Forensic in ambiente Cloud

0

Supponiamo di avere accesso a un'istanza EC2 (se una chiave privata per un'istanza Linux o il nome utente e la password per l'istanza di Windows) e ho utilizzato un software come FTK Remote Agent per acquisire un'immagine. Non è questa l'immagine come se fossi in grado di andare al data center e collegarmi fisicamente e acquisire l'immagine?

Lo sto chiedendo perché stavo leggendo un documento in cui i ricercatori stavano valutando gli strumenti attuali (come FTK ed EnCase) in ambiente cloud. Volevano sapere se questi strumenti possono acquisire dati forensi. Così hanno creato un'istanza EC2, scaricato Apache su quell'istanza, creato alcune pagine Web e compromesso la macchina utilizzando una vulnerabilità basata sul Web. Poi hanno acquisito un'immagine e controllato se sono in grado di trovare la cronologia delle loro attività.

La mia altra domanda: è considerato accettabile installare uno strumento o un servizio su una macchina remota per acquisire un'immagine forense o è considerato dannoso per l'integrità delle prove? Ad esempio, collegarsi a un'istanza EC2 utilizzando il desktop remoto e installare uno strumento che mi consenta di connettermi per acquisire un'immagine remota.

    
posta Shadowmania 11.01.2015 - 18:54
fonte

2 risposte

1

Cerco di non farlo, ma questo è davvero un sì e nessuna risposta.

Strumenti come FTK Remote Agent vengono eseguiti come servizio sul sistema. Un investigatore può connettersi a quegli strumenti ed eseguire attività (come tirare un'immagine remota di quel particolare sistema). Se dovessi entrare nel data center di AWS e ottenere l'accesso a livello di console e installato di quanto non avessi eseguito gli strumenti da lì, farebbe una cosa molto simile (e in realtà è meglio visto che hai meno reti per potenziali problemi.

Se il tuo obiettivo è quello di preservare lo stato della macchina in relazione a AWS, estrarre un'immagine dalla VM potrebbe non essere il modo in cui ti vuoi avvicinare. Il metodo più preferibile sarebbe probabilmente quello di clonare i file virtuali che costituiscono il tuo sistema AWS.

Cerco di pensare a ambienti virtuali e analisi forensi in questo modo, cosa preferirei avere, una copia dei file che costituiscono lo stato di un sistema operativo o una copia del contenitore che ha l'intero stato del sistema operativo in relazione al suo ambiente attuale.

FTK ti fornirà un clone del tuo sistema operativo dal punto di vista del sistema operativo in un formato (molto probabilmente ISO), ma se riesci a estrarre i file AWS che compongono l'intero VM, hai IMO più solide prove forensi.

    
risposta data 03.07.2015 - 16:41
fonte
0

Hai ragione, sì, usare qualcosa come l'età remota di FTK è la stessa, ma hai aggiunto il divertimento che è potenzialmente un sistema live, quindi le cose stanno cambiando mentre stai lavorando.

In un ambiente reale, hai ragione, hanno contaminato le prove (un GRANDE no-no), e molto probabilmente sarebbero inammissibili in una stanza del tribunale. Lo scenario più probabile implicherebbe il permesso dei tribunali di chiedere ad Amazon un'istantanea / clone di quella particolare VM che possa essere esaminata.

Il modo migliore è probabilmente quello di utilizzare alcune delle capacità di acquisizione istantanea della VM: alcuni di questi strumenti possono funzionare facilmente con i tipi di file VMDK (VMWare) per consentire agli investigatori di svolgere i loro compiti.

    
risposta data 03.02.2015 - 10:32
fonte

Leggi altre domande sui tag