Carregado porederruschel
PPTX, PDF131 visualizações

Sociedade da Informação e Cloud Forensics

1) O documento discute os desafios da análise forense em nuvens, incluindo a aquisição difícil de dados e a necessidade de cooperação dos provedores. 2) É descrito os tipos de nuvens e aplicações em nuvens como SaaS, PaaS e IaaS. 3) Dois estudos de caso hipotéticos exemplificam desafios como cadeia de custódia complexa em investigações relacionadas à nuvem.

Tecnologia
Tópicos relacionados:
Cloud Computing Insights

Incorporar apresentação

Baixar para ler offline
SOCIEDADE DA INFORMAÇÃO X CLOUD FORENSICS
SOCIEDADE DA INFORMAÇÃO A convergência do processo produtivo e das relações interpessoais geradas pela terceira onda e consequentemente sua adoção na indústria 4.0, trouxe uma quebra de paradigmas e maneiras como processamos informações, acessamos sistemas e por consequência a maneira como interagimos com a crescente evolução das tecnologias que são utilizadas e a forma que armazenamos os dados que são produzidos. O crescimento da demanda de armazenamento na nuvem nos últimos anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador, afinal é preciso fornecer o serviço com a mesma qualidade, disponibilidade e segurança, incluindo nesse processo, também, os cuidados com atendimento ao cliente e suporte em caso de problemas.
Tipos de Nuvem  Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem pública, o fornecedor é o proprietário da infraestrutura e a disponibiliza ao público de clientes. As interações acontecem por meio de protocolos da internet.  Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às necessidades da empresa e, geralmente, conectada a data centers internos.  Nuvem Compartilhada: É destinada para as empresas que precisam compartilhar a infraestrutura entre um grupo específico de usuários com interesses em comum.  Nuvem Híbrida: Mistura características da nuvem pública, pública e compartilhada, a nuvem híbrida, como o próprio nome diz, concentra uma variedade de opções de uso.
Aplicações em Nuvem  SaaS: É o chamado software como serviço, conhecido pela sigla em inglês SaaS. Como o próprio nome sugere, essa é uma oferta de cloud computing em que a empresa provedora de nuvem (CSP) disponibiliza aos clientes programas, aplicações e ferramentas por acesso remoto, geralmente por meio de um browser.  CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS, ou contêiner como serviço. O desenvolvimento com o uso de contêineres está se expandindo no mercado por oferecer portabilidade e segurança na criação de produtos e sistemas tecnológicos. O contêiner é um pacote isolado com um código, um programa ou uma aplicação que pode ser rearranjada e testada em diferentes sistemas operacionais e situações que não ponham em risco o resto da infraestrutura.
Aplicações em Nuvem  PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares específicos ou contêineres para isolar partes do trabalho, a CSP entrega uma plataforma completa de gerenciamento, que integra várias aplicações e ferramentas e, ao mesmo tempo, o controle sobre o acesso e uso desses dados armazenados na nuvem. Os ERP’s são exemplos mais utilizados de Plataforma como Serviço.  IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de nuvem o mais novo e o que mais promete revolucionar o mercado no futuro. Isso porque a IaaS permite a transformação digital completa: a migração de toda a TI para a nuvem. Além de oferecer os softwares necessários para que os colaboradores sejam produtivos e a plataforma que gerencia e monitora essa utilização, o modelo de infraestrutura na nuvem consegue entregar recursos de computação remotamente.
Elementos de Investigação e Serviços Oferecidos Modelo de Serviço Cliente Fornecedor SaaS O cliente não tem uma visão profunda do sistema e sua infraestrutura subjacente O controle de acesso de logon único (SSO) deve ser Requeridos O cliente deve contribuir para o forense processo, por exemplo implementando Provas de Recuperabilidade (POR) As ferramentas de log devem ser executadas no provedor da infraestrutura Os fornecedores não podem dar acesso aos logs IP de clientes acessando conteúdo ou para o metadados de todos os dispositivos PaaS O aplicativo principal está sob o controle do cliente O cliente não tem controle direto do ambiente de tempo de execução subjacente Mecanismos de registro e adicionais criptografia pode ser implementada Alguns CSPs fornecem recursos de diagnóstico que oferecer a capacidade de coletar e armazenar uma variedade de dados de diagnóstico em um ambiente altamente configurável maneira. IaaS Instâncias de IaaS fornecem muito mais informações que poderiam ser usadas como evidência que os modelos PaaS e SaaS. Alguns exemplos são: a capacidade do cliente para instalar e configurar a imagem para forenses, para executar o instantâneo de máquina virtual; O RFC 3227 contém vários melhores práticas aplicáveis a um IaaS útil para responder a um incidente de segurança, especialmente em caso de sistemas de investigação ao vivo. Instâncias virtuais de IaaS, em muitos casos, não armazenamento persistente (dados persistentes deve ser armazenado em armazenamento prolongado) e dados voláteis podem ser perdidos. Os fornecedores podem relutar em fornecer dados forenses, como imagens de disco recentes devido a problemas de privacidade que surgem. Alguns problemas podem surgir devido à falta de clareza situação sobre como o provedor lida com a rescisão de contratos com clientes e pela incapacidade do cliente de verificar que os dados confidenciais armazenados em um virtual máquina foi excluída exaustivamente. Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
Desafios do Armazenamento em Nuvem  Suprir a crescente demanda de armazenamento na nuvem  Se adequar ao ambiente multi-cloud  Dar suporte aos cloud containers  Manter-se atualizado constantemente  Promover uma migração consistente para o armazenamento na nuvem  Lidar com instabilidades na rede de internet  Otimizar os gastos com armazenamento na nuvem  Garantir a segurança dos dados armazenados na nuvem
Desafios da análise forense na nuvem  Promover habilidades para evolução dos aplicativos baseados na nuvem e dos dados hospedados na nuvem é essencial para ajudar as organizações a abordar todo o escopo dos requisitos de descoberta e investigação. Embora não seja imediatamente iminente, a visão de apenas nuvem é muito real.  As implantações de aplicativos em nuvem evoluem e são atualizadas constantemente e as organizações não sabem necessariamente quando o aplicativo em nuvem foi alterado. As atualizações constantes e contínuas dos aplicativos em nuvem desafiam as abordagens atuais de gerenciamento de mudanças de TI e processos de negócios. Além disso, o ambiente de nuvem fluida cria obstáculos aos procedimentos de coleta e preservação de dados que podem impedir o processo de descoberta.
Desafios da análise forense na nuvem  Muitas plataformas de hospedagem e desenvolvimento em nuvem permitem que as organizações selecionem onde seus dados serão armazenados - um recurso importante para fins de descoberta. Em alguns casos, as organizações que utilizam aplicativos multilocatários baseados em nuvem podem não saber onde seus dados residem ou podem não receber opções para controlar onde os dados das aplicações contratadas estarão armazenados.  Vários fatores merecem consideração ao decidir onde conduzir a análise, incluindo volume de dados, disponibilidade de ferramentas de análise de dados e impacto financeiro. É essencial compreender os recursos e as limitações analíticas da plataforma em nuvem para determinar se a análise na nuvem é uma opção aceitável.
Desafios da análise forense na nuvem  Cada vez mais, as organizações têm a capacidade de criar rapidamente soluções baseadas em nuvem e de baixo custo para desenvolvimento de aplicativos e análise de dados, geralmente sem envolver a TI. Portanto, a TI pode não ser mais a única fonte de todos os dados de uma organização, o que pode causar desafios em potencial com requisitos regulatórios ou solicitações de descoberta. Os aplicativos também têm a capacidade de originar dados de sistemas baseados em nuvem e sistemas locais, levando a situações complexas de preservação e análise de dados. As equipes jurídicas provavelmente serão mais desafiadas à medida que os conceitos de propriedade e custódia dos dados evoluírem com fontes de dados baseadas na nuvem e aplicativos acessíveis na nuvem.
Desafios da análise forense na nuvem  Manter uma cadeia de custódia clara em uma infraestrutura de nuvem é extremamente difícil. Na investigação forense tradicional, os investigadores teriam controle completo das evidências em questão, ao passo que na forense em nuvem, os investigadores podem não ter controle total sobre quem o provedor de serviços em nuvem permite coletar evidências.  Os serviços em nuvem também podem ser relutantes em colaborar quando se trata de conduzir uma investigação. Afinal, o que pode ser um problema para você pode não ser um problema para eles, e a investigação pode custar ainda mais tempo e dinheiro. https://csrc.nist.gov/publications/detail/nistir/8006/draftMaiores Informações:
Exemplos de uma análise forense em nuvem  A seguir, serão descritos dois estudos de caso hipotéticos para argumentar sobre o estado da investigação forense digital por crimes relacionados à nuvem. Embora fictícios, eles descrevem crimes de computador que não são incomuns atualmente. No primeiro, usa a nuvem como um acessório para um crime. No segundo, visa o crime contra a nuvem. Em ambos os cenários, emergem os seguintes temas que diferenciam essas investigações da análise forense digital tradicional, embora muitas ferramentas já possuem recursos para análise forense baseada em nuvem:  A aquisição de dados forenses é mais difícil.  A cooperação de provedores de nuvem é fundamental.  Os dados na nuvem podem não ter os principais metadados forenses.  A cadeia de custódia é mais complexa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1  Polly é uma criminosa que trafica em pornografia infantil. Ele criou um serviço na nuvem para armazenar uma grande coleção de imagens e vídeos de contrabando. O site permite que os usuários enviem e baixem esse conteúdo anonimamente. Ele paga por seus serviços em nuvem com um cartão de crédito pré-pago adquirido em dinheiro. Polly criptografa seus dados no armazenamento em nuvem e ele reverte seu servidor da web virtual para um estado limpo diariamente. A aplicação da lei é enviada para o site e deseja encerrar o serviço e processar o criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações  Esperamos que o especialista forense identifique os seguintes aspectos que ajudariam na acusação:  Entender como o serviço da Web funciona, especialmente como criptografa/descriptografa dados do armazenamento  Encontrar chaves para descriptografar dados de armazenamento e use-as para descriptografar os mesmos  Confirmar a presença de pornografia infantil  Analise os logs para identificar possíveis endereços IP do criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações - Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De acordo com os testes de desempenho do fabricante, a AccessData descobriu que o produto Forensic Toolkit (FTK) demorava 5,5 horas para processar um disco rígido de 120 GB totalmente em uma estação de trabalho de primeira linha e até 38,25 horas em um equipamento de gama baixa estação de trabalho (AccessData 2010). Nesse ritmo, 2 TB de dados podem levar 85 horas de tempo de processamento. É provável que o examinador mergulhe primeiro no armazenamento de dados. - O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são criptografados. Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos de dados do VMware, mas não os instantâneos que incluem memória suspensa. O analista precisará corrigir e executar o instantâneo da VM para entender a fonte do site e observar como a criptografia é usada. Depois que as chaves são descobertas e os dados são descriptografados, 2 TB de dados devem ser analisados ​​para obter evidências. - Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do proprietário dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis, desde que estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no NetFlow, no registro de data e hora e, potencialmente, no estilo de codificação do site. Podemos assumir com segurança que pode ser encontrado um IP que aponte para Polly. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como sabemos que o provedor de nuvem forneceu uma cópia forense completa e autêntica dos dados? A autenticidade e a integridade dos dados podem ser confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser confiáveis e verificáveis?  Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde estavam localizadas as unidades que continham os dados? Quem teve acesso aos dados e como foi aplicado o controle de acesso? Os dados foram combinados com os de outros usuários?  Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e comparados com a confiança?  A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa na máquina virtual a Polly?  Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2  Mallory é um hacker que pretende explorar as vítimas colocando uma página da Web maliciosa na nuvem. Ela usa uma vulnerabilidade para explorar a presença em nuvem da Buzz Coffee. A partir daí, ele instala um rootkit que injeta uma carga maliciosa nas páginas da Web exibidas e oculta sua atividade maliciosa do sistema operacional. Em seguida, ele redireciona as vítimas para o site, que as infecta com malware. Os usuários reclamam à empresa legítima que estão sendo infectados; portanto, a empresa procura solucionar o problema e investigar o crime. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Usando a experiência como guia, o investigador constrói um plano para acessar o provedor de nuvem remotamente por um canal seguro usando as credenciais do Buzz Coffee e recuperar os arquivos de origem do site. No entanto, quando os dados são retornados, nada malicioso é encontrado, pois o rootkit de Mallory oculta os arquivos do sistema operacional host e das APIs do provedor. O investigador forense determina que as seguintes fontes adicionais de dados são possíveis: logs de acesso do provedor de nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do servidor da web.  O promotor aborda o provedor de nuvem com uma intimação e solicita todos esses dados, incluindo uma cópia forense da máquina virtual. O provedor está disposto a conduzir uma investigação interna e no entanto, reluta em produzir os dados brutos, citando informações confidenciais e proprietárias. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Um técnico no provedor executa a ordem judicial em sua estação de trabalho, copiando dados da infraestrutura do provedor e verificando a integridade com os hashes MD5. Essas informações são gravadas em DVD e contêm 2 MB de logs do NetFlow, 100 MB de logs de acesso à web e 1 MB de código-fonte da web. Usando essas informações, desejamos que nosso investigador descubra o seguinte:  Uma cronologia que mostra quando as páginas da web foram visualizadas e modificadas / acessadas / criadas  Determinar a página da web maliciosa e como o sistema foi comprometido  Analisar o escopo da intrusão e possível propagação para outros sistemas  Identifique a origem da atividade maliciosa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a técnica empregada durante a coleta se torna primordial. Se o sistema operacional host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando o sistema operacional, a coleção completa de arquivos será precisa. Construir uma linha do tempo é uma prática comum para examinadores forenses e importante para determinar quando os arquivos de Mallory foram criados. Infelizmente, o procedimento empregado pelo provedor novamente determina se o investigador recebe metadados úteis, como registros de data e hora de criação de arquivo.  Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é identificado nos logs, que são apresentados juntamente com a análise completa no relatório forense subsequente. Os leitores mais prudentes também podem abordar esse problema analisando o malware instalado depois de visitar a página agora hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas isso não é considerado aqui. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  A cadeia de custódia foi preservada durante todo o processo?  A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve acesso para criar / modificar esta página? Outros clientes estavam hospedados na mesma infraestrutura que poderia ter acesso?  Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web? Eles podem reivindicar a integridade forense desse processo? Os carimbos de data / hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o suficiente para criar uma linha do tempo precisa?  Qual era o local físico da máquina virtual que é executada pelo site de hospedagem? De que leis / regulamentos é governado?  Quais mecanismos de detecção e proteção são empregados pelo provedor para manter sua infraestrutura segura e identificar intrusões?  Como o provedor se recusou a fornecer evidências do sistema operacional, a promotoria pode ter evidências suficientes para provar que um compromisso realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Saiba mais e novos projetos  Excelente vídeo de exemplo feito pela Forensics Sans - https://www.youtube.com/watch?v=vgmKUGuMi7c  Projeto Freta - Opção de nuvem que permite analisar a segurança no Linux. Ele permite que testes forenses sejam executados para fornecer inspeção de memória volátil automatizada de sistema completo de capturas instantâneas de máquinas virtuais. Ele pode detectar software malicioso, rootkits e outras ameaças que podem ser ocultadas – Saiba mais em - https://docs.microsoft.com/en- us/security/research/project-freta/
Fontes de Pesquisa  https://www.enisa.europa.eu/publications/exploring-cloud-incidents  https://www.infosecurity-magazine.com/opinions/cloud-complicates-digital-crime/  https://www.ipsense.com.br/blog/conheca-os-modelos-de-armazenamento-na- nuvem-iaas-paas-saas-e-caas/  https://www.copeltelecom.com/site/blog/armazenamento-na-nuvem-4-tipos-de-cloud/  https://www.ipsense.com.br/blog/quais-sao-os-maiores-desafios-do-armazenamento- na-nuvem/  https://www.csiac.org/wp-content/uploads/2016/02/Vol14_No1.pdf  https://www.researchgate.net/publication/286192780_Understanding_Issues_in_clou d_forensics_Two_hypothetical_case_studies  https://resources.infosecinstitute.com/category/computerforensics/introduction/areas- of-study/hybrid-and-emerging-technologies/introduction-to-cloud-forensics/#gref  https://digital-forensics.sans.org  https://www.nist.gov/

Mais conteúdo relacionado

PDF
Segurança Em Computaçao Na Nuvem
porJavier Antonio Humarán Peñuñuri
 
PDF
OnPremise to Cloud (o2c) - WhitePaper- yros
porYros
 
PDF
On-premise to Cloud (o2c) - WhitePaper | yros
porYros
 
PDF
Segurança na Nuvem: Conformidades e Riscos
porRodrigo Felipe Betussi
 
PDF
Oportunidades e Riscos de Segurança na Computação na Nuvem
porCássio Quaresma
 
PDF
Cloud Computing - Conceitos e Aplicações Práticas
porRafael Bandeira
 
PDF
Risco em projetos cloud computing
porAlfredo Santos
 
PDF
Governança de Dados em Nuvem Privada
porVirtù Tecnológica
 
Segurança Em Computaçao Na Nuvem
porJavier Antonio Humarán Peñuñuri
 
OnPremise to Cloud (o2c) - WhitePaper- yros
porYros
 
On-premise to Cloud (o2c) - WhitePaper | yros
porYros
 
Segurança na Nuvem: Conformidades e Riscos
porRodrigo Felipe Betussi
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
porCássio Quaresma
 
Cloud Computing - Conceitos e Aplicações Práticas
porRafael Bandeira
 
Risco em projetos cloud computing
porAlfredo Santos
 
Governança de Dados em Nuvem Privada
porVirtù Tecnológica
 

Mais procurados

PPTX
Aspectos Jurídicos de Cloud Computing
porcsabr
 
PDF
Cloud computing
porKlaus Fischer Gomes Santana
 
PDF
Cloud conceitos, segurança e migração
porAllen Informática
 
PDF
Guia de compras - Microsoft Azure
porRenato Grau
 
PPT
Cloud computing-curso-dia2
porAdemar Freitas
 
PPTX
RPortal Cloud - Gestão de Documentos e Impressões
porRPortal Cloud
 
PDF
Tcc firewalls e a segurança na internet
poralexandrino1
 
PDF
Riscos de segurança em cloud computing - Parte 4
porFristtram Helder Fernandes
 
PPTX
Ap gt8
porartur barbosa
 
PDF
TCC Seguranca -1.0
porAdriano Santos
 
PDF
Sistemas Distribuídos - Comunicação Distribuída – SOA
porAdriano Teixeira de Souza
 
PPTX
Sc a-g2
porRaquel Marley
 
PDF
Taxonomia Automatizada para Organizações
porDocumentar Tecnologia e Informação
 
PDF
WSU Tecnologia www.wsu.com.br
porrcarvalho82
 
PDF
Windows server 2012_r2_white_paper
porTivane Enoque
 
PDF
Infraestrutura de cloud computing
porFabio Leandro
 
Aspectos Jurídicos de Cloud Computing
porcsabr
 
Cloud computing
porKlaus Fischer Gomes Santana
 
Cloud conceitos, segurança e migração
porAllen Informática
 
Guia de compras - Microsoft Azure
porRenato Grau
 
Cloud computing-curso-dia2
porAdemar Freitas
 
RPortal Cloud - Gestão de Documentos e Impressões
porRPortal Cloud
 
Tcc firewalls e a segurança na internet
poralexandrino1
 
Riscos de segurança em cloud computing - Parte 4
porFristtram Helder Fernandes
 
Ap gt8
porartur barbosa
 
TCC Seguranca -1.0
porAdriano Santos
 
Sistemas Distribuídos - Comunicação Distribuída – SOA
porAdriano Teixeira de Souza
 
Sc a-g2
porRaquel Marley
 
Taxonomia Automatizada para Organizações
porDocumentar Tecnologia e Informação
 
WSU Tecnologia www.wsu.com.br
porrcarvalho82
 
Windows server 2012_r2_white_paper
porTivane Enoque
 
Infraestrutura de cloud computing
porFabio Leandro
 

Semelhante a Sociedade da Informação e Cloud Forensics

PDF
Entendendo a computação em nuvem
porLeonardo Grandinetti Chaves
 
PDF
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
porAllan Reis
 
PPTX
Tech segurança na nuvem
porCarlos Goldani
 
DOCX
O que é computação em nuvem.docx
porPriscillaZambotti
 
DOCX
O que é computação em nuvem.docx
porPriscillaZambotti
 
PDF
Armazenamento de Dados Aplicado à Computação em Nuvem
porDaniel Rossi
 
PPTX
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
PPTX
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
PPT
Computação em Nuvem - Cloud Computing
porAllan Reis
 
PDF
Forense em Computação na Nuvem
porEuler Neto
 
PDF
Cloud computing
porRoney Médice
 
PDF
Transferência para uma nuvem privada com confiança
porCisco do Brasil
 
PDF
Computação em nuvem
porLuciene Costa Rodrigues
 
PPSX
Cloud computing
porJarbas Pereira
 
PPT
Cloud computing
porAdilmar Dantas
 
PDF
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
porMarcelo Veloso
 
DOCX
Tendências de inovações tecnologics em cloud computing
porcictec
 
PDF
Computação em Nuvem: conceitos, tendências e aplicações em Software Livre
porDiego Kreutz
 
PPTX
Computação em Nuvem
porToivo Gomes
 
DOCX
Computação em Nuvem
porMarlon Paranhos
 
Entendendo a computação em nuvem
porLeonardo Grandinetti Chaves
 
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
porAllan Reis
 
Tech segurança na nuvem
porCarlos Goldani
 
O que é computação em nuvem.docx
porPriscillaZambotti
 
O que é computação em nuvem.docx
porPriscillaZambotti
 
Armazenamento de Dados Aplicado à Computação em Nuvem
porDaniel Rossi
 
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
Ufs na nuvem gp 2017-2
porfrancy Mascarenhas
 
Computação em Nuvem - Cloud Computing
porAllan Reis
 
Forense em Computação na Nuvem
porEuler Neto
 
Cloud computing
porRoney Médice
 
Transferência para uma nuvem privada com confiança
porCisco do Brasil
 
Computação em nuvem
porLuciene Costa Rodrigues
 
Cloud computing
porJarbas Pereira
 
Cloud computing
porAdilmar Dantas
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
porMarcelo Veloso
 
Tendências de inovações tecnologics em cloud computing
porcictec
 
Computação em Nuvem: conceitos, tendências e aplicações em Software Livre
porDiego Kreutz
 
Computação em Nuvem
porToivo Gomes
 
Computação em Nuvem
porMarlon Paranhos
 

Sociedade da Informação e Cloud Forensics

  • 1.
  • 2.
    SOCIEDADE DA INFORMAÇÃO Aconvergência do processo produtivo e das relações interpessoais geradas pela terceira onda e consequentemente sua adoção na indústria 4.0, trouxe uma quebra de paradigmas e maneiras como processamos informações, acessamos sistemas e por consequência a maneira como interagimos com a crescente evolução das tecnologias que são utilizadas e a forma que armazenamos os dados que são produzidos. O crescimento da demanda de armazenamento na nuvem nos últimos anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador, afinal é preciso fornecer o serviço com a mesma qualidade, disponibilidade e segurança, incluindo nesse processo, também, os cuidados com atendimento ao cliente e suporte em caso de problemas.
  • 3.
    Tipos de Nuvem Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem pública, o fornecedor é o proprietário da infraestrutura e a disponibiliza ao público de clientes. As interações acontecem por meio de protocolos da internet.  Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às necessidades da empresa e, geralmente, conectada a data centers internos.  Nuvem Compartilhada: É destinada para as empresas que precisam compartilhar a infraestrutura entre um grupo específico de usuários com interesses em comum.  Nuvem Híbrida: Mistura características da nuvem pública, pública e compartilhada, a nuvem híbrida, como o próprio nome diz, concentra uma variedade de opções de uso.
  • 4.
    Aplicações em Nuvem SaaS: É o chamado software como serviço, conhecido pela sigla em inglês SaaS. Como o próprio nome sugere, essa é uma oferta de cloud computing em que a empresa provedora de nuvem (CSP) disponibiliza aos clientes programas, aplicações e ferramentas por acesso remoto, geralmente por meio de um browser.  CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS, ou contêiner como serviço. O desenvolvimento com o uso de contêineres está se expandindo no mercado por oferecer portabilidade e segurança na criação de produtos e sistemas tecnológicos. O contêiner é um pacote isolado com um código, um programa ou uma aplicação que pode ser rearranjada e testada em diferentes sistemas operacionais e situações que não ponham em risco o resto da infraestrutura.
  • 5.
    Aplicações em Nuvem PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares específicos ou contêineres para isolar partes do trabalho, a CSP entrega uma plataforma completa de gerenciamento, que integra várias aplicações e ferramentas e, ao mesmo tempo, o controle sobre o acesso e uso desses dados armazenados na nuvem. Os ERP’s são exemplos mais utilizados de Plataforma como Serviço.  IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de nuvem o mais novo e o que mais promete revolucionar o mercado no futuro. Isso porque a IaaS permite a transformação digital completa: a migração de toda a TI para a nuvem. Além de oferecer os softwares necessários para que os colaboradores sejam produtivos e a plataforma que gerencia e monitora essa utilização, o modelo de infraestrutura na nuvem consegue entregar recursos de computação remotamente.
  • 6.
    Elementos de Investigaçãoe Serviços Oferecidos Modelo de Serviço Cliente Fornecedor SaaS O cliente não tem uma visão profunda do sistema e sua infraestrutura subjacente O controle de acesso de logon único (SSO) deve ser Requeridos O cliente deve contribuir para o forense processo, por exemplo implementando Provas de Recuperabilidade (POR) As ferramentas de log devem ser executadas no provedor da infraestrutura Os fornecedores não podem dar acesso aos logs IP de clientes acessando conteúdo ou para o metadados de todos os dispositivos PaaS O aplicativo principal está sob o controle do cliente O cliente não tem controle direto do ambiente de tempo de execução subjacente Mecanismos de registro e adicionais criptografia pode ser implementada Alguns CSPs fornecem recursos de diagnóstico que oferecer a capacidade de coletar e armazenar uma variedade de dados de diagnóstico em um ambiente altamente configurável maneira. IaaS Instâncias de IaaS fornecem muito mais informações que poderiam ser usadas como evidência que os modelos PaaS e SaaS. Alguns exemplos são: a capacidade do cliente para instalar e configurar a imagem para forenses, para executar o instantâneo de máquina virtual; O RFC 3227 contém vários melhores práticas aplicáveis a um IaaS útil para responder a um incidente de segurança, especialmente em caso de sistemas de investigação ao vivo. Instâncias virtuais de IaaS, em muitos casos, não armazenamento persistente (dados persistentes deve ser armazenado em armazenamento prolongado) e dados voláteis podem ser perdidos. Os fornecedores podem relutar em fornecer dados forenses, como imagens de disco recentes devido a problemas de privacidade que surgem. Alguns problemas podem surgir devido à falta de clareza situação sobre como o provedor lida com a rescisão de contratos com clientes e pela incapacidade do cliente de verificar que os dados confidenciais armazenados em um virtual máquina foi excluída exaustivamente. Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
  • 7.
    Desafios do Armazenamentoem Nuvem  Suprir a crescente demanda de armazenamento na nuvem  Se adequar ao ambiente multi-cloud  Dar suporte aos cloud containers  Manter-se atualizado constantemente  Promover uma migração consistente para o armazenamento na nuvem  Lidar com instabilidades na rede de internet  Otimizar os gastos com armazenamento na nuvem  Garantir a segurança dos dados armazenados na nuvem
  • 8.
    Desafios da análiseforense na nuvem  Promover habilidades para evolução dos aplicativos baseados na nuvem e dos dados hospedados na nuvem é essencial para ajudar as organizações a abordar todo o escopo dos requisitos de descoberta e investigação. Embora não seja imediatamente iminente, a visão de apenas nuvem é muito real.  As implantações de aplicativos em nuvem evoluem e são atualizadas constantemente e as organizações não sabem necessariamente quando o aplicativo em nuvem foi alterado. As atualizações constantes e contínuas dos aplicativos em nuvem desafiam as abordagens atuais de gerenciamento de mudanças de TI e processos de negócios. Além disso, o ambiente de nuvem fluida cria obstáculos aos procedimentos de coleta e preservação de dados que podem impedir o processo de descoberta.
  • 9.
    Desafios da análiseforense na nuvem  Muitas plataformas de hospedagem e desenvolvimento em nuvem permitem que as organizações selecionem onde seus dados serão armazenados - um recurso importante para fins de descoberta. Em alguns casos, as organizações que utilizam aplicativos multilocatários baseados em nuvem podem não saber onde seus dados residem ou podem não receber opções para controlar onde os dados das aplicações contratadas estarão armazenados.  Vários fatores merecem consideração ao decidir onde conduzir a análise, incluindo volume de dados, disponibilidade de ferramentas de análise de dados e impacto financeiro. É essencial compreender os recursos e as limitações analíticas da plataforma em nuvem para determinar se a análise na nuvem é uma opção aceitável.
  • 10.
    Desafios da análiseforense na nuvem  Cada vez mais, as organizações têm a capacidade de criar rapidamente soluções baseadas em nuvem e de baixo custo para desenvolvimento de aplicativos e análise de dados, geralmente sem envolver a TI. Portanto, a TI pode não ser mais a única fonte de todos os dados de uma organização, o que pode causar desafios em potencial com requisitos regulatórios ou solicitações de descoberta. Os aplicativos também têm a capacidade de originar dados de sistemas baseados em nuvem e sistemas locais, levando a situações complexas de preservação e análise de dados. As equipes jurídicas provavelmente serão mais desafiadas à medida que os conceitos de propriedade e custódia dos dados evoluírem com fontes de dados baseadas na nuvem e aplicativos acessíveis na nuvem.
  • 11.
    Desafios da análiseforense na nuvem  Manter uma cadeia de custódia clara em uma infraestrutura de nuvem é extremamente difícil. Na investigação forense tradicional, os investigadores teriam controle completo das evidências em questão, ao passo que na forense em nuvem, os investigadores podem não ter controle total sobre quem o provedor de serviços em nuvem permite coletar evidências.  Os serviços em nuvem também podem ser relutantes em colaborar quando se trata de conduzir uma investigação. Afinal, o que pode ser um problema para você pode não ser um problema para eles, e a investigação pode custar ainda mais tempo e dinheiro. https://csrc.nist.gov/publications/detail/nistir/8006/draftMaiores Informações:
  • 12.
    Exemplos de umaanálise forense em nuvem  A seguir, serão descritos dois estudos de caso hipotéticos para argumentar sobre o estado da investigação forense digital por crimes relacionados à nuvem. Embora fictícios, eles descrevem crimes de computador que não são incomuns atualmente. No primeiro, usa a nuvem como um acessório para um crime. No segundo, visa o crime contra a nuvem. Em ambos os cenários, emergem os seguintes temas que diferenciam essas investigações da análise forense digital tradicional, embora muitas ferramentas já possuem recursos para análise forense baseada em nuvem:  A aquisição de dados forenses é mais difícil.  A cooperação de provedores de nuvem é fundamental.  Os dados na nuvem podem não ter os principais metadados forenses.  A cadeia de custódia é mais complexa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 13.
    Caso 1  Pollyé uma criminosa que trafica em pornografia infantil. Ele criou um serviço na nuvem para armazenar uma grande coleção de imagens e vídeos de contrabando. O site permite que os usuários enviem e baixem esse conteúdo anonimamente. Ele paga por seus serviços em nuvem com um cartão de crédito pré-pago adquirido em dinheiro. Polly criptografa seus dados no armazenamento em nuvem e ele reverte seu servidor da web virtual para um estado limpo diariamente. A aplicação da lei é enviada para o site e deseja encerrar o serviço e processar o criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 14.
    Caso 1 -Considerações  Esperamos que o especialista forense identifique os seguintes aspectos que ajudariam na acusação:  Entender como o serviço da Web funciona, especialmente como criptografa/descriptografa dados do armazenamento  Encontrar chaves para descriptografar dados de armazenamento e use-as para descriptografar os mesmos  Confirmar a presença de pornografia infantil  Analise os logs para identificar possíveis endereços IP do criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 15.
    Caso 1 -Considerações - Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De acordo com os testes de desempenho do fabricante, a AccessData descobriu que o produto Forensic Toolkit (FTK) demorava 5,5 horas para processar um disco rígido de 120 GB totalmente em uma estação de trabalho de primeira linha e até 38,25 horas em um equipamento de gama baixa estação de trabalho (AccessData 2010). Nesse ritmo, 2 TB de dados podem levar 85 horas de tempo de processamento. É provável que o examinador mergulhe primeiro no armazenamento de dados. - O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são criptografados. Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos de dados do VMware, mas não os instantâneos que incluem memória suspensa. O analista precisará corrigir e executar o instantâneo da VM para entender a fonte do site e observar como a criptografia é usada. Depois que as chaves são descobertas e os dados são descriptografados, 2 TB de dados devem ser analisados ​​para obter evidências. - Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do proprietário dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis, desde que estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no NetFlow, no registro de data e hora e, potencialmente, no estilo de codificação do site. Podemos assumir com segurança que pode ser encontrado um IP que aponte para Polly. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 16.
    Caso 1 -Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como sabemos que o provedor de nuvem forneceu uma cópia forense completa e autêntica dos dados? A autenticidade e a integridade dos dados podem ser confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser confiáveis e verificáveis?  Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde estavam localizadas as unidades que continham os dados? Quem teve acesso aos dados e como foi aplicado o controle de acesso? Os dados foram combinados com os de outros usuários?  Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e comparados com a confiança?  A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa na máquina virtual a Polly?  Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 17.
    Caso 2  Malloryé um hacker que pretende explorar as vítimas colocando uma página da Web maliciosa na nuvem. Ela usa uma vulnerabilidade para explorar a presença em nuvem da Buzz Coffee. A partir daí, ele instala um rootkit que injeta uma carga maliciosa nas páginas da Web exibidas e oculta sua atividade maliciosa do sistema operacional. Em seguida, ele redireciona as vítimas para o site, que as infecta com malware. Os usuários reclamam à empresa legítima que estão sendo infectados; portanto, a empresa procura solucionar o problema e investigar o crime. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 18.
    Caso 2 -Considerações  Usando a experiência como guia, o investigador constrói um plano para acessar o provedor de nuvem remotamente por um canal seguro usando as credenciais do Buzz Coffee e recuperar os arquivos de origem do site. No entanto, quando os dados são retornados, nada malicioso é encontrado, pois o rootkit de Mallory oculta os arquivos do sistema operacional host e das APIs do provedor. O investigador forense determina que as seguintes fontes adicionais de dados são possíveis: logs de acesso do provedor de nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do servidor da web.  O promotor aborda o provedor de nuvem com uma intimação e solicita todos esses dados, incluindo uma cópia forense da máquina virtual. O provedor está disposto a conduzir uma investigação interna e no entanto, reluta em produzir os dados brutos, citando informações confidenciais e proprietárias. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 19.
    Caso 2 -Considerações  Um técnico no provedor executa a ordem judicial em sua estação de trabalho, copiando dados da infraestrutura do provedor e verificando a integridade com os hashes MD5. Essas informações são gravadas em DVD e contêm 2 MB de logs do NetFlow, 100 MB de logs de acesso à web e 1 MB de código-fonte da web. Usando essas informações, desejamos que nosso investigador descubra o seguinte:  Uma cronologia que mostra quando as páginas da web foram visualizadas e modificadas / acessadas / criadas  Determinar a página da web maliciosa e como o sistema foi comprometido  Analisar o escopo da intrusão e possível propagação para outros sistemas  Identifique a origem da atividade maliciosa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 20.
    Caso 2 -Considerações  Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a técnica empregada durante a coleta se torna primordial. Se o sistema operacional host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando o sistema operacional, a coleção completa de arquivos será precisa. Construir uma linha do tempo é uma prática comum para examinadores forenses e importante para determinar quando os arquivos de Mallory foram criados. Infelizmente, o procedimento empregado pelo provedor novamente determina se o investigador recebe metadados úteis, como registros de data e hora de criação de arquivo.  Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é identificado nos logs, que são apresentados juntamente com a análise completa no relatório forense subsequente. Os leitores mais prudentes também podem abordar esse problema analisando o malware instalado depois de visitar a página agora hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas isso não é considerado aqui. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 21.
    Caso 2 -Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  A cadeia de custódia foi preservada durante todo o processo?  A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve acesso para criar / modificar esta página? Outros clientes estavam hospedados na mesma infraestrutura que poderia ter acesso?  Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web? Eles podem reivindicar a integridade forense desse processo? Os carimbos de data / hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o suficiente para criar uma linha do tempo precisa?  Qual era o local físico da máquina virtual que é executada pelo site de hospedagem? De que leis / regulamentos é governado?  Quais mecanismos de detecção e proteção são empregados pelo provedor para manter sua infraestrutura segura e identificar intrusões?  Como o provedor se recusou a fornecer evidências do sistema operacional, a promotoria pode ter evidências suficientes para provar que um compromisso realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 22.
    Saiba mais enovos projetos  Excelente vídeo de exemplo feito pela Forensics Sans - https://www.youtube.com/watch?v=vgmKUGuMi7c  Projeto Freta - Opção de nuvem que permite analisar a segurança no Linux. Ele permite que testes forenses sejam executados para fornecer inspeção de memória volátil automatizada de sistema completo de capturas instantâneas de máquinas virtuais. Ele pode detectar software malicioso, rootkits e outras ameaças que podem ser ocultadas – Saiba mais em - https://docs.microsoft.com/en- us/security/research/project-freta/
  • 23.
    Fontes de Pesquisa https://www.enisa.europa.eu/publications/exploring-cloud-incidents  https://www.infosecurity-magazine.com/opinions/cloud-complicates-digital-crime/  https://www.ipsense.com.br/blog/conheca-os-modelos-de-armazenamento-na- nuvem-iaas-paas-saas-e-caas/  https://www.copeltelecom.com/site/blog/armazenamento-na-nuvem-4-tipos-de-cloud/  https://www.ipsense.com.br/blog/quais-sao-os-maiores-desafios-do-armazenamento- na-nuvem/  https://www.csiac.org/wp-content/uploads/2016/02/Vol14_No1.pdf  https://www.researchgate.net/publication/286192780_Understanding_Issues_in_clou d_forensics_Two_hypothetical_case_studies  https://resources.infosecinstitute.com/category/computerforensics/introduction/areas- of-study/hybrid-and-emerging-technologies/introduction-to-cloud-forensics/#gref  https://digital-forensics.sans.org  https://www.nist.gov/