Există din ce în ce mai multe companii care în paralel cu folosirea unui echipament firewall folosesc pentru HTTP servere proxy. Acestea au rolul de a fi intermediare între client şi serverul de web, realizând conexiunile în numele lor. De obicei acestea conţin şi un mecanism puternic de caching.
Partea bună a unui proxy server este că are un istoric al paginilor care au fost accesate folosindu-l. Acest lucru uşurează investigarea prin obţinerea relativ facilă de probe, atunci când acesta se află la dispoziţia celor care cercetează cazul. Partea negativă este că dacă ăjurnalele serverul-ui proxy nu sunt disponibile, din motive de confidenţialitate sau jurisdicţie (se poate afla oriunde în lume), suspectul nu poate fi descoperit, înregistrarea conexiunii apare ca fiind făcută server.
Să analizăm exemplul oferit de figura de mai jos, presupunând că se doreşte identificarea tuturor utilizatorilor care utilizează site-ul http://www.serverproxy.ro/. În primă fază se realizează cercetarea jurnalului server-ului web. Aici este disponibilă următoarea înregistrare:
2004 Feb 14 03:04:14 [proxy_c.companie_privata.ro 80.96.222.16] „GET / HTTP/1.1”
Din această înregistrare se poate deduce că la ora 3 dimineaţa a zilei de 14 februarie, un utilizator având adresa 80.96.222.16 adică ăproxy_c.companie_privata.ro, a accesat siteul. Contactând compania, aceasta declară că adresa este un server proxy care deserveşte toţi utilizatorii săi.
Pasul următor este ca această companie să furnizeze înregistrările din jurnalul serverului proxy. Aici se caută înregistrarea corespunzătoare celei din serverul de web, care are următoarea formă:
2004 Feb 14 03:04:13 george@client_b „GET http://www.serverproxy.ro// HTTP/1.1„
Această ultimă probă conduce la concluzia că la ora respectivă, utilizatorul george, de pe PC-ul denumit client_b a accesat site-ul cercetat. Afirmaţia este susţinutăşi de reprezentanţii companiei, care declară că la ora respectivă în clădire nu se afla decât George, paznicul de noapte.
În general se continuă investigaţia pe PC-ul client_a, pentru a obţine probe ajutătoare din History, Cache, Cookies şi Favourites.
(Ghid MCTI)
Lasă un răspuns