SlideShare ist ein Scribd-Unternehmen logo

Desafios da análise forense na nuvem

Als PPTX, PDF herunterladen
E
ederruschel

Sociedade da Informação e os desafios da Cloud Forensics

Technologie
1 von 23
SOCIEDADE DA INFORMAÇÃO X CLOUD FORENSICS
SOCIEDADE DA INFORMAÇÃO A convergência do processo produtivo e das relações interpessoais geradas pela terceira onda e consequentemente sua adoção na indústria 4.0, trouxe uma quebra de paradigmas e maneiras como processamos informações, acessamos sistemas e por consequência a maneira como interagimos com a crescente evolução das tecnologias que são utilizadas e a forma que armazenamos os dados que são produzidos. O crescimento da demanda de armazenamento na nuvem nos últimos anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador, afinal é preciso fornecer o serviço com a mesma qualidade, disponibilidade e segurança, incluindo nesse processo, também, os cuidados com atendimento ao cliente e suporte em caso de problemas.
Tipos de Nuvem  Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem pública, o fornecedor é o proprietário da infraestrutura e a disponibiliza ao público de clientes. As interações acontecem por meio de protocolos da internet.  Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às necessidades da empresa e, geralmente, conectada a data centers internos.  Nuvem Compartilhada: É destinada para as empresas que precisam compartilhar a infraestrutura entre um grupo específico de usuários com interesses em comum.  Nuvem Híbrida: Mistura características da nuvem pública, pública e compartilhada, a nuvem híbrida, como o próprio nome diz, concentra uma variedade de opções de uso.
Aplicações em Nuvem  SaaS: É o chamado software como serviço, conhecido pela sigla em inglês SaaS. Como o próprio nome sugere, essa é uma oferta de cloud computing em que a empresa provedora de nuvem (CSP) disponibiliza aos clientes programas, aplicações e ferramentas por acesso remoto, geralmente por meio de um browser.  CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS, ou contêiner como serviço. O desenvolvimento com o uso de contêineres está se expandindo no mercado por oferecer portabilidade e segurança na criação de produtos e sistemas tecnológicos. O contêiner é um pacote isolado com um código, um programa ou uma aplicação que pode ser rearranjada e testada em diferentes sistemas operacionais e situações que não ponham em risco o resto da infraestrutura.
Aplicações em Nuvem  PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares específicos ou contêineres para isolar partes do trabalho, a CSP entrega uma plataforma completa de gerenciamento, que integra várias aplicações e ferramentas e, ao mesmo tempo, o controle sobre o acesso e uso desses dados armazenados na nuvem. Os ERP’s são exemplos mais utilizados de Plataforma como Serviço.  IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de nuvem o mais novo e o que mais promete revolucionar o mercado no futuro. Isso porque a IaaS permite a transformação digital completa: a migração de toda a TI para a nuvem. Além de oferecer os softwares necessários para que os colaboradores sejam produtivos e a plataforma que gerencia e monitora essa utilização, o modelo de infraestrutura na nuvem consegue entregar recursos de computação remotamente.
Elementos de Investigação e Serviços Oferecidos Modelo de Serviço Cliente Fornecedor SaaS O cliente não tem uma visão profunda do sistema e sua infraestrutura subjacente O controle de acesso de logon único (SSO) deve ser Requeridos O cliente deve contribuir para o forense processo, por exemplo implementando Provas de Recuperabilidade (POR) As ferramentas de log devem ser executadas no provedor da infraestrutura Os fornecedores não podem dar acesso aos logs IP de clientes acessando conteúdo ou para o metadados de todos os dispositivos PaaS O aplicativo principal está sob o controle do cliente O cliente não tem controle direto do ambiente de tempo de execução subjacente Mecanismos de registro e adicionais criptografia pode ser implementada Alguns CSPs fornecem recursos de diagnóstico que oferecer a capacidade de coletar e armazenar uma variedade de dados de diagnóstico em um ambiente altamente configurável maneira. IaaS Instâncias de IaaS fornecem muito mais informações que poderiam ser usadas como evidência que os modelos PaaS e SaaS. Alguns exemplos são: a capacidade do cliente para instalar e configurar a imagem para forenses, para executar o instantâneo de máquina virtual; O RFC 3227 contém vários melhores práticas aplicáveis a um IaaS útil para responder a um incidente de segurança, especialmente em caso de sistemas de investigação ao vivo. Instâncias virtuais de IaaS, em muitos casos, não armazenamento persistente (dados persistentes deve ser armazenado em armazenamento prolongado) e dados voláteis podem ser perdidos. Os fornecedores podem relutar em fornecer dados forenses, como imagens de disco recentes devido a problemas de privacidade que surgem. Alguns problemas podem surgir devido à falta de clareza situação sobre como o provedor lida com a rescisão de contratos com clientes e pela incapacidade do cliente de verificar que os dados confidenciais armazenados em um virtual máquina foi excluída exaustivamente. Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
Desafios do Armazenamento em Nuvem  Suprir a crescente demanda de armazenamento na nuvem  Se adequar ao ambiente multi-cloud  Dar suporte aos cloud containers  Manter-se atualizado constantemente  Promover uma migração consistente para o armazenamento na nuvem  Lidar com instabilidades na rede de internet  Otimizar os gastos com armazenamento na nuvem  Garantir a segurança dos dados armazenados na nuvem
Desafios da análise forense na nuvem  Promover habilidades para evolução dos aplicativos baseados na nuvem e dos dados hospedados na nuvem é essencial para ajudar as organizações a abordar todo o escopo dos requisitos de descoberta e investigação. Embora não seja imediatamente iminente, a visão de apenas nuvem é muito real.  As implantações de aplicativos em nuvem evoluem e são atualizadas constantemente e as organizações não sabem necessariamente quando o aplicativo em nuvem foi alterado. As atualizações constantes e contínuas dos aplicativos em nuvem desafiam as abordagens atuais de gerenciamento de mudanças de TI e processos de negócios. Além disso, o ambiente de nuvem fluida cria obstáculos aos procedimentos de coleta e preservação de dados que podem impedir o processo de descoberta.
Desafios da análise forense na nuvem  Muitas plataformas de hospedagem e desenvolvimento em nuvem permitem que as organizações selecionem onde seus dados serão armazenados - um recurso importante para fins de descoberta. Em alguns casos, as organizações que utilizam aplicativos multilocatários baseados em nuvem podem não saber onde seus dados residem ou podem não receber opções para controlar onde os dados das aplicações contratadas estarão armazenados.  Vários fatores merecem consideração ao decidir onde conduzir a análise, incluindo volume de dados, disponibilidade de ferramentas de análise de dados e impacto financeiro. É essencial compreender os recursos e as limitações analíticas da plataforma em nuvem para determinar se a análise na nuvem é uma opção aceitável.
Desafios da análise forense na nuvem  Cada vez mais, as organizações têm a capacidade de criar rapidamente soluções baseadas em nuvem e de baixo custo para desenvolvimento de aplicativos e análise de dados, geralmente sem envolver a TI. Portanto, a TI pode não ser mais a única fonte de todos os dados de uma organização, o que pode causar desafios em potencial com requisitos regulatórios ou solicitações de descoberta. Os aplicativos também têm a capacidade de originar dados de sistemas baseados em nuvem e sistemas locais, levando a situações complexas de preservação e análise de dados. As equipes jurídicas provavelmente serão mais desafiadas à medida que os conceitos de propriedade e custódia dos dados evoluírem com fontes de dados baseadas na nuvem e aplicativos acessíveis na nuvem.
Desafios da análise forense na nuvem  Manter uma cadeia de custódia clara em uma infraestrutura de nuvem é extremamente difícil. Na investigação forense tradicional, os investigadores teriam controle completo das evidências em questão, ao passo que na forense em nuvem, os investigadores podem não ter controle total sobre quem o provedor de serviços em nuvem permite coletar evidências.  Os serviços em nuvem também podem ser relutantes em colaborar quando se trata de conduzir uma investigação. Afinal, o que pode ser um problema para você pode não ser um problema para eles, e a investigação pode custar ainda mais tempo e dinheiro.  Maiores informações: https://csrc.nist.gov/publications/detail/nistir/8006/draft
Exemplos de uma análise forense em nuvem  A seguir, serão descritos dois estudos de caso hipotéticos para argumentar sobre o estado da investigação forense digital por crimes relacionados à nuvem. Embora fictícios, eles descrevem crimes de computador que não são incomuns atualmente. No primeiro, usa a nuvem como um acessório para um crime. No segundo, visa o crime contra a nuvem. Em ambos os cenários, emergem os seguintes temas que diferenciam essas investigações da análise forense digital tradicional, embora muitas ferramentas já possuem recursos para análise forense baseada em nuvem:  A aquisição de dados forenses é mais difícil.  A cooperação de provedores de nuvem é fundamental.  Os dados na nuvem podem não ter os principais metadados forenses.  A cadeia de custódia é mais complexa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1  Polly é uma criminosa que trafica em pornografia infantil. Ele criou um serviço na nuvem para armazenar uma grande coleção de imagens e vídeos de contrabando. O site permite que os usuários enviem e baixem esse conteúdo anonimamente. Ele paga por seus serviços em nuvem com um cartão de crédito pré-pago adquirido em dinheiro. Polly criptografa seus dados no armazenamento em nuvem e ele reverte seu servidor da web virtual para um estado limpo diariamente. A aplicação da lei é enviada para o site e deseja encerrar o serviço e processar o criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações  Esperamos que o especialista forense identifique os seguintes aspectos que ajudariam na acusação:  Entender como o serviço da Web funciona, especialmente como criptografa/descriptografa dados do armazenamento  Encontrar chaves para descriptografar dados de armazenamento e use-as para descriptografar os mesmos  Confirmar a presença de pornografia infantil  Analise os logs para identificar possíveis endereços IP do criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações - Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De acordo com os testes de desempenho do fabricante, a AccessData descobriu que o produto Forensic Toolkit (FTK) demorava 5,5 horas para processar um disco rígido de 120 GB totalmente em uma estação de trabalho de primeira linha e até 38,25 horas em um equipamento de gama baixa estação de trabalho (AccessData 2010). Nesse ritmo, 2 TB de dados podem levar 85 horas de tempo de processamento. É provável que o examinador mergulhe primeiro no armazenamento de dados. - O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são criptografados. Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos de dados do VMware, mas não os instantâneos que incluem memória suspensa. O analista precisará corrigir e executar o instantâneo da VM para entender a fonte do site e observar como a criptografia é usada. Depois que as chaves são descobertas e os dados são descriptografados, 2 TB de dados devem ser analisados ​​para obter evidências. - Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do proprietário dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis, desde que estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no NetFlow, no registro de data e hora e, potencialmente, no estilo de codificação do site. Podemos assumir com segurança que pode ser encontrado um IP que aponte para Polly. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 1 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como sabemos que o provedor de nuvem forneceu uma cópia forense completa e autêntica dos dados? A autenticidade e a integridade dos dados podem ser confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser confiáveis e verificáveis?  Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde estavam localizadas as unidades que continham os dados? Quem teve acesso aos dados e como foi aplicado o controle de acesso? Os dados foram combinados com os de outros usuários?  Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e comparados com a confiança?  A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa na máquina virtual a Polly?  Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2  Mallory é um hacker que pretende explorar as vítimas colocando uma página da Web maliciosa na nuvem. Ela usa uma vulnerabilidade para explorar a presença em nuvem da Buzz Coffee. A partir daí, ele instala um rootkit que injeta uma carga maliciosa nas páginas da Web exibidas e oculta sua atividade maliciosa do sistema operacional. Em seguida, ele redireciona as vítimas para o site, que as infecta com malware. Os usuários reclamam à empresa legítima que estão sendo infectados; portanto, a empresa procura solucionar o problema e investigar o crime. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Usando a experiência como guia, o investigador constrói um plano para acessar o provedor de nuvem remotamente por um canal seguro usando as credenciais do Buzz Coffee e recuperar os arquivos de origem do site. No entanto, quando os dados são retornados, nada malicioso é encontrado, pois o rootkit de Mallory oculta os arquivos do sistema operacional host e das APIs do provedor. O investigador forense determina que as seguintes fontes adicionais de dados são possíveis: logs de acesso do provedor de nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do servidor da web.  O promotor aborda o provedor de nuvem com uma intimação e solicita todos esses dados, incluindo uma cópia forense da máquina virtual. O provedor está disposto a conduzir uma investigação interna e no entanto, reluta em produzir os dados brutos, citando informações confidenciais e proprietárias. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Um técnico no provedor executa a ordem judicial em sua estação de trabalho, copiando dados da infraestrutura do provedor e verificando a integridade com os hashes MD5. Essas informações são gravadas em DVD e contêm 2 MB de logs do NetFlow, 100 MB de logs de acesso à web e 1 MB de código-fonte da web. Usando essas informações, desejamos que nosso investigador descubra o seguinte:  Uma cronologia que mostra quando as páginas da web foram visualizadas e modificadas / acessadas / criadas  Determinar a página da web maliciosa e como o sistema foi comprometido  Analisar o escopo da intrusão e possível propagação para outros sistemas  Identifique a origem da atividade maliciosa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a técnica empregada durante a coleta se torna primordial. Se o sistema operacional host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando o sistema operacional, a coleção completa de arquivos será precisa. Construir uma linha do tempo é uma prática comum para examinadores forenses e importante para determinar quando os arquivos de Mallory foram criados. Infelizmente, o procedimento empregado pelo provedor novamente determina se o investigador recebe metadados úteis, como registros de data e hora de criação de arquivo.  Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é identificado nos logs, que são apresentados juntamente com a análise completa no relatório forense subsequente. Os leitores mais prudentes também podem abordar esse problema analisando o malware instalado depois de visitar a página agora hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas isso não é considerado aqui. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Caso 2 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  A cadeia de custódia foi preservada durante todo o processo?  A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve acesso para criar / modificar esta página? Outros clientes estavam hospedados na mesma infraestrutura que poderia ter acesso?  Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web? Eles podem reivindicar a integridade forense desse processo? Os carimbos de data / hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o suficiente para criar uma linha do tempo precisa?  Qual era o local físico da máquina virtual que é executada pelo site de hospedagem? De que leis / regulamentos é governado?  Quais mecanismos de detecção e proteção são empregados pelo provedor para manter sua infraestrutura segura e identificar intrusões?  Como o provedor se recusou a fornecer evidências do sistema operacional, a promotoria pode ter evidências suficientes para provar que um compromisso realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
Saiba mais e novos projetos  Excelente vídeo de exemplo feito pela Forensics Sans - https://www.youtube.com/watch?v=vgmKUGuMi7c  Projeto Freta - Opção de nuvem que permite analisar a segurança no Linux. Ele permite que testes forenses sejam executados para fornecer inspeção de memória volátil automatizada de sistema completo de capturas instantâneas de máquinas virtuais. Ele pode detectar software malicioso, rootkits e outras ameaças que podem ser ocultadas – Saiba mais em - https://docs.microsoft.com/en- us/security/research/project-freta/
Fontes de Pesquisa  https://www.enisa.europa.eu/publications/exploring-cloud-incidents  https://www.infosecurity-magazine.com/opinions/cloud-complicates-digital-crime/  https://www.ipsense.com.br/blog/conheca-os-modelos-de-armazenamento-na- nuvem-iaas-paas-saas-e-caas/  https://www.copeltelecom.com/site/blog/armazenamento-na-nuvem-4-tipos-de-cloud/  https://www.ipsense.com.br/blog/quais-sao-os-maiores-desafios-do-armazenamento- na-nuvem/  https://www.csiac.org/wp-content/uploads/2016/02/Vol14_No1.pdf  https://www.researchgate.net/publication/286192780_Understanding_Issues_in_clou d_forensics_Two_hypothetical_case_studies  https://resources.infosecinstitute.com/category/computerforensics/introduction/areas- of-study/hybrid-and-emerging-technologies/introduction-to-cloud-forensics/#gref  https://digital-forensics.sans.org  https://www.nist.gov/

Empfohlen

Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemJavier Antonio Humarán Peñuñuri
 
On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros Yros
 
OnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosOnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosYros
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasRafael Bandeira
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computingAlfredo Santos
 
Governança de Dados em Nuvem Privada
Governança de Dados em Nuvem PrivadaGovernança de Dados em Nuvem Privada
Governança de Dados em Nuvem PrivadaVirtù Tecnológica
 

Empfohlen

Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemJavier Antonio Humarán Peñuñuri
 
On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros Yros
 
OnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosOnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosYros
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasRafael Bandeira
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computingAlfredo Santos
 
Governança de Dados em Nuvem Privada
Governança de Dados em Nuvem PrivadaGovernança de Dados em Nuvem Privada
Governança de Dados em Nuvem PrivadaVirtù Tecnológica
 
Aspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud ComputingAspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud Computingcsabr
 
Cloud computing
Cloud computingCloud computing
Cloud computingKlaus Fischer Gomes Santana
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Guia de compras - Microsoft Azure
Guia de compras - Microsoft AzureGuia de compras - Microsoft Azure
Guia de compras - Microsoft AzureRenato Grau
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2Ademar Freitas
 
RPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e ImpressõesRPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e ImpressõesRPortal Cloud
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Fristtram Helder Fernandes
 
Ap gt8
Ap gt8Ap gt8
Ap gt8artur barbosa
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0Adriano Santos
 
Taxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesTaxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesDocumentar Tecnologia e Informação
 
Sc a-g2
Sc a-g2 Sc a-g2
Sc a-g2 Raquel Marley
 
Sistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOASistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOAAdriano Teixeira de Souza
 
WSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.brWSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.brrcarvalho82
 
Windows server 2012_r2_white_paper
Windows server 2012_r2_white_paperWindows server 2012_r2_white_paper
Windows server 2012_r2_white_paperTivane Enoque
 
Infraestrutura de cloud computing
Infraestrutura de cloud computingInfraestrutura de cloud computing
Infraestrutura de cloud computingFabio Leandro
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 
Computação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiroComputação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiroTarcísio da Cruz Santos
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvemTuesla Santos
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Cloud Computing.pdf
Cloud Computing.pdfCloud Computing.pdf
Cloud Computing.pdfErikRFilippini1
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 

Weitere ähnliche Inhalte

Was ist angesagt?

Aspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud ComputingAspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud Computingcsabr
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Guia de compras - Microsoft Azure
Guia de compras - Microsoft AzureGuia de compras - Microsoft Azure
Guia de compras - Microsoft AzureRenato Grau
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2Ademar Freitas
 
RPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e ImpressõesRPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e ImpressõesRPortal Cloud
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Fristtram Helder Fernandes
 
Sistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOASistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOAAdriano Teixeira de Souza
 
WSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.brWSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.brrcarvalho82
 
Windows server 2012_r2_white_paper
Windows server 2012_r2_white_paperWindows server 2012_r2_white_paper
Windows server 2012_r2_white_paperTivane Enoque
 
Infraestrutura de cloud computing
Infraestrutura de cloud computingInfraestrutura de cloud computing
Infraestrutura de cloud computingFabio Leandro
 

Was ist angesagt? (16)

Aspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud ComputingAspectos Jurídicos de Cloud Computing
Aspectos Jurídicos de Cloud Computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Guia de compras - Microsoft Azure
Guia de compras - Microsoft AzureGuia de compras - Microsoft Azure
Guia de compras - Microsoft Azure
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2
 
RPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e ImpressõesRPortal Cloud - Gestão de Documentos e Impressões
RPortal Cloud - Gestão de Documentos e Impressões
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4
 
Ap gt8
Ap gt8Ap gt8
Ap gt8
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0
 
Taxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesTaxonomia Automatizada para Organizações
Taxonomia Automatizada para Organizações
 
Sc a-g2
Sc a-g2 Sc a-g2
Sc a-g2
 
Sistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOASistemas Distribuídos - Comunicação Distribuída – SOA
Sistemas Distribuídos - Comunicação Distribuída – SOA
 
WSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.brWSU Tecnologia www.wsu.com.br
WSU Tecnologia www.wsu.com.br
 
Windows server 2012_r2_white_paper
Windows server 2012_r2_white_paperWindows server 2012_r2_white_paper
Windows server 2012_r2_white_paper
 
Infraestrutura de cloud computing
Infraestrutura de cloud computingInfraestrutura de cloud computing
Infraestrutura de cloud computing
 

Ähnlich wie Desafios da análise forense na nuvem

Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 
Computação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiroComputação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiroTarcísio da Cruz Santos
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvemTuesla Santos
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Armazenamento em nuvem como funciona e principais serviços.pptx
Armazenamento em nuvem como funciona e principais serviços.pptxArmazenamento em nuvem como funciona e principais serviços.pptx
Armazenamento em nuvem como funciona e principais serviços.pptxCidrone
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud ComputingFrederico Madeira
 
Armazenamento de Dados Aplicado à Computação em Nuvem
Armazenamento de Dados Aplicado à Computação em NuvemArmazenamento de Dados Aplicado à Computação em Nuvem
Armazenamento de Dados Aplicado à Computação em NuvemDaniel Rossi
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoDarlan Segalin
 
Saa s software como serviço (slides)
Saa s software como serviço (slides)Saa s software como serviço (slides)
Saa s software como serviço (slides)Daniela Nunes
 
Apresentação cloud computing senac
Apresentação cloud computing senacApresentação cloud computing senac
Apresentação cloud computing senacfrank encarnacão
 
Provedor de nuvem - Cloud Providers
Provedor de nuvem - Cloud Providers Provedor de nuvem - Cloud Providers
Provedor de nuvem - Cloud Providers fcdigital
 
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃOCOMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃOAllan Reis
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritivafventurini22
 
9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stvwilson_lucas
 
O que é computação em Nuvem
O que é computação em NuvemO que é computação em Nuvem
O que é computação em NuvemAlanDemarcos2
 
O que é cloud computing (computação nas nuvens)
O que é cloud computing (computação nas nuvens)O que é cloud computing (computação nas nuvens)
O que é cloud computing (computação nas nuvens)Rohan Bernartt
 

Ähnlich wie Desafios da análise forense na nuvem (20)

Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiança
 
Computação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiroComputação em nuvem no mercado brasileiro
Computação em nuvem no mercado brasileiro
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvem
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 
Cloud Computing.pdf
Cloud Computing.pdfCloud Computing.pdf
Cloud Computing.pdf
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
Armazenamento em nuvem como funciona e principais serviços.pptx
Armazenamento em nuvem como funciona e principais serviços.pptxArmazenamento em nuvem como funciona e principais serviços.pptx
Armazenamento em nuvem como funciona e principais serviços.pptx
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud Computing
 
Armazenamento de Dados Aplicado à Computação em Nuvem
Armazenamento de Dados Aplicado à Computação em NuvemArmazenamento de Dados Aplicado à Computação em Nuvem
Armazenamento de Dados Aplicado à Computação em Nuvem
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualização
 
Saa s software como serviço (slides)
Saa s software como serviço (slides)Saa s software como serviço (slides)
Saa s software como serviço (slides)
 
Apresentação cloud computing senac
Apresentação cloud computing senacApresentação cloud computing senac
Apresentação cloud computing senac
 
Provedor de nuvem - Cloud Providers
Provedor de nuvem - Cloud Providers Provedor de nuvem - Cloud Providers
Provedor de nuvem - Cloud Providers
 
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃOCOMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritiva
 
9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv
 
O que é computação em Nuvem
O que é computação em NuvemO que é computação em Nuvem
O que é computação em Nuvem
 
O que é cloud computing (computação nas nuvens)
O que é cloud computing (computação nas nuvens)O que é cloud computing (computação nas nuvens)
O que é cloud computing (computação nas nuvens)
 

Desafios da análise forense na nuvem

  • 2. SOCIEDADE DA INFORMAÇÃO A convergência do processo produtivo e das relações interpessoais geradas pela terceira onda e consequentemente sua adoção na indústria 4.0, trouxe uma quebra de paradigmas e maneiras como processamos informações, acessamos sistemas e por consequência a maneira como interagimos com a crescente evolução das tecnologias que são utilizadas e a forma que armazenamos os dados que são produzidos. O crescimento da demanda de armazenamento na nuvem nos últimos anos é algo bastante positivo. Porém, ao mesmo tempo, é desafiador, afinal é preciso fornecer o serviço com a mesma qualidade, disponibilidade e segurança, incluindo nesse processo, também, os cuidados com atendimento ao cliente e suporte em caso de problemas.
  • 3. Tipos de Nuvem  Nuvem Pública: É a opção mais barata de nuvem. Através da nuvem pública, o fornecedor é o proprietário da infraestrutura e a disponibiliza ao público de clientes. As interações acontecem por meio de protocolos da internet.  Nuvem Privada: Infraestrutura é exclusiva, dedicada apenas às necessidades da empresa e, geralmente, conectada a data centers internos.  Nuvem Compartilhada: É destinada para as empresas que precisam compartilhar a infraestrutura entre um grupo específico de usuários com interesses em comum.  Nuvem Híbrida: Mistura características da nuvem pública, pública e compartilhada, a nuvem híbrida, como o próprio nome diz, concentra uma variedade de opções de uso.
  • 4. Aplicações em Nuvem  SaaS: É o chamado software como serviço, conhecido pela sigla em inglês SaaS. Como o próprio nome sugere, essa é uma oferta de cloud computing em que a empresa provedora de nuvem (CSP) disponibiliza aos clientes programas, aplicações e ferramentas por acesso remoto, geralmente por meio de um browser.  CaaS: Modelo um pouco semelhante com o SaaS e que faz a ponte entre ele e o próximo que falaremos (PaaS) é conhecido como CaaS, ou contêiner como serviço. O desenvolvimento com o uso de contêineres está se expandindo no mercado por oferecer portabilidade e segurança na criação de produtos e sistemas tecnológicos. O contêiner é um pacote isolado com um código, um programa ou uma aplicação que pode ser rearranjada e testada em diferentes sistemas operacionais e situações que não ponham em risco o resto da infraestrutura.
  • 5. Aplicações em Nuvem  PaaS: Nesse caso, em vez de oferecer apenas o acesso a softwares específicos ou contêineres para isolar partes do trabalho, a CSP entrega uma plataforma completa de gerenciamento, que integra várias aplicações e ferramentas e, ao mesmo tempo, o controle sobre o acesso e uso desses dados armazenados na nuvem. Os ERP’s são exemplos mais utilizados de Plataforma como Serviço.  IaaS: A Infraestrutura como Serviço, ou IaaS, é desses modelos de nuvem o mais novo e o que mais promete revolucionar o mercado no futuro. Isso porque a IaaS permite a transformação digital completa: a migração de toda a TI para a nuvem. Além de oferecer os softwares necessários para que os colaboradores sejam produtivos e a plataforma que gerencia e monitora essa utilização, o modelo de infraestrutura na nuvem consegue entregar recursos de computação remotamente.
  • 6. Elementos de Investigação e Serviços Oferecidos Modelo de Serviço Cliente Fornecedor SaaS O cliente não tem uma visão profunda do sistema e sua infraestrutura subjacente O controle de acesso de logon único (SSO) deve ser Requeridos O cliente deve contribuir para o forense processo, por exemplo implementando Provas de Recuperabilidade (POR) As ferramentas de log devem ser executadas no provedor da infraestrutura Os fornecedores não podem dar acesso aos logs IP de clientes acessando conteúdo ou para o metadados de todos os dispositivos PaaS O aplicativo principal está sob o controle do cliente O cliente não tem controle direto do ambiente de tempo de execução subjacente Mecanismos de registro e adicionais criptografia pode ser implementada Alguns CSPs fornecem recursos de diagnóstico que oferecer a capacidade de coletar e armazenar uma variedade de dados de diagnóstico em um ambiente altamente configurável maneira. IaaS Instâncias de IaaS fornecem muito mais informações que poderiam ser usadas como evidência que os modelos PaaS e SaaS. Alguns exemplos são: a capacidade do cliente para instalar e configurar a imagem para forenses, para executar o instantâneo de máquina virtual; O RFC 3227 contém vários melhores práticas aplicáveis a um IaaS útil para responder a um incidente de segurança, especialmente em caso de sistemas de investigação ao vivo. Instâncias virtuais de IaaS, em muitos casos, não armazenamento persistente (dados persistentes deve ser armazenado em armazenamento prolongado) e dados voláteis podem ser perdidos. Os fornecedores podem relutar em fornecer dados forenses, como imagens de disco recentes devido a problemas de privacidade que surgem. Alguns problemas podem surgir devido à falta de clareza situação sobre como o provedor lida com a rescisão de contratos com clientes e pela incapacidade do cliente de verificar que os dados confidenciais armazenados em um virtual máquina foi excluída exaustivamente. Adaptado de: Exploring Cloud Incidents – Enisa - https://www.enisa.europa.eu/publications/exploring-cloud-incidents
  • 7. Desafios do Armazenamento em Nuvem  Suprir a crescente demanda de armazenamento na nuvem  Se adequar ao ambiente multi-cloud  Dar suporte aos cloud containers  Manter-se atualizado constantemente  Promover uma migração consistente para o armazenamento na nuvem  Lidar com instabilidades na rede de internet  Otimizar os gastos com armazenamento na nuvem  Garantir a segurança dos dados armazenados na nuvem
  • 8. Desafios da análise forense na nuvem  Promover habilidades para evolução dos aplicativos baseados na nuvem e dos dados hospedados na nuvem é essencial para ajudar as organizações a abordar todo o escopo dos requisitos de descoberta e investigação. Embora não seja imediatamente iminente, a visão de apenas nuvem é muito real.  As implantações de aplicativos em nuvem evoluem e são atualizadas constantemente e as organizações não sabem necessariamente quando o aplicativo em nuvem foi alterado. As atualizações constantes e contínuas dos aplicativos em nuvem desafiam as abordagens atuais de gerenciamento de mudanças de TI e processos de negócios. Além disso, o ambiente de nuvem fluida cria obstáculos aos procedimentos de coleta e preservação de dados que podem impedir o processo de descoberta.
  • 9. Desafios da análise forense na nuvem  Muitas plataformas de hospedagem e desenvolvimento em nuvem permitem que as organizações selecionem onde seus dados serão armazenados - um recurso importante para fins de descoberta. Em alguns casos, as organizações que utilizam aplicativos multilocatários baseados em nuvem podem não saber onde seus dados residem ou podem não receber opções para controlar onde os dados das aplicações contratadas estarão armazenados.  Vários fatores merecem consideração ao decidir onde conduzir a análise, incluindo volume de dados, disponibilidade de ferramentas de análise de dados e impacto financeiro. É essencial compreender os recursos e as limitações analíticas da plataforma em nuvem para determinar se a análise na nuvem é uma opção aceitável.
  • 10. Desafios da análise forense na nuvem  Cada vez mais, as organizações têm a capacidade de criar rapidamente soluções baseadas em nuvem e de baixo custo para desenvolvimento de aplicativos e análise de dados, geralmente sem envolver a TI. Portanto, a TI pode não ser mais a única fonte de todos os dados de uma organização, o que pode causar desafios em potencial com requisitos regulatórios ou solicitações de descoberta. Os aplicativos também têm a capacidade de originar dados de sistemas baseados em nuvem e sistemas locais, levando a situações complexas de preservação e análise de dados. As equipes jurídicas provavelmente serão mais desafiadas à medida que os conceitos de propriedade e custódia dos dados evoluírem com fontes de dados baseadas na nuvem e aplicativos acessíveis na nuvem.
  • 11. Desafios da análise forense na nuvem  Manter uma cadeia de custódia clara em uma infraestrutura de nuvem é extremamente difícil. Na investigação forense tradicional, os investigadores teriam controle completo das evidências em questão, ao passo que na forense em nuvem, os investigadores podem não ter controle total sobre quem o provedor de serviços em nuvem permite coletar evidências.  Os serviços em nuvem também podem ser relutantes em colaborar quando se trata de conduzir uma investigação. Afinal, o que pode ser um problema para você pode não ser um problema para eles, e a investigação pode custar ainda mais tempo e dinheiro.  Maiores informações: https://csrc.nist.gov/publications/detail/nistir/8006/draft
  • 12. Exemplos de uma análise forense em nuvem  A seguir, serão descritos dois estudos de caso hipotéticos para argumentar sobre o estado da investigação forense digital por crimes relacionados à nuvem. Embora fictícios, eles descrevem crimes de computador que não são incomuns atualmente. No primeiro, usa a nuvem como um acessório para um crime. No segundo, visa o crime contra a nuvem. Em ambos os cenários, emergem os seguintes temas que diferenciam essas investigações da análise forense digital tradicional, embora muitas ferramentas já possuem recursos para análise forense baseada em nuvem:  A aquisição de dados forenses é mais difícil.  A cooperação de provedores de nuvem é fundamental.  Os dados na nuvem podem não ter os principais metadados forenses.  A cadeia de custódia é mais complexa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 13. Caso 1  Polly é uma criminosa que trafica em pornografia infantil. Ele criou um serviço na nuvem para armazenar uma grande coleção de imagens e vídeos de contrabando. O site permite que os usuários enviem e baixem esse conteúdo anonimamente. Ele paga por seus serviços em nuvem com um cartão de crédito pré-pago adquirido em dinheiro. Polly criptografa seus dados no armazenamento em nuvem e ele reverte seu servidor da web virtual para um estado limpo diariamente. A aplicação da lei é enviada para o site e deseja encerrar o serviço e processar o criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 14. Caso 1 - Considerações  Esperamos que o especialista forense identifique os seguintes aspectos que ajudariam na acusação:  Entender como o serviço da Web funciona, especialmente como criptografa/descriptografa dados do armazenamento  Encontrar chaves para descriptografar dados de armazenamento e use-as para descriptografar os mesmos  Confirmar a presença de pornografia infantil  Analise os logs para identificar possíveis endereços IP do criminoso. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 15. Caso 1 - Considerações - Não é irracional esperar que essa atividade possa levar muitas horas para analisar. De acordo com os testes de desempenho do fabricante, a AccessData descobriu que o produto Forensic Toolkit (FTK) demorava 5,5 horas para processar um disco rígido de 120 GB totalmente em uma estação de trabalho de primeira linha e até 38,25 horas em um equipamento de gama baixa estação de trabalho (AccessData 2010). Nesse ritmo, 2 TB de dados podem levar 85 horas de tempo de processamento. É provável que o examinador mergulhe primeiro no armazenamento de dados. - O provedor pode ter retornado arquivos individuais ou arquivos grandes contendo "blobs" de dados binários. Em ambos os casos, ficará rapidamente evidente que os dados são criptografados. Ferramentas como o EnCase e o Forensic Toolkit podem analisar os arquivos de dados do VMware, mas não os instantâneos que incluem memória suspensa. O analista precisará corrigir e executar o instantâneo da VM para entender a fonte do site e observar como a criptografia é usada. Depois que as chaves são descobertas e os dados são descriptografados, 2 TB de dados devem ser analisados ​​para obter evidências. - Já tínhamos conhecimento de conteúdo ilegal, mas não tínhamos conhecimento do proprietário dos dados. Os registros de data e hora ou metadados de arquivo podem ser úteis, desde que estejam disponíveis e precisos. As evidências do proprietário podem ser obtidas no NetFlow, no registro de data e hora e, potencialmente, no estilo de codificação do site. Podemos assumir com segurança que pode ser encontrado um IP que aponte para Polly. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 16. Caso 1 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  Como as cópias brutas bit por bit dos discos rígidos não foram fornecidas, como sabemos que o provedor de nuvem forneceu uma cópia forense completa e autêntica dos dados? A autenticidade e a integridade dos dados podem ser confiáveis? O técnico em nuvem, sua estação de trabalho e ferramentas podem ser confiáveis e verificáveis?  Os dados estavam localizados em uma unidade ou distribuídos por várias? Onde estavam localizadas as unidades que continham os dados? Quem teve acesso aos dados e como foi aplicado o controle de acesso? Os dados foram combinados com os de outros usuários?  Se os dados vieram de vários sistemas, os registros de data e hora desses sistemas são consistentes internamente? Os carimbos de data e hora podem ser confiáveis e comparados com a confiança?  A máquina virtual tem um endereço IP estático? Como vincular a atividade maliciosa na máquina virtual a Polly?  Que jurisdição rege os dados em questão? Se for a jurisdição do provedor de nuvem, quais as suas localizações geográficas ou datacenters?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 17. Caso 2  Mallory é um hacker que pretende explorar as vítimas colocando uma página da Web maliciosa na nuvem. Ela usa uma vulnerabilidade para explorar a presença em nuvem da Buzz Coffee. A partir daí, ele instala um rootkit que injeta uma carga maliciosa nas páginas da Web exibidas e oculta sua atividade maliciosa do sistema operacional. Em seguida, ele redireciona as vítimas para o site, que as infecta com malware. Os usuários reclamam à empresa legítima que estão sendo infectados; portanto, a empresa procura solucionar o problema e investigar o crime. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 18. Caso 2 - Considerações  Usando a experiência como guia, o investigador constrói um plano para acessar o provedor de nuvem remotamente por um canal seguro usando as credenciais do Buzz Coffee e recuperar os arquivos de origem do site. No entanto, quando os dados são retornados, nada malicioso é encontrado, pois o rootkit de Mallory oculta os arquivos do sistema operacional host e das APIs do provedor. O investigador forense determina que as seguintes fontes adicionais de dados são possíveis: logs de acesso do provedor de nuvem, logs NetFlow do provedor de nuvem e a máquina virtual do servidor da web.  O promotor aborda o provedor de nuvem com uma intimação e solicita todos esses dados, incluindo uma cópia forense da máquina virtual. O provedor está disposto a conduzir uma investigação interna e no entanto, reluta em produzir os dados brutos, citando informações confidenciais e proprietárias. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 19. Caso 2 - Considerações  Um técnico no provedor executa a ordem judicial em sua estação de trabalho, copiando dados da infraestrutura do provedor e verificando a integridade com os hashes MD5. Essas informações são gravadas em DVD e contêm 2 MB de logs do NetFlow, 100 MB de logs de acesso à web e 1 MB de código-fonte da web. Usando essas informações, desejamos que nosso investigador descubra o seguinte:  Uma cronologia que mostra quando as páginas da web foram visualizadas e modificadas / acessadas / criadas  Determinar a página da web maliciosa e como o sistema foi comprometido  Analisar o escopo da intrusão e possível propagação para outros sistemas  Identifique a origem da atividade maliciosa. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 20. Caso 2 - Considerações  Comparar os arquivos originais do site criados pelo Buzz Coffee com os dados retornados do provedor de nuvem seria um primeiro passo construtivo. Aqui, a técnica empregada durante a coleta se torna primordial. Se o sistema operacional host fosse usado para recuperar os arquivos, o rootkit de Mallory teria ocultado os arquivos maliciosos. Se os arquivos foram adquiridos lendo o disco físico, ignorando o sistema operacional, a coleção completa de arquivos será precisa. Construir uma linha do tempo é uma prática comum para examinadores forenses e importante para determinar quando os arquivos de Mallory foram criados. Infelizmente, o procedimento empregado pelo provedor novamente determina se o investigador recebe metadados úteis, como registros de data e hora de criação de arquivo.  Os logs de acesso à Web são provavelmente a evidência mais definitiva da intrusão original, corroborada pelos registros do NetFlow. O IP do invasor suspeito é identificado nos logs, que são apresentados juntamente com a análise completa no relatório forense subsequente. Os leitores mais prudentes também podem abordar esse problema analisando o malware instalado depois de visitar a página agora hackeada e tentando determinar quem o escreveu ou para onde ele deve voltar, mas isso não é considerado aqui. https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 21. Caso 2 - Considerações  Considere as questões que a defesa pode suscitar para introduzir dúvidas no exame:  A cadeia de custódia foi preservada durante todo o processo?  A página maliciosa pode ser definitivamente atribuída a Mallory? Quem mais teve acesso para criar / modificar esta página? Outros clientes estavam hospedados na mesma infraestrutura que poderia ter acesso?  Qual processo o provedor de nuvem usou para copiar e produzir as páginas da web? Eles podem reivindicar a integridade forense desse processo? Os carimbos de data / hora nas diferentes evidências (NetFlow, logs da web etc.) estão sincronizados o suficiente para criar uma linha do tempo precisa?  Qual era o local físico da máquina virtual que é executada pelo site de hospedagem? De que leis / regulamentos é governado?  Quais mecanismos de detecção e proteção são empregados pelo provedor para manter sua infraestrutura segura e identificar intrusões?  Como o provedor se recusou a fornecer evidências do sistema operacional, a promotoria pode ter evidências suficientes para provar que um compromisso realmente ocorreu?https://www.researchgate.net/publication/286192780_Understanding_Issues_in_cloud_forensics_Two_hypothetical_case_studies
  • 22. Saiba mais e novos projetos  Excelente vídeo de exemplo feito pela Forensics Sans - https://www.youtube.com/watch?v=vgmKUGuMi7c  Projeto Freta - Opção de nuvem que permite analisar a segurança no Linux. Ele permite que testes forenses sejam executados para fornecer inspeção de memória volátil automatizada de sistema completo de capturas instantâneas de máquinas virtuais. Ele pode detectar software malicioso, rootkits e outras ameaças que podem ser ocultadas – Saiba mais em - https://docs.microsoft.com/en- us/security/research/project-freta/
  • 23. Fontes de Pesquisa  https://www.enisa.europa.eu/publications/exploring-cloud-incidents  https://www.infosecurity-magazine.com/opinions/cloud-complicates-digital-crime/  https://www.ipsense.com.br/blog/conheca-os-modelos-de-armazenamento-na- nuvem-iaas-paas-saas-e-caas/  https://www.copeltelecom.com/site/blog/armazenamento-na-nuvem-4-tipos-de-cloud/  https://www.ipsense.com.br/blog/quais-sao-os-maiores-desafios-do-armazenamento- na-nuvem/  https://www.csiac.org/wp-content/uploads/2016/02/Vol14_No1.pdf  https://www.researchgate.net/publication/286192780_Understanding_Issues_in_clou d_forensics_Two_hypothetical_case_studies  https://resources.infosecinstitute.com/category/computerforensics/introduction/areas- of-study/hybrid-and-emerging-technologies/introduction-to-cloud-forensics/#gref  https://digital-forensics.sans.org  https://www.nist.gov/