Wonderful activities
【行业资讯】未来已来,云端数据取证思路探索
发布时间:2021-04-18 21:56:01
盘石软件PANSAFE 作者:宋庆飞
前言
随着世界已经进入大数据的时代,云计算等技术也在不断完善与发展,我们在享受各类云服务带来便捷的同时,也发现云服务的不确定性和危险性。目前国内外各类云计算(包括公有云服务、私有云服务、企业云等)数量也较多,就目前取证工具能提供的数据吞吐量而言,盲目的取证行为无异于大海捞针,在不能确定嫌疑人使用云存储服务情况之下,取证工作将难以开展,尤其针对司法部门,在云计算环境下的电子数据调查取证是一个敏感而迫切的需求。本文将从云计算的发展趋势,再结合取证难点,提出一些基于云端数据的电子取证解决方法。
云端数据技术方案取证难点
云计算的发展趋势:
随着智能手机、平板电脑等多种智能终端的普及,个人用户所拥有的数据量正在成几何倍数增长,无论是从存储的安全性,还是随取随用的便利性上来说,将数据上传存储到云端而非进行本地收藏,已是大势所趋。从社会效应来看,云服务、云计算的核心是管理能力的增强,具有集约性,便于开展集中式管理,降低社会成本。对于中小企业来说,通过云服务可以和大型企业在信息化方面站在同一起跑线上,云计算通过集中式管理可以极大降低企业的信息化成本。
云主机取证的难点:
1、 用户对数据控制能力的约束
云计算有三类主要模型(IAAS、PAAS、SAAS),云计算的不同模式也决定了用户对数据的掌控能力,此时若发生攻击等意外,用户和调查者必须依赖云服务提供商才能完成云服务相关云端数据的调查取证,同时云环境下用户对实际的物理地址等情况知道的很少,这就导致失去自主控制与自主取证的能力,而一旦服务提供商不配合或配合过程复杂,就给取证带来重重困难。
2、 虚拟化、多实例、多用户
云计算通过虚拟化技术在同一物理主机分离出不同的实例,所以一台物理主机可能被多个用/租户共享,在不牵涉隐私的情况下,仅分离出日志等证据文件,也是云端主机取证下的一个难题。
3、 证据易丢失
云计算环境下的主机会按需求进行分配和回收,若用户使用完虚拟机实例后进行注销服务,则会被相关资源进行回收,重新提供给新的用/租户,那么新的实例数据就会覆盖旧的实例数据。另外,由于移动终端对于云端数据操作的便利性以及数量的不断增加,证据随时可能被污染或消失,所以如何在数据被污染前、被覆盖前快速提取,或在被覆盖、污染之后如何进行有效的恢复,给取证调查取证人员的能力提出了新的要求。
4、 证据可信度
云取证涉及多方利益问题,供应商和犯罪分子均有可能串谋起来对证据篡改,不仅是加大了电子取证的难度,也将导致证据的可信度降低,所以应该研究相关方法,来保证电子证据的真实、可信,防止篡改,保证电子证据的法律效力。
5、 数据量大、格式多
云计算等存储以及服务就是因大数据而产生,所以具有数据量大,格式繁杂多样,如何在海量、格式繁杂、来自不同主机节点找出有用的以及分析出与案件相关的电子证据,也是目前电子取证的难题之一。
6、 数据加密后的分析
现在大多数服务厂商都对云端数据存储的原始数据文件进行了加密,而不同厂商加密算法、方式都不一样,如何满足不同厂商以及针对加密后数据进行破解和数据分析。
云取证的思路探索
云端数据取证的关键在于收集证据材料以及证明其犯罪事实或与犯罪嫌疑人的关系,在云端数据取证涉及的步骤有证据识别、获取、分析,在当中,云端数据下的电子证据的识别与获取较为重要,至于分析可以通过提取出数据文件后,通过专业化的工具软件进行离线分析也是可行的。以下针对云端数据的电子取证 提供一些思路。
云端数据取证的前置工作:
云计算环境下的各类操作,不管是各类存储服务,都离不开本地客户端软件(桌面CS架构软件、手机终端)或浏览器的参与,因此本地留下的一些痕迹数据就显得尤为关键,侦查取证人员应在尽可能的情况下,以最及时最大程度的提取本地数据,如:账号、COOKIE、浏览历史、缓存数据、系统日志等,移动终端上的图片、服务供应商、浏览器、SQLITE数据、恢复数据信息等,根据这些数据线索信息,得到案件嫌疑人的相关信息,方便再进一步的进行取证分析活动。
云端数据取证的思路探索:
云端数据取证可分为多种情况,第一种为有权限的情况之下,通过一些前期工作,知道犯罪嫌疑人的账号等信息,利用该信息获取到相关的服务厂商,通过“嫌疑人-犯罪嫌疑人-虚拟身份-云服务用户-云端数据”此种方式,提取与虚拟身份相关的日志、上传的文件以及相关信息;第二种是无权限的情况之下,主要利用主机渗透等侦查技术获得权限,再利用虚拟机在线迁移技术,或者就近克隆技术完成对嫌疑云端数据的取证分析;第三种是依赖于云服务厂商,通过云管理系统去获取犯罪证据,此种方式不是直接去与犯罪嫌疑人的关联设备打交道,而是直接在第三方服务供应商的配合之下, 通过利用虚拟化技术和数据迁移技术调取云主机的相关存储内容信息(可参考云端数据的虚拟迁移隔离下的电子取证);再通过只读或最大程度不篡改的情况下获取相关犯罪嫌疑人的文件信息。
云端数据取证的注意事项:
通过获得犯罪嫌疑人的虚拟身份或真实身份信息后,在第三方服务供应商的配合之下,确定犯罪嫌疑人存储虚拟机的实例实际物理地址,切断其与外界的联系,这样保护了证据不会被篡改,再通过VM、P2V等虚拟化迁移技术,对目标主机内存映射、进程、临时文件、网络状态、存储信息等进行提取,把这些实例进行虚拟机镜像传输到电子取证相关服务器上,或者在本地取证环境下,通过只读方式加载虚拟镜像,进行电子证据的提取分析工作。
总结:
本文探讨了云端环境下的电子取证所面临的问题,以及提出的基于云端数据的电子取证拙见,其实待研究的方法还有很多,云服务环境下的取证问题还会有很多有待深入探究、分析和解决,以上供各位看官进行技术的探讨与思考,欢迎各位专家批评指正。
