1) O documento discute os desafios da análise forense em nuvens, incluindo a aquisição difícil de dados e a necessidade de cooperação dos provedores.
2) É descrito os tipos de nuvens e aplicações em nuvens como SaaS, PaaS e IaaS.
3) Dois estudos de caso hipotéticos exemplificam desafios como cadeia de custódia complexa em investigações relacionadas à nuvem.
Não é segredo que a computação em nuvem está se tornando cada vez mais popular hoje em dia e é cada vez maior em popularidade com grandes empresas como eles compartilham recursos valiosos de uma forma rentável. Devido a esta crescente demanda por mais nuvens há uma ameaça cada vez maior de segurança se tornando um grande problema. Este documento deve encontrar uma forma de ameaças de segurança que podem ser um perigo para a computação em nuvem e como ela pode ser evitada.
Neste Paper pretendemos desmistificar as opniões negativas sobre a Nuvem. Iremos explicar as Vantagens e Desvantagens, além de explicar a questões relativas a custo e riscos de segurança associados.
On-premise to Cloud (o2c) - WhitePaper | yros Yros
Neste Paper pretendemos desmistificar as opniões negativas sobre a Nuvem. Iremos explicar as Vantagens e Desvantagens, além de explicar a questões relativas a custo e riscos de segurança associados.
Trabalho apresentado na disciplina de Segurança da Informação no curso de Tecnologia em Análise e Desenvolvimento de Sistemas do Instituto Federal de São Paulo.
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
Cássio Quaresma
Oportunidades e Riscos de Segurança na Computação na Nuvem
PUC-RS InteropDay 2011 - www.interopbrasil.com.br
Video
http://www.livestream.com/interopday/video?clipId=pla_80311584-13b8-495b-ba72-c46106191afa&utm_source=lslibrary&utm_medium=ui-thumb
Início: 2:26:12 Fim: 3:13:01
Não é segredo que a computação em nuvem está se tornando cada vez mais popular hoje em dia e é cada vez maior em popularidade com grandes empresas como eles compartilham recursos valiosos de uma forma rentável. Devido a esta crescente demanda por mais nuvens há uma ameaça cada vez maior de segurança se tornando um grande problema. Este documento deve encontrar uma forma de ameaças de segurança que podem ser um perigo para a computação em nuvem e como ela pode ser evitada.
Neste Paper pretendemos desmistificar as opniões negativas sobre a Nuvem. Iremos explicar as Vantagens e Desvantagens, além de explicar a questões relativas a custo e riscos de segurança associados.
On-premise to Cloud (o2c) - WhitePaper | yros Yros
Neste Paper pretendemos desmistificar as opniões negativas sobre a Nuvem. Iremos explicar as Vantagens e Desvantagens, além de explicar a questões relativas a custo e riscos de segurança associados.
Trabalho apresentado na disciplina de Segurança da Informação no curso de Tecnologia em Análise e Desenvolvimento de Sistemas do Instituto Federal de São Paulo.
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
Cássio Quaresma
Oportunidades e Riscos de Segurança na Computação na Nuvem
PUC-RS InteropDay 2011 - www.interopbrasil.com.br
Video
http://www.livestream.com/interopday/video?clipId=pla_80311584-13b8-495b-ba72-c46106191afa&utm_source=lslibrary&utm_medium=ui-thumb
Início: 2:26:12 Fim: 3:13:01
Apresentação do produto Microsoft Azure - Guia de compras. Nesse material é explicado de forma fácil que é o azure, seus recursos e benefícios. Esse material de apresentação irá facilitar a sua apresentação com o seu prospectivo cliente.
A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing (Computação em Grade), que também foi desenvolvido um protótipo para avaliar a proposta de arquitetura usando Grid-M, um middleware da pesquisa do grupo desenvolvido na Universidade Federal de Santa Catarina. Software orientado a serviços, gestão de grandes instalações (Data Centers), dentre outras. Trata-se de um modelo eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de diferentes dispositivos e tecnologias web.
A WSU Tecnologia é um empresa da cidade de Curitiba especializada em oferecer soluções personalizadas em ambiente de TI.
A empresa oferece os seguintes serviços:
- Configuração e manutenção de servidores Linux ;
- Suporte 24x7 em todo brasil ;
- Configuração e manutenção de sistemas de sergurança de internet (proxy e firewall) ;
- Configuração de Sistema de Detecção de Invasão (IDSs) ;
- Sistemas de VPN ;
- Servidores de email e Colaboração corporativa (Zimbra, OpenExange,etc) ;
- Configuração e fornecimento de servidores dedicados ;
Com profissionais devidamente treinados e qualificados,a WSU aguarda seu contato!
WSU Tecnologia
http://www.wsu.com.br
Email: contato@wsu.com.br Tel: 41 4063 9343
Visconde do Rio Branco 1630 - Sala 1302 - Curitiba / PR
Transferência para uma nuvem privada com confiançaCisco do Brasil
A computação em nuvem já entrou no mercado das empresas que possuem políticas fortes e preocupações com a conformidade, e estão cada vez mais adotando nuvens privadas para ganhar os benefícios da computação em nuvem sem os riscos de segurança em potencial. Enquanto o modelo de nuvem privada se esquiva dos problemas de segurança que surgem em um ambiente de nuvem pública, ele ainda exige novas abordagens de segurança para superar os riscos associados aos recursos compartilhados e para executar o controle de acesso e a confidencialidade dos dados. Abordagens que fornecem uma estrutura de políticas consistente, automação, escalabilidade e que têm consciência da virtualização permitem que empresas façam essa transição com sucesso.
Apresentação do produto Microsoft Azure - Guia de compras. Nesse material é explicado de forma fácil que é o azure, seus recursos e benefícios. Esse material de apresentação irá facilitar a sua apresentação com o seu prospectivo cliente.
A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing (Computação em Grade), que também foi desenvolvido um protótipo para avaliar a proposta de arquitetura usando Grid-M, um middleware da pesquisa do grupo desenvolvido na Universidade Federal de Santa Catarina. Software orientado a serviços, gestão de grandes instalações (Data Centers), dentre outras. Trata-se de um modelo eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de diferentes dispositivos e tecnologias web.
A WSU Tecnologia é um empresa da cidade de Curitiba especializada em oferecer soluções personalizadas em ambiente de TI.
A empresa oferece os seguintes serviços:
- Configuração e manutenção de servidores Linux ;
- Suporte 24x7 em todo brasil ;
- Configuração e manutenção de sistemas de sergurança de internet (proxy e firewall) ;
- Configuração de Sistema de Detecção de Invasão (IDSs) ;
- Sistemas de VPN ;
- Servidores de email e Colaboração corporativa (Zimbra, OpenExange,etc) ;
- Configuração e fornecimento de servidores dedicados ;
Com profissionais devidamente treinados e qualificados,a WSU aguarda seu contato!
WSU Tecnologia
http://www.wsu.com.br
Email: contato@wsu.com.br Tel: 41 4063 9343
Visconde do Rio Branco 1630 - Sala 1302 - Curitiba / PR
Transferência para uma nuvem privada com confiançaCisco do Brasil
A computação em nuvem já entrou no mercado das empresas que possuem políticas fortes e preocupações com a conformidade, e estão cada vez mais adotando nuvens privadas para ganhar os benefícios da computação em nuvem sem os riscos de segurança em potencial. Enquanto o modelo de nuvem privada se esquiva dos problemas de segurança que surgem em um ambiente de nuvem pública, ele ainda exige novas abordagens de segurança para superar os riscos associados aos recursos compartilhados e para executar o controle de acesso e a confidencialidade dos dados. Abordagens que fornecem uma estrutura de políticas consistente, automação, escalabilidade e que têm consciência da virtualização permitem que empresas façam essa transição com sucesso.
Um provedor de nuvem é uma empresa que oferece algum componente da computação em nuvem – normalmente Infraestrutura como Serviço (IaaS) , Software como Serviço (SaaS) ou Plataforma como Serviço (PaaS) – a outras empresas ou indivíduos. Os provedores de nuvem são por vezes referido como prestadores de serviços em nuvem ou CSPs .
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃOAllan Reis
Artigo apresentado como exigência parcial para aprovação na disciplina Projeto Integrador de Pesquisa do 1º ciclo de 2010 do curso de Redes de Computadores da Faculdade Pitágoras, sob orientação do professor Fernando Hadad Zaidan.
2. SOCIEDADE DA INFORMAÇÃO
A convergência do processo produtivo e das relações interpessoais
geradas pela terceira onda e consequentemente sua adoção na indústria
4.0, trouxe uma quebra de paradigmas e maneiras como processamos
informações, acessamos sistemas e por consequência a maneira como
interagimos com a crescente evolução das tecnologias que são
utilizadas e a forma que armazenamos os dados que são produzidos.
O crescimento da demanda de armazenamento na nuvem nos últimos
anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador,
afinal é preciso fornecer o serviço com a mesma qualidade,
disponibilidade e segurança, incluindo nesse processo, também, os
cuidados com atendimento ao cliente e suporte em caso de problemas.
3. Tipos de Nuvem
Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem
pública, o fornecedor é o proprietário da infraestrutura e a
disponibiliza ao público de clientes. As interações acontecem por
meio de protocolos da internet.
Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às
necessidades da empresa e, geralmente, conectada a data centers
internos.
Nuvem Compartilhada: É destinada para as empresas que precisam
compartilhar a infraestrutura entre um grupo específico de usuários
com interesses em comum.
Nuvem Híbrida: Mistura características da nuvem pública, pública e
compartilhada, a nuvem híbrida, como o próprio nome diz, concentra
uma variedade de opções de uso.
4. Aplicações em Nuvem
SaaS: É o chamado software como serviço, conhecido pela sigla em
inglês SaaS. Como o próprio nome sugere, essa é uma oferta de
cloud computing em que a empresa provedora de nuvem (CSP)
disponibiliza aos clientes programas, aplicações e ferramentas por
acesso remoto, geralmente por meio de um browser.
CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte
entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS,
ou contêiner como serviço. O desenvolvimento com o uso de
contêineres está se expandindo no mercado por oferecer
portabilidade e segurança na criação de produtos e sistemas
tecnológicos. O contêiner é um pacote isolado com um código, um
programa ou uma aplicação que pode ser rearranjada e testada em
diferentes sistemas operacionais e situações que não ponham em
risco o resto da infraestrutura.
5. Aplicações em Nuvem
PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares
específicos ou contêineres para isolar partes do trabalho, a CSP
entrega uma plataforma completa de gerenciamento, que integra
várias aplicações e ferramentas e, ao mesmo tempo, o controle
sobre o acesso e uso desses dados armazenados na nuvem. Os
ERP’s são exemplos mais utilizados de Plataforma como Serviço.
IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de
nuvem o mais novo e o que mais promete revolucionar o mercado no
futuro. Isso porque a IaaS permite a transformação digital completa:
a migração de toda a TI para a nuvem. Além de oferecer os
softwares necessários para que os colaboradores sejam produtivos e
a plataforma que gerencia e monitora essa utilização, o modelo de
infraestrutura na nuvem consegue entregar recursos de computação
remotamente.
6. Elementos de Investigação e Serviços Oferecidos
Modelo de Serviço Cliente Fornecedor
SaaS
O cliente não tem uma visão profunda do sistema
e sua infraestrutura subjacente
O controle de acesso de logon único (SSO) deve
ser Requeridos
O cliente deve contribuir para o forense processo,
por exemplo implementando Provas de
Recuperabilidade (POR)
As ferramentas de log devem ser executadas
no provedor da infraestrutura
Os fornecedores não podem dar acesso aos
logs IP de clientes acessando conteúdo ou para
o metadados de todos os dispositivos
PaaS
O aplicativo principal está sob o controle do
cliente
O cliente não tem controle direto do
ambiente de tempo de execução subjacente
Mecanismos de registro e adicionais
criptografia pode ser implementada
Alguns CSPs fornecem recursos de diagnóstico
que oferecer a capacidade de coletar e
armazenar uma variedade de dados de
diagnóstico em um ambiente altamente
configurável maneira.
IaaS
Instâncias de IaaS fornecem muito mais
informações que poderiam ser usadas como
evidência que os modelos PaaS e SaaS.
Alguns exemplos são: a capacidade do cliente
para instalar e configurar a imagem para
forenses, para executar o instantâneo de
máquina virtual; O RFC 3227 contém vários
melhores práticas aplicáveis a um IaaS útil para
responder a um incidente de segurança,
especialmente em caso de sistemas de
investigação ao vivo.
Instâncias virtuais de IaaS, em muitos casos,
não armazenamento persistente (dados
persistentes deve ser armazenado em
armazenamento prolongado) e dados voláteis
podem ser perdidos.
Os fornecedores podem relutar em fornecer
dados forenses, como imagens de disco
recentes devido a problemas de privacidade
que surgem.
Alguns problemas podem surgir devido à falta
de clareza situação sobre como o provedor lida
com a rescisão de contratos com clientes e
pela incapacidade do cliente de verificar que os
dados confidenciais armazenados em um
virtual máquina foi excluída exaustivamente.
Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
7. Desafios do Armazenamento em Nuvem
Suprir a crescente demanda de armazenamento na nuvem
Se adequar ao ambiente multi-cloud
Dar suporte aos cloud containers
Manter-se atualizado constantemente
Promover uma migração consistente para o armazenamento na
nuvem
Lidar com instabilidades na rede de internet
Otimizar os gastos com armazenamento na nuvem
Garantir a segurança dos dados armazenados na nuvem
8. Desafios da análise forense na nuvem
Promover habilidades para evolução dos aplicativos baseados na
nuvem e dos dados hospedados na nuvem é essencial para ajudar
as organizações a abordar todo o escopo dos requisitos de
descoberta e investigação. Embora não seja imediatamente iminente,
a visão de apenas nuvem é muito real.
As implantações de aplicativos em nuvem evoluem e são atualizadas
constantemente e as organizações não sabem necessariamente
quando o aplicativo em nuvem foi alterado. As atualizações
constantes e contínuas dos aplicativos em nuvem desafiam as
abordagens atuais de gerenciamento de mudanças de TI e
processos de negócios. Além disso, o ambiente de nuvem fluida cria
obstáculos aos procedimentos de coleta e preservação de dados que
podem impedir o processo de descoberta.
9. Desafios da análise forense na nuvem
Muitas plataformas de hospedagem e desenvolvimento em nuvem
permitem que as organizações selecionem onde seus dados serão
armazenados - um recurso importante para fins de descoberta. Em
alguns casos, as organizações que utilizam aplicativos multilocatários
baseados em nuvem podem não saber onde seus dados residem
ou podem não receber opções para controlar onde os dados das
aplicações contratadas estarão armazenados.
Vários fatores merecem consideração ao decidir onde conduzir a
análise, incluindo volume de dados, disponibilidade de ferramentas
de análise de dados e impacto financeiro. É essencial compreender
os recursos e as limitações analíticas da plataforma em nuvem para
determinar se a análise na nuvem é uma opção aceitável.
10. Desafios da análise forense na nuvem
Cada vez mais, as organizações têm a capacidade de criar
rapidamente soluções baseadas em nuvem e de baixo custo para
desenvolvimento de aplicativos e análise de dados, geralmente sem
envolver a TI. Portanto, a TI pode não ser mais a única fonte de
todos os dados de uma organização, o que pode causar desafios em
potencial com requisitos regulatórios ou solicitações de descoberta.
Os aplicativos também têm a capacidade de originar dados de
sistemas baseados em nuvem e sistemas locais, levando a situações
complexas de preservação e análise de dados. As equipes jurídicas
provavelmente serão mais desafiadas à medida que os conceitos de
propriedade e custódia dos dados evoluírem com fontes de dados
baseadas na nuvem e aplicativos acessíveis na nuvem.
11. Desafios da análise forense na nuvem
Manter uma cadeia de custódia clara em uma infraestrutura de
nuvem é extremamente difícil. Na investigação forense tradicional, os
investigadores teriam controle completo das evidências em questão,
ao passo que na forense em nuvem, os investigadores podem não
ter controle total sobre quem o provedor de serviços em nuvem
permite coletar evidências.
Os serviços em nuvem também podem ser relutantes em colaborar
quando se trata de conduzir uma investigação. Afinal, o que pode ser
um problema para você pode não ser um problema para eles, e a
investigação pode custar ainda mais tempo e dinheiro.
https://csrc.nist.gov/publications/detail/nistir/8006/draftMaiores Informações:
12. Exemplos de uma análise forense em nuvem
A seguir, serão descritos dois estudos de caso hipotéticos para
argumentar sobre o estado da investigação forense digital por crimes
relacionados à nuvem. Embora fictícios, eles descrevem crimes de
computador que não são incomuns atualmente. No primeiro, usa a
nuvem como um acessório para um crime. No segundo, visa o crime
contra a nuvem. Em ambos os cenários, emergem os seguintes
temas que diferenciam essas investigações da análise forense digital
tradicional, embora muitas ferramentas já possuem recursos para
análise forense baseada em nuvem:
A aquisição de dados forenses é mais difícil.
A cooperação de provedores de nuvem é fundamental.
Os dados na nuvem podem não ter os principais metadados
forenses.
A cadeia de custódia é mais complexa.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
13. Caso 1
Polly é uma criminosa que trafica em pornografia infantil. Ele criou
um serviço na nuvem para armazenar uma grande coleção de
imagens e vídeos de contrabando. O site permite que os usuários
enviem e baixem esse conteúdo anonimamente. Ele paga por seus
serviços em nuvem com um cartão de crédito pré-pago adquirido em
dinheiro. Polly criptografa seus dados no armazenamento em nuvem
e ele reverte seu servidor da web virtual para um estado limpo
diariamente. A aplicação da lei é enviada para o site e deseja
encerrar o serviço e processar o criminoso.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
14. Caso 1 - Considerações
Esperamos que o especialista forense identifique os seguintes
aspectos que ajudariam na acusação:
Entender como o serviço da Web funciona, especialmente como
criptografa/descriptografa dados do armazenamento
Encontrar chaves para descriptografar dados de armazenamento e
use-as para descriptografar os mesmos
Confirmar a presença de pornografia infantil
Analise os logs para identificar possíveis endereços IP do criminoso.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
15. Caso 1 - Considerações
- Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De acordo
com os testes de desempenho do fabricante, a AccessData descobriu que o produto Forensic Toolkit
(FTK) demorava 5,5 horas para processar um disco rígido de 120 GB totalmente em uma estação
de trabalho de primeira linha e até 38,25 horas em um equipamento de gama baixa estação de
trabalho (AccessData 2010). Nesse ritmo, 2 TB de dados podem levar 85 horas de tempo de
processamento. É provável que o examinador mergulhe primeiro no armazenamento de dados.
- O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de
dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são criptografados.
Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos de dados do VMware,
mas não os instantâneos que incluem memória suspensa. O analista precisará corrigir e executar o
instantâneo da VM para entender a fonte do site e observar como a criptografia é usada. Depois que
as chaves são descobertas e os dados são descriptografados, 2 TB de dados devem ser
analisados para obter evidências.
- Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do proprietário
dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis, desde que
estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no NetFlow, no
registro de data e hora e, potencialmente, no estilo de codificação do site. Podemos assumir com
segurança que pode ser encontrado um IP que aponte para Polly.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
16. Caso 1 - Considerações
Considere as questões que a defesa pode suscitar para introduzir dúvidas no
exame:
Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como
sabemos que o provedor de nuvem forneceu uma cópia forense completa e
autêntica dos dados? A autenticidade e a integridade dos dados podem ser
confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser
confiáveis e verificáveis?
Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde
estavam localizadas as unidades que continham os dados? Quem teve acesso aos
dados e como foi aplicado o controle de acesso? Os dados foram combinados com
os de outros usuários?
Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas
são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e
comparados com a confiança?
A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa
na máquina virtual a Polly?
Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de
nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
17. Caso 2
Mallory é um hacker que pretende explorar as vítimas colocando
uma página da Web maliciosa na nuvem. Ela usa uma
vulnerabilidade para explorar a presença em nuvem da Buzz Coffee.
A partir daí, ele instala um rootkit que injeta uma carga maliciosa nas
páginas da Web exibidas e oculta sua atividade maliciosa do sistema
operacional. Em seguida, ele redireciona as vítimas para o site, que
as infecta com malware. Os usuários reclamam à empresa legítima
que estão sendo infectados; portanto, a empresa procura solucionar
o problema e investigar o crime.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
18. Caso 2 - Considerações
Usando a experiência como guia, o investigador constrói um plano para
acessar o provedor de nuvem remotamente por um canal seguro usando as
credenciais do Buzz Coffee e recuperar os arquivos de origem do site. No
entanto, quando os dados são retornados, nada malicioso é encontrado,
pois o rootkit de Mallory oculta os arquivos do sistema operacional host e
das APIs do provedor. O investigador forense determina que as seguintes
fontes adicionais de dados são possíveis: logs de acesso do provedor de
nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do servidor
da web.
O promotor aborda o provedor de nuvem com uma intimação e solicita todos
esses dados, incluindo uma cópia forense da máquina virtual. O provedor
está disposto a conduzir uma investigação interna e no entanto, reluta em
produzir os dados brutos, citando informações confidenciais e proprietárias.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
19. Caso 2 - Considerações
Um técnico no provedor executa a ordem judicial em sua estação de
trabalho, copiando dados da infraestrutura do provedor e verificando a
integridade com os hashes MD5. Essas informações são gravadas em DVD
e contêm 2 MB de logs do NetFlow, 100 MB de logs de acesso à web e 1
MB de código-fonte da web. Usando essas informações, desejamos que
nosso investigador descubra o seguinte:
Uma cronologia que mostra quando as páginas da web foram visualizadas e
modificadas / acessadas / criadas
Determinar a página da web maliciosa e como o sistema foi comprometido
Analisar o escopo da intrusão e possível propagação para outros sistemas
Identifique a origem da atividade maliciosa.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
20. Caso 2 - Considerações
Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados
retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a
técnica empregada durante a coleta se torna primordial. Se o sistema operacional
host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os
arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando
o sistema operacional, a coleção completa de arquivos será precisa. Construir uma
linha do tempo é uma prática comum para examinadores forenses e importante para
determinar quando os arquivos de Mallory foram criados. Infelizmente, o
procedimento empregado pelo provedor novamente determina se o investigador
recebe metadados úteis, como registros de data e hora de criação de arquivo.
Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão
original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é
identificado nos logs, que são apresentados juntamente com a análise completa no
relatório forense subsequente. Os leitores mais prudentes também podem abordar
esse problema analisando o malware instalado depois de visitar a página agora
hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas
isso não é considerado aqui.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
21. Caso 2 - Considerações
Considere as questões que a defesa pode suscitar para introduzir dúvidas no
exame:
A cadeia de custódia foi preservada durante todo o processo?
A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve
acesso para criar / modificar esta página? Outros clientes estavam hospedados na
mesma infraestrutura que poderia ter acesso?
Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web?
Eles podem reivindicar a integridade forense desse processo? Os carimbos de data /
hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o
suficiente para criar uma linha do tempo precisa?
Qual era o local físico da máquina virtual que é executada pelo site de hospedagem?
De que leis / regulamentos é governado?
Quais mecanismos de detecção e proteção são empregados pelo provedor para
manter sua infraestrutura segura e identificar intrusões?
Como o provedor se recusou a fornecer evidências do sistema operacional, a
promotoria pode ter evidências suficientes para provar que um compromisso
realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
22. Saiba mais e novos projetos
Excelente vídeo de exemplo feito pela Forensics Sans -
https://www.youtube.com/watch?v=vgmKUGuMi7c
Projeto Freta - Opção de nuvem que permite analisar a segurança no
Linux. Ele permite que testes forenses sejam executados para
fornecer inspeção de memória volátil automatizada de sistema
completo de capturas instantâneas de máquinas virtuais. Ele pode
detectar software malicioso, rootkits e outras ameaças que podem
ser ocultadas – Saiba mais em - https://docs.microsoft.com/en-
us/security/research/project-freta/