2. SOCIEDADE DA INFORMAÇÃO
A convergência do processo produtivo e das relações interpessoais
geradas pela terceira onda e consequentemente sua adoção na indústria
4.0, trouxe uma quebra de paradigmas e maneiras como processamos
informações, acessamos sistemas e por consequência a maneira como
interagimos com a crescente evolução das tecnologias que são
utilizadas e a forma que armazenamos os dados que são produzidos.
O crescimento da demanda de armazenamento na nuvem nos últimos
anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador,
afinal é preciso fornecer o serviço com a mesma qualidade,
disponibilidade e segurança, incluindo nesse processo, também, os
cuidados com atendimento ao cliente e suporte em caso de problemas.
3. Tipos de Nuvem
Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem
pública, o fornecedor é o proprietário da infraestrutura e a
disponibiliza ao público de clientes. As interações acontecem por
meio de protocolos da internet.
Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às
necessidades da empresa e, geralmente, conectada a data centers
internos.
Nuvem Compartilhada: É destinada para as empresas que precisam
compartilhar a infraestrutura entre um grupo específico de usuários
com interesses em comum.
Nuvem Híbrida: Mistura características da nuvem pública, pública e
compartilhada, a nuvem híbrida, como o próprio nome diz, concentra
uma variedade de opções de uso.
4. Aplicações em Nuvem
SaaS: É o chamado software como serviço, conhecido pela sigla em
inglês SaaS. Como o próprio nome sugere, essa é uma oferta de
cloud computing em que a empresa provedora de nuvem (CSP)
disponibiliza aos clientes programas, aplicações e ferramentas por
acesso remoto, geralmente por meio de um browser.
CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte
entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS,
ou contêiner como serviço. O desenvolvimento com o uso de
contêineres está se expandindo no mercado por oferecer
portabilidade e segurança na criação de produtos e sistemas
tecnológicos. O contêiner é um pacote isolado com um código, um
programa ou uma aplicação que pode ser rearranjada e testada em
diferentes sistemas operacionais e situações que não ponham em
risco o resto da infraestrutura.
5. Aplicações em Nuvem
PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares
específicos ou contêineres para isolar partes do trabalho, a CSP
entrega uma plataforma completa de gerenciamento, que integra
várias aplicações e ferramentas e, ao mesmo tempo, o controle
sobre o acesso e uso desses dados armazenados na nuvem. Os
ERP’s são exemplos mais utilizados de Plataforma como Serviço.
IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de
nuvem o mais novo e o que mais promete revolucionar o mercado no
futuro. Isso porque a IaaS permite a transformação digital completa:
a migração de toda a TI para a nuvem. Além de oferecer os
softwares necessários para que os colaboradores sejam produtivos e
a plataforma que gerencia e monitora essa utilização, o modelo de
infraestrutura na nuvem consegue entregar recursos de computação
remotamente.
6. Elementos de Investigação e Serviços Oferecidos
Modelo de Serviço Cliente Fornecedor
SaaS
O cliente não tem uma visão profunda do sistema
e sua infraestrutura subjacente
O controle de acesso de logon único (SSO) deve
ser Requeridos
O cliente deve contribuir para o forense processo,
por exemplo implementando Provas de
Recuperabilidade (POR)
As ferramentas de log devem ser executadas
no provedor da infraestrutura
Os fornecedores não podem dar acesso aos
logs IP de clientes acessando conteúdo ou para
o metadados de todos os dispositivos
PaaS
O aplicativo principal está sob o controle do
cliente
O cliente não tem controle direto do
ambiente de tempo de execução subjacente
Mecanismos de registro e adicionais
criptografia pode ser implementada
Alguns CSPs fornecem recursos de diagnóstico
que oferecer a capacidade de coletar e
armazenar uma variedade de dados de
diagnóstico em um ambiente altamente
configurável maneira.
IaaS
Instâncias de IaaS fornecem muito mais
informações que poderiam ser usadas como
evidência que os modelos PaaS e SaaS.
Alguns exemplos são: a capacidade do cliente
para instalar e configurar a imagem para
forenses, para executar o instantâneo de
máquina virtual; O RFC 3227 contém vários
melhores práticas aplicáveis a um IaaS útil para
responder a um incidente de segurança,
especialmente em caso de sistemas de
investigação ao vivo.
Instâncias virtuais de IaaS, em muitos casos,
não armazenamento persistente (dados
persistentes deve ser armazenado em
armazenamento prolongado) e dados voláteis
podem ser perdidos.
Os fornecedores podem relutar em fornecer
dados forenses, como imagens de disco
recentes devido a problemas de privacidade
que surgem.
Alguns problemas podem surgir devido à falta
de clareza situação sobre como o provedor lida
com a rescisão de contratos com clientes e
pela incapacidade do cliente de verificar que os
dados confidenciais armazenados em um
virtual máquina foi excluída exaustivamente.
Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
7. Desafios do Armazenamento em Nuvem
Suprir a crescente demanda de armazenamento na nuvem
Se adequar ao ambiente multi-cloud
Dar suporte aos cloud containers
Manter-se atualizado constantemente
Promover uma migração consistente para o armazenamento na
nuvem
Lidar com instabilidades na rede de internet
Otimizar os gastos com armazenamento na nuvem
Garantir a segurança dos dados armazenados na nuvem
8. Desafios da análise forense na nuvem
Promover habilidades para evolução dos aplicativos baseados na
nuvem e dos dados hospedados na nuvem é essencial para ajudar
as organizações a abordar todo o escopo dos requisitos de
descoberta e investigação. Embora não seja imediatamente iminente,
a visão de apenas nuvem é muito real.
As implantações de aplicativos em nuvem evoluem e são atualizadas
constantemente e as organizações não sabem necessariamente
quando o aplicativo em nuvem foi alterado. As atualizações
constantes e contínuas dos aplicativos em nuvem desafiam as
abordagens atuais de gerenciamento de mudanças de TI e
processos de negócios. Além disso, o ambiente de nuvem fluida cria
obstáculos aos procedimentos de coleta e preservação de dados que
podem impedir o processo de descoberta.
9. Desafios da análise forense na nuvem
Muitas plataformas de hospedagem e desenvolvimento em nuvem
permitem que as organizações selecionem onde seus dados serão
armazenados - um recurso importante para fins de descoberta. Em
alguns casos, as organizações que utilizam aplicativos multilocatários
baseados em nuvem podem não saber onde seus dados residem
ou podem não receber opções para controlar onde os dados das
aplicações contratadas estarão armazenados.
Vários fatores merecem consideração ao decidir onde conduzir a
análise, incluindo volume de dados, disponibilidade de ferramentas
de análise de dados e impacto financeiro. É essencial compreender
os recursos e as limitações analíticas da plataforma em nuvem para
determinar se a análise na nuvem é uma opção aceitável.
10. Desafios da análise forense na nuvem
Cada vez mais, as organizações têm a capacidade de criar
rapidamente soluções baseadas em nuvem e de baixo custo para
desenvolvimento de aplicativos e análise de dados, geralmente sem
envolver a TI. Portanto, a TI pode não ser mais a única fonte de
todos os dados de uma organização, o que pode causar desafios em
potencial com requisitos regulatórios ou solicitações de descoberta.
Os aplicativos também têm a capacidade de originar dados de
sistemas baseados em nuvem e sistemas locais, levando a situações
complexas de preservação e análise de dados. As equipes jurídicas
provavelmente serão mais desafiadas à medida que os conceitos de
propriedade e custódia dos dados evoluírem com fontes de dados
baseadas na nuvem e aplicativos acessíveis na nuvem.
11. Desafios da análise forense na nuvem
Manter uma cadeia de custódia clara em uma infraestrutura de
nuvem é extremamente difícil. Na investigação forense tradicional, os
investigadores teriam controle completo das evidências em questão,
ao passo que na forense em nuvem, os investigadores podem não
ter controle total sobre quem o provedor de serviços em nuvem
permite coletar evidências.
Os serviços em nuvem também podem ser relutantes em colaborar
quando se trata de conduzir uma investigação. Afinal, o que pode ser
um problema para você pode não ser um problema para eles, e a
investigação pode custar ainda mais tempo e dinheiro.
Maiores informações:
https://csrc.nist.gov/publications/detail/nistir/8006/draft
12. Exemplos de uma análise forense em nuvem
A seguir, serão descritos dois estudos de caso hipotéticos para
argumentar sobre o estado da investigação forense digital por crimes
relacionados à nuvem. Embora fictícios, eles descrevem crimes de
computador que não são incomuns atualmente. No primeiro, usa a
nuvem como um acessório para um crime. No segundo, visa o crime
contra a nuvem. Em ambos os cenários, emergem os seguintes
temas que diferenciam essas investigações da análise forense digital
tradicional, embora muitas ferramentas já possuem recursos para
análise forense baseada em nuvem:
A aquisição de dados forenses é mais difícil.
A cooperação de provedores de nuvem é fundamental.
Os dados na nuvem podem não ter os principais metadados
forenses.
A cadeia de custódia é mais complexa.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
13. Caso 1
Polly é uma criminosa que trafica em pornografia infantil. Ele criou
um serviço na nuvem para armazenar uma grande coleção de
imagens e vídeos de contrabando. O site permite que os usuários
enviem e baixem esse conteúdo anonimamente. Ele paga por seus
serviços em nuvem com um cartão de crédito pré-pago adquirido em
dinheiro. Polly criptografa seus dados no armazenamento em nuvem
e ele reverte seu servidor da web virtual para um estado limpo
diariamente. A aplicação da lei é enviada para o site e deseja
encerrar o serviço e processar o criminoso.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
14. Caso 1 - Considerações
Esperamos que o especialista forense identifique os seguintes
aspectos que ajudariam na acusação:
Entender como o serviço da Web funciona, especialmente como
criptografa/descriptografa dados do armazenamento
Encontrar chaves para descriptografar dados de armazenamento e
use-as para descriptografar os mesmos
Confirmar a presença de pornografia infantil
Analise os logs para identificar possíveis endereços IP do criminoso.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
15. Caso 1 - Considerações
- Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De
acordo com os testes de desempenho do fabricante, a AccessData descobriu que o produto
Forensic Toolkit (FTK) demorava 5,5 horas para processar um disco rígido de 120 GB
totalmente em uma estação de trabalho de primeira linha e até 38,25 horas em um
equipamento de gama baixa estação de trabalho (AccessData 2010). Nesse ritmo, 2 TB de
dados podem levar 85 horas de tempo de processamento. É provável que o examinador
mergulhe primeiro no armazenamento de dados.
- O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de
dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são
criptografados. Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos
de dados do VMware, mas não os instantâneos que incluem memória suspensa. O analista
precisará corrigir e executar o instantâneo da VM para entender a fonte do site e observar
como a criptografia é usada. Depois que as chaves são descobertas e os dados são
descriptografados, 2 TB de dados devem ser analisados para obter evidências.
- Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do
proprietário dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis,
desde que estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no
NetFlow, no registro de data e hora e, potencialmente, no estilo de codificação do site.
Podemos assumir com segurança que pode ser encontrado um IP que aponte para Polly.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
16. Caso 1 - Considerações
Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:
Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como
sabemos que o provedor de nuvem forneceu uma cópia forense completa e
autêntica dos dados? A autenticidade e a integridade dos dados podem ser
confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser
confiáveis e verificáveis?
Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde
estavam localizadas as unidades que continham os dados? Quem teve acesso aos
dados e como foi aplicado o controle de acesso? Os dados foram combinados com
os de outros usuários?
Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas
são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e
comparados com a confiança?
A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa
na máquina virtual a Polly?
Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de
nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
17. Caso 2
Mallory é um hacker que pretende explorar as vítimas colocando uma
página da Web maliciosa na nuvem. Ela usa uma vulnerabilidade
para explorar a presença em nuvem da Buzz Coffee. A partir daí, ele
instala um rootkit que injeta uma carga maliciosa nas páginas da
Web exibidas e oculta sua atividade maliciosa do sistema
operacional. Em seguida, ele redireciona as vítimas para o site, que
as infecta com malware. Os usuários reclamam à empresa legítima
que estão sendo infectados; portanto, a empresa procura solucionar
o problema e investigar o crime.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
18. Caso 2 - Considerações
Usando a experiência como guia, o investigador constrói um plano
para acessar o provedor de nuvem remotamente por um canal
seguro usando as credenciais do Buzz Coffee e recuperar os
arquivos de origem do site. No entanto, quando os dados são
retornados, nada malicioso é encontrado, pois o rootkit de Mallory
oculta os arquivos do sistema operacional host e das APIs do
provedor. O investigador forense determina que as seguintes fontes
adicionais de dados são possíveis: logs de acesso do provedor de
nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do
servidor da web.
O promotor aborda o provedor de nuvem com uma intimação e
solicita todos esses dados, incluindo uma cópia forense da máquina
virtual. O provedor está disposto a conduzir uma investigação interna
e no entanto, reluta em produzir os dados brutos, citando
informações confidenciais e proprietárias.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
19. Caso 2 - Considerações
Um técnico no provedor executa a ordem judicial em sua estação de
trabalho, copiando dados da infraestrutura do provedor e verificando
a integridade com os hashes MD5. Essas informações são gravadas
em DVD e contêm 2 MB de logs do NetFlow, 100 MB de logs de
acesso à web e 1 MB de código-fonte da web. Usando essas
informações, desejamos que nosso investigador descubra o
seguinte:
Uma cronologia que mostra quando as páginas da web foram
visualizadas e modificadas / acessadas / criadas
Determinar a página da web maliciosa e como o sistema foi
comprometido
Analisar o escopo da intrusão e possível propagação para outros
sistemas
Identifique a origem da atividade maliciosa.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
20. Caso 2 - Considerações
Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados
retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a
técnica empregada durante a coleta se torna primordial. Se o sistema operacional
host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os
arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando
o sistema operacional, a coleção completa de arquivos será precisa. Construir uma
linha do tempo é uma prática comum para examinadores forenses e importante para
determinar quando os arquivos de Mallory foram criados. Infelizmente, o
procedimento empregado pelo provedor novamente determina se o investigador
recebe metadados úteis, como registros de data e hora de criação de arquivo.
Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão
original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é
identificado nos logs, que são apresentados juntamente com a análise completa no
relatório forense subsequente. Os leitores mais prudentes também podem abordar
esse problema analisando o malware instalado depois de visitar a página agora
hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas
isso não é considerado aqui.
https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
21. Caso 2 - Considerações
Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:
A cadeia de custódia foi preservada durante todo o processo?
A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve
acesso para criar / modificar esta página? Outros clientes estavam hospedados na
mesma infraestrutura que poderia ter acesso?
Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web?
Eles podem reivindicar a integridade forense desse processo? Os carimbos de data /
hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o
suficiente para criar uma linha do tempo precisa?
Qual era o local físico da máquina virtual que é executada pelo site de hospedagem?
De que leis / regulamentos é governado?
Quais mecanismos de detecção e proteção são empregados pelo provedor para
manter sua infraestrutura segura e identificar intrusões?
Como o provedor se recusou a fornecer evidências do sistema operacional, a
promotoria pode ter evidências suficientes para provar que um compromisso
realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
22. Saiba mais e novos projetos
Excelente vídeo de exemplo feito pela Forensics Sans -
https://www.youtube.com/watch?v=vgmKUGuMi7c
Projeto Freta - Opção de nuvem que permite analisar a segurança no
Linux. Ele permite que testes forenses sejam executados para
fornecer inspeção de memória volátil automatizada de sistema
completo de capturas instantâneas de máquinas virtuais. Ele pode
detectar software malicioso, rootkits e outras ameaças que podem
ser ocultadas – Saiba mais em - https://docs.microsoft.com/en-
us/security/research/project-freta/