenti di monitoraggio e rilevamento

Xplico – Uno strumento open-source progettato per estrarre contenuti applicativi dai dati catturati in rete. Può ricostruire email, pagine web, chiamate VoIP, ecc.