Punti chiave
L’uso delle tecnologie di cloud computing sta guadagnando sempre più popolarità e sta rapidamente diventando la norma. Allo stesso tempo, i fornitori di servizi cloud (CSP) non sono sempre in grado di tenere il passo con le nuove tecnologie. Ciò influisce anche sull’analisi forense degli incidenti in questi sistemi.
Al giorno d’oggi, gli eventi causati da attività dannose stanno diventando sempre più frequenti e, pertanto, le attività di indagine legale digitale stanno diventando una necessità. Anche se questa necessità è identificata come una sfida, la scienza forense digitale sul cloud rimane un argomento complesso. Le caratteristiche specifiche di un ambiente basato su cloud possono sollevare una serie di sfide tecnologiche, organizzative e legali che gli investigatori forensi digitali di solito non affrontano mentre cercano prove digitali in ambienti IT tradizionali.
Procedure di analisi forense del cloud
Esistono tre tipi potenziali di analisi forense nell’ambiente cloud:
- prima dell’incidente
- in tempo reale
- dopo l’incidente
Prima dell’incidente: nell’ambiente cloud, è importante che il cliente e il CSP abbiano un accordo preliminare sulle azioni da intraprendere per le indagini forensi in caso di incidente. Prima dell’incidente è considerato il tipo più prezioso di indagine legale perché tali attività di approvvigionamento affrontano la maggior parte delle questioni tecniche.
Questo tipo di analisi rientra nella responsabilità del CSP che deve eseguire alcune azioni preliminari: esempi includono il monitoraggio dei registri delle attività, la regolarità e il rilevamento di comportamenti sospetti anormali, la raccolta dei registri delle attività, la raccolta dei registri dei macchinari di supporto.
Una pratica comune, ben documentata e dettagliata in tutte le fasi, è quella di monitorare la rete (prima dell’incidente – provisioning) e provare a trasformare ciascun caso in una procedura forense di rete tradizionale quando si verifica un incidente. I CISO possono gestire molti incidenti in modo più efficiente ed efficace se tali azioni e controlli provvisori sono stati adottati nelle procedure del CSP al fine di sostenere le attività forensi. Questi controlli preventivi possono essere inclusi nel contratto tra clienti e fornitori a supporto dell’analisi forense degli incidenti.
Live: l’acquisizione forense live mira a catturare i dati forensi da un sistema attivo e in esecuzione prima di bloccare tutto. In generale, l’acquisizione forense dal vivo viene di solito effettuata per acquisire dati volatili (memoria, processo, informazioni di rete acquisite in ordine di volatilità) che andranno persi con l’acquisizione forense tradizionale (dead forensics). A causa della natura dei sistemi cloud (il sistema cloud non può essere facilmente “spento”, il networking per l’accesso remoto dell’infrastruttura, ecc.), La capacità di acquisizione forense dal vivo è essenziale ma anche molto costosa.
Post incidente: dopo un incidente, gli investigatori acquisiscono un’immagine logica e fisica di ciascun sistema. In tali casi si consiglia di avere la mappatura dell’intero ambiente utilizzato dalla vittima, sia l’ambiente dedicato che quello condiviso, se presente e se consentito.
Approcci tradizionali per la cloud forense
Le principali caratteristiche delle tecniche forensi utilizzate negli ambienti basati su cloud sono le funzionalità di acquisizione e triage remote, applicate sulla macchina virtuale di destinazione distribuita nel modello IaaS. In entrambi i modelli SaaS e PaaS, la possibilità di accedere all’istanza virtuale per la raccolta di informazioni di prova è estremamente limitata o quasi impossibile: l’investigatore dovrà fare affidamento sulle prove fornite dal CSP e dal dispositivo.
Gli strumenti attualmente disponibili sono in realtà quelli utilizzati nelle indagini tradizionali. In particolare, gli strumenti forensi di rete vengono utilizzati per acquisire dati (informazioni, registri, ecc.) Su IaaS, poiché le istanze IaaS forniscono maggiori informazioni per prove forensi in caso di incidente rispetto ai modelli PaaS e SaaS. Nel modello SaaS, il cliente non ha alcun controllo sull’infrastruttura operativa sottostante né sull’applicazione fornita. Per il supporto dell’analisi forense, il cliente deve acquistare servizi specifici dai provider (ad esempio applicazioni di registrazione e traccia delle attività, toolkit di controllo degli accessi) per creare informazioni utili per l’analisi. Nel modello PaaS, potrebbe essere possibile implementare meccanismi di registrazione a livello di applicazione per aiutare l’indagine forense. Tuttavia, il cliente non ha il controllo diretto dell’ambiente sottostante e l’acquisizione dei dati per la raccolta di prove dipende fortemente dal precedente accordo con i CSP.
Sfide in ambito forense per incidenti nel cloud
La Direttiva UE 95/46 / EC7 sulla protezione dei dati impone disposizioni rigorose in merito al trattamento dei dati personali e alla libera circolazione di tali dati. Allo stesso tempo, non tutti gli Stati membri hanno adottato la direttiva UE sulla protezione dei dati, con conseguente frammentazione della legislazione nazionale sulla protezione dei dati.
Con il regolamento generale sulla protezione dei dati, che include nuovi requisiti di protezione dei dati che dovrebbero essere attuati dagli Stati membri, ciò diventa ancora più complesso. In caso di analisi forensi che richiedono accesso e scambio transfrontalieri di dati, la mancanza di meccanismi di collaborazione tra le forze dell’ordine dell’UE e le frammentazioni in una moltitudine di regolamenti nazionali, rende problematico il coordinamento tra le forze dell’ordine e i ruoli e le responsabilità degli attori coinvolti in questo tipo di indagini non sono chiare.
Mancano linee guida o riferimenti specifici a livello europeo per le indagini forensi su misura per le caratteristiche dell’infrastruttura di cloud computing.
I grandi fornitori di servizi cloud si basano principalmente al di fuori dell’UE, dove le leggi che regolano la privacy e la protezione dei dati sono diverse dall’UE, così come le normative relative alle multinazionali e giurisdizioni e alle indagini transfrontaliere. Non esiste alcuna certificazione per strumenti, pratiche e formazione relativi alle indagini forensi nel cloud. Pertanto, per rappresentare lo stato forense del cloud nel panorama dell’UE sono state definite queste tre dimensioni:
- La dimensione tecnica si riferisce alle caratteristiche specifiche del modello di cloud computing che devono essere considerate nelle indagini forensi nell’ambiente di cloud computing.
- La dimensione organizzativa si riferisce agli aspetti relativi al coordinamento delle parti coinvolte nelle indagini forensi nell’ambiente di cloud computing.
- La dimensione giuridica riguarda gli aspetti e le questioni legali tra le parti coinvolte nelle indagini forensi nell’ambiente di cloud computing, i quadri legislativi e le questioni legali dell’acquisizione di prove digitali nell’ambiente di cloud computing. La tabella seguente illustra le tre dimensioni e le sfide dell’analisi forense per dimensione
Sfide tecniche nel cloud
La raccolta di dati forensi in un ambiente cloud è definita come il processo di identificazione, etichettatura, registrazione e acquisizione di dati forensi dalle possibili fonti di dati nel Cloud ed è in realtà la prima fase critica dell’analisi post-incidente.
In particolare, gli esperti consultati nel contesto di questo studio, hanno sottolineato che la raccolta di dati forensi nel caso di ambienti basati su cloud è generalmente più complessa rispetto alle indagini tradizionali, in particolare
a. la natura remota delle prove,
b. la mancanza di accesso fisico e
c. la natura distribuita e dinamica del modello cloud che rende difficile dimostrare l’integrità e l’autenticità delle prove acquisite. È importante sottolineare che il sequestro e l’acquisizione di artefatti digitali è un passaggio fondamentale nel processo forense, dal quale gli altri passaggi dipendono fortemente. I problemi riscontrati in questa fase iniziale del processo possono influire sulle fasi successive impedendo e / o interrompendo l’esecuzione delle indagini.
La maggior parte degli intervistati, in base alla loro esperienza in specifiche pratiche investigative e attività forensi, ha convenuto che le sfide tecniche sono state quasi sempre meno rilevanti di quelle legali e organizzative, che sono considerate le più difficili da superare. Alcune delle caratteristiche tecniche del cloud computing, come il pooling di risorse che utilizza il modello multi-tenancy e la virtualizzazione delle risorse, sono ben note nelle indagini tradizionali.
Tuttavia, in un ambiente cloud tali funzionalità sono effettivamente migliorate e in alcuni casi potrebbero impedire le pratiche forensi. Date le caratteristiche specifiche del cloud, le attività di indagine post incidente diventano più complesse. In particolare, le seguenti funzionalità possono essere tradotte in alcune sfide specifiche del cloud per l’analisi forense: Multi-tenancy.
La multi-tenancy dei sistemi non è una nuova sfida nelle indagini forensi ma, nel caso del Cloud, è esacerbata dalla rapida elasticità delle risorse cloud che aumenta la complessità dell’acquisizione dei dati. La maggior parte delle procedure e degli strumenti forensi sviluppati nel corso degli anni si concentrano sull’acquisizione e l’estrazione fisica delle immagini. Tuttavia, negli ambienti cloud, se il CSP non fornisce la funzionalità specifica, il processo forense è quasi impossibile. Inoltre, l’acquisizione fisica potrebbe rappresentare una sfida anche per il CSP se l’utente ha rilasciato le risorse che vengono poi riutilizzate da un altro utente in un diverso schema di frammentazione.
Natura dinamica
Nel cloud, le risorse sono allocate in modo dinamico. Questo attributo del cloud ostacola l’accurata separazione delle risorse sotto inchiesta. Questa è una sfida significativa per gli investigatori e le forze dell’ordine (LEA) in quanto deve essere presa in considerazione la riservatezza degli altri inquilini che condividono l’infrastruttura. Dati volatili. È sempre stata una sfida per gli investigatori forensi digitali acquisire i dati volatili in memoria. Lo stesso vale per i dati archiviati nelle istanze cloud che non dispongono di sincronizzazione dell’archiviazione permanente. Inoltre, in istanze cloud, i dati volatili potrebbero andare persi dopo attacchi che sono in grado di forzare l’arresto di istanze cloud.
Gli aggressori che compromettono completamente l’acquisizione di dati volatili dalle istanze IaaS virtuali potrebbero abusare di questa vulnerabilità. Cancellazione dei dati Le procedure di cancellazione dei dati sono predisposte dal CSP per motivi di privacy9 e per l’elasticità delle risorse cloud. Il recupero dei dati cancellati in un ambiente virtuale condiviso e distribuito è più difficile se il CSP non ha implementato meccanismi efficienti per il recupero e la limitazione dei dati in termini di backup e conservazione dei dati. Problemi di fiducia cumulativi tra i livelli Cloud.
Gli ambienti cloud sono strutturati in più livelli (Rete, Hardware fisico, Sistema operativo host, Virtualizzazione, Sistema operativo guest, Applicazione ospite) e ciò introduce più problemi di fiducia rispetto alle indagini tradizionali in cui le macchine target sono controllate fisicamente / di proprietà dei clienti. Le tecniche di acquisizione forense dei dati variano in base al livello di affidabilità richiesto per ogni livello. Ad esempio, la tecnica di acquisizione che segue un software forense remoto ha luogo nel livello dell’applicazione Ospite. Questa tecnica richiede che il sistema operativo guest, la virtualizzazione, il sistema operativo host, l’hardware fisico e la rete (tutti i livelli precedenti) forniscano dati di prova accurati e privi di errori.
Dinamica di sincronizzazione cloud e temporale
La raccolta e l’analisi delle prove comporta la correlazione e la ricostruzione basata su eventi di informazioni da fonti disperse dell’ambiente digitale oggetto di indagine e richiede l’associazione di timestamp a ciascun evento o elemento di dati di interesse al fine di ricostruire una sequenza di eventi. La definizione del time-lining dei tempi di creazione, accesso e modifica dei file sulle risorse cloud è un problema per la rapida dinamica dell’ambiente cloud e per l’accurata sincronizzazione temporale richiesta.
Nell’ambiente cloud, i dati sono distribuiti in tutto il mondo e, quando è necessaria la ricostruzione dei dati e delle azioni, la sincronizzazione temporale è un problema critico, i timestamp devono essere sincronizzati utilizzando protocolli (ad esempio NTP) che sincronizzano le macchine situate in posizioni diverse. Unificazione di diversi formati di dati dei registri. Un problema simile alla sincronizzazione temporale è la distribuzione dei registri tra i diversi livelli dello stack cloud e il diverso formato dei dati dei registri. È un problema ereditato dalla scientifica forense che rende più complessa l’accessibilità e l’acquisizione dei registri. L’unificazione dei formati di registro nel cloud forensics richiede almeno dizionari comuni, orologi sincronizzati e console unificante. Mancanza di strumenti specifici per il cloud. La mancanza di strumenti specifici e certificati per il cloud è stata spesso percepita come un ostacolo allo sviluppo di basi per la tecnologia forense del cloud maturo. Lo sviluppo di tali strumenti dovrebbe evolversi insieme alla tecnologia cloud e fornire soluzioni adeguate e standard per la raccolta di prove digitali per superare le sfide tecniche specifiche delle indagini nell’ambiente cloud.
Crittografia dei dati
La crittografia dei dati può causare alcuni problemi tecnici perché la decrittografia di grandi quantità di dati richiede tempo e risorse. Questa sfida è aggravata dal fatto che nel Cloud in caso di indagini che richiedono la decrittografia di grandi volumi di dati.
FINE PRIMA PARTE