Cloud forensics
Cloud computing is the future. Este paradigma oferece benefícios econômicos significativos para as Entidades de Negócio. Devido a este avanço, tem seus desafios e ameaças que podem comprometer a entidade empresarial. A computação em nuvem tornou-se um novo campo de batalha para o cibercrime. Para investigar estes casos, precisávamos de provas forenses.
“Cloud forensics is the application of digital forensics in cloud computing as a subset of network forensics to gather and preserve evidence in a way that is suitable for presentation in a court of law.”
Cloud forensic is the amalgamation of all the different forensics(i.e. digital forensics, network forensics, hardware forensics etc. ). Envolve interações entre vários atores da nuvem (ou seja, provedores da nuvem, consumidores da nuvem, corretores da nuvem, portadores da nuvem, auditores da nuvem) para facilitar investigações internas e externas. Legalmente, são situações multi-jurisdicionais e multi-inquilinos.
Nuvem forense passos
· Identificação
Identificar o acto ilícito ou potencialmente criminosa têm sido desenvolvidas actividades envolvendo os sistemas baseados nas TI. Essas atividades podem ser uma denúncia feita por um indivíduo, anomalias detectados pelo IDS, a monitorização para criação de perfis e por causa de uma trilha de auditoria, eventos suspeitos em uma nuvem, dependerá da adoção de modelo de implantação(i.e. Privado, Público, Comunidade e Híbrido), a forma de serviços em nuvem(por exemplo, SaaS, PaaS e IaaS) utilizados e a região geográfica opta pela sua implantação.
· preservação e recolha
recolha de dados através de toda a fonte sem prejudicar a sua integridade de acordo com o padrão legal e forense. Preservar todas as provas e dados sem temperar a sua integridade para uma investigação mais aprofundada. Pode haver a possibilidade de que a recolha de dados possa exigir um volume extremamente elevado de armazenamento de dados.
assim, o investigador deve abordar as regras e a regulamentação em matéria de protecção de dados e de questões de Privacidade e o seu impacto nas provas armazenadas na nuvem. Ao coletar dados do lado do Fornecedor da nuvem sempre considere sobre os dados do outro usuário ou organização. Deve ser obtida uma imagem precisa dos dados do serviço em nuvem para uma investigação mais aprofundada. Um investigador pode tentar preservar os dados residentes na nuvem, servindo uma ordem jurídica ao Provedor de serviços da nuvem.
· detecção
usando várias formas e algoritmos (ou seja, Filtragem, correspondência de padrões) podemos detectar a atividade suspeita ou código malicioso.
· análise
usando algumas ferramentas forenses podemos analisar e investigar os dados e o crime. A autoridade Legal pode fazer a pergunta à organização ou a um indivíduo para encontrar alguma evidência. Depois de analisar os dados, devemos compartilhar o testemunho com as agências de aplicação da lei e a organização de vítimas ou um indivíduo.
Desafios em cloud forense:-
· Jurisdições
· Vigiar externa cadeia de dependências mais externos, fornecedores de serviços de nuvem
· provedores Diferentes têm diferentes abordagens para a computação em nuvem.
· Falta de colaboração internacional e legislativo mecanismo de inter-nação de acesso a dados & trocar
· Falta de lei/regulamento e da lei de consultoria
· Diminuição do acesso e controle sobre forense de dados em todos os níveis, do lado do cliente
· às Vezes, a falta de perícia forense
· Cada cloud server contém arquivos de muitos usuários. É difícil isolar um indivíduo dados do usuário do que os outros
· Outras que provedores de serviços de nuvem, normalmente não há evidências de que os links de um determinado arquivo de dados para um determinado suspeito
Nuvem Forense Solução
· Forense Ferramenta de Teste
Atualmente, não há qualquer pleno específicos de nuvem forense ferramentas disponíveis no mercado. Ainda assim, especialistas forenses estão usando as ferramentas existentes para adquirir evidências do ambiente de nuvem.
os peritos forenses estão a utilizar as ferramentas abaixo indicadas para a sua investigação
1. Encase Enterprise-para coletar dados remotamente a partir da camada de nuvem guest OS. É melhor analisar os dados da IaaS, mas não o instantâneo dos dados.
2. Accessdata FTK-para coletar dados remotamente a partir da camada de nuvem guest OS.
3. FORST-Open stack cloud computing platform to acquire api’s logs, Virtual disk and guest firewall logs.
4. Analisador de nuvem UFED-para analisar os dados e metadados da nuvem.
5. Docker Forensics Toolkit & Docker Explorer-extrai e interpreta artefato forense a partir de imagens de dick do Docker Host System.
6. Diffy (by Netflix)
· transparência dos serviços e dados da nuvem
falta de transparência em relação à infra-estrutura interna da nuvem. Os prestadores de serviços de nuvem não podem compartilhar a implementação interna detalhada de seus produtos, porque isso pode introduzir uma ameaça ao seu sistema.
os acordos de Nível de Serviço devem incluir informações processuais claras e precisas sobre a forma como uma investigação forense seria tratada pelo investigador e pelo prestador de serviços da cloud em caso de incidente criminal. Deve também mencionar os papéis e responsabilidades de cada parte com a implicação legal de suas ações.
os prestadores de Serviços em nuvem devem fornecer um mecanismo ou serviços através dos quais os investigadores podem realizar investigações forenses aprofundadas.
conclusão, este tópico pretende compartilhar a conscientização sobre a ciência forense das nuvens.