Digital Investigation 9 (2012) S90–S98
Contents lists available at SciVerse ScienceDirect
Digital Investigation
journal homepage: www.elsevier.com/locate/diin
Acquiring forensic evidence from infrastructure-as-a-service cloud
computing: Exploring and evaluating tools, trust, and techniques
Josiah Dykstra*, Alan T. Sherman
Cyber Defense Lab, Department of CSEE, University of Maryland, Baltimore County (UMBC), 1000 Hilltop Circle, Baltimore, MD 21250, USA
Keywords:Computer security;Cloud computing;Digital forensics;Cloud forensics;EnCase;FTK;Amazon EC2
abstract
We expose and explore technical and trust issues that arise in acquiring forensic evidence from infrastructure-as-a-service cloud computing and analyze some strategies for addressing these challenges. First, we create a model to show the layers of trust required in the cloud. Second, we present the overarching context for a cloud forensic exam and analyze choices available to an examiner. Third, we provide for the first time an evaluation of popular forensic acquisition tools including Guidance EnCase and AccesData Forensic Toolkit, and show that they can successfully return volatile and non-volatile data from the cloud. We explain, however, that with those techniques judge and jury must accept a great deal of trust in the authenticity and integrity of the data from many layers of the cloud model. In addition, we explore four other solutions for acquisitiondTrusted Platform Modules, the management plane, forensics-as-a-service, and legal solutions, which assume less trust but require more cooperation from the cloud service provider. Our work lays a foundation for future development of new acquisition methods for the cloud that will be trustworthy and forensically sound. Our work also helps forensic examiners, law enforcement, and the court evaluate confidence in evidence from the cloud.
ordf; 2012 Dykstra amp; Sherman. Published by Elsevier Ltd. All rights reserved.
- Introduction
Discovery and acquisition of evidence in remote, elastic, provider-controlled cloud computing platforms differ from that in traditional digital forensics, and examiners lack appropriate tools for these tasks. While there are many important issues in this new field, we focus explicitly on data acquisition. Crimes that target or use cloud computing will undoubtedly emerge in this landscape, and investiga-tors will rely on their existing expertise in tools like Guidance EnCase or AccessData Forensic Toolkit (FTK) unless alternative tools and techniques are provided.
Digital forensics for cloud computing brings new technical and legal challenges. Cloud computing makes forensics different, particularly given the remote nature of the evidence, lack of physical access, and trust required in the integrity and authenticity. While the goals of the forensic examiner are the same as before, the non-conventional difficult problems include forensically sound acquisition of remote data, large data volumes, distributed and elastic data, chain of custody, and data ownership.
Seizure and acquisition of digital artifacts are the initial steps in the forensic process (Casey, 2004). Two possible scenarios exist: remote investigators could collect forensic evidence themselves from the source, or providers could deliver it. Each scenario requires a different degree of trust in the data returned. Further, each scenario uses different technical implementations to recover the data. Given years of development, acceptance by the judicial system, and expertise in the field, market leaders in the commercial
forensic tool space including EnCase and FTK are ideally prepositioned for the cloud forensic challenge (SCMagazine, 2011). One question that remained until now, however, was an evaluation of the ability of such tools to acquire and analyze cloud-based evidence.
Cloud computing is a broad, generic term with many meanings and definitions. It has infiltrated the vernacular, bastardized in marketing and media. Cloud computing is an evolution and combination of decades of technology, resulting in a model of convenient, on-demand,elastic,location-independentcomputing resources. Though some definitions of cloud computing include popular web-based services such as email and social networking, we limit the scope of this paper to computing resources that are billed as utilities. More specifically, we use the Infrastructure-as-a-Service (IaaS) model (National Institute of Standards and Technology, 2011). In this model, the consumer has complete control over a guest operating system running in a virtual machine (VM). The provider retains control and responsibility for the hypervisor (HV) down to the physical hardware in the datacenter. Since the Platform-as-a-Service and Software-as-a-Service models are built on IaaS, beginning with IaaS provides a fundamental basis from which to build future work.
In this paper, we assume that the target system of the forensic investigation still exists in the cloud. The elastic nature of cloud computing makes it possible for a criminal to commit a crime and then immediately destroy the evidence, but that situation is not considered here. While some cases will involve the cloud as the instrument of the crime, others will involve the cloud-hosted service as the target of the crime. The later is the scope of this paper.
In draft guidance (Federal CIO Council, 2011, p. 21) on the secure use of cloud computing, the Federal Chief Information Officers Council states that “incident response and computer forensics in a cloud environment require fundamentally different tools, techniques, and training.” In this paper, we evaluate the validity of that statement with respect to data acquisition. Contributions of our work include:
Results from three experiments that exercise existing tools for persistent and non-persistent data collection in
剩余内容已隐藏,支付完成后下载完整资料
数字调查9(2012)–s98 S90
在sciverse ScienceDirect提供内容列表
数字调查
期刊主页:www.elsevier.com/locate/diin
从云端基础设施即服务获取的证据
计算:探索和评估工具,信任和技术
约西亚讲述*,艾伦T.舍曼
网络防御实验室,中国电机工程学报,马里兰大学、巴尔的摩县(UMBC),1000HillTop算法,巴尔的摩,MD 21250,美国
关键词:计算机安全;云计算;数字取证;云取证;围绕;FTK(电子物证分析软件);亚马逊弹性计算云
摘要
我们暴露和探索技术和信任问题出现在收购法医证据从“基础架构即服务”云计算和分析的一些策略来解决这些挑战。首先,我们创建一个模型显示所需的层的信任数字取证的云。第二,我们现在云司法考试和包罗万象的上下文分析选择一个考官。第三,我们首次提供了一个评估流行的法医采集工具,包括指导包住和AccesData法医工具箱,表明他们可以成功返回挥发性和非易失性的数据云。我们解释,然而,这些技术法官和陪审团必须接受一个伟大交易的真实性和完整性的信任云的数据从许多层模型。此外,我们探讨acquisitiondTrusted其他四个解决方案平台模块,管理平面,forensics-as-a-service和法律解决方案,承担缺乏信任,但需要更多的从云服务提供商合作。我们的工作获得了了未来发展的基础的新收购的云的方法值得信赖和法医的声音。我们的工作还帮助法医审查员,法律执法,法院从云中恢复评估证据的信心。
2012年ordf;戴克斯特amp;谢尔曼。由爱思唯尔有限公司保留所有权利。
1.简介
从远程弹性供应商控制云计算平台发现和采集证据与通过传统的数字取证来发现和采集证据不同,审查员缺少执行这些任务所需的适当工具。虽然该新领域存在很多严重问题,但我们明确致力于数据采集。该场景中确实出现了以云计算为目标或使用云计算的犯罪活动,除非配备备用工具和技术,否则调查员将依赖于现有的专业工具,如Guidance EnCase或AccessData Forensic Toolkit (FTK)。
对云计算的数字取证带来了新的技术和法律挑战。云计算可使取证与众不同,尤其是考虑到了证据的远程特点、物理访问的缺失及完整性和可靠性所需的可信赖性。虽然取证审查员的目标与之前相同,但非传统难题包括远程数据、大数据量、分布式弹性数据及数据所有权的取证声音采集。
数字伪像的捕获和采集为取证过程的起始步骤(Casey, 2004)。存在两种可能的方案:远程调查员自身可从源头收集法庭证据,或者供应商提供法庭证据。各方案对返回的数据有不同的可信度。此外,各方案采用不同的技术措施来恢复数据。鉴于多年的发展、司法系统的验收及此领域的专业知识,将包括EnCase和FTK在内的商业取证工具领域的市场领导者理想地预定为云取证的挑战(SCMagazine, 2011)。但是现在仍存在的一个问题是对此类工具采集和分析云证据的能力的评估。
云计算为一个广泛的通用术语,有很多含义和定义。其已融入方言并在市场和媒体中退化。云计算为数十年技术的演变与组合,从而形成了一种与位置无关的便利的请求式弹性计算资源模型。虽然云计算的某些定义包括受欢迎的web服务(如电子邮件和社交网络),但我们将本论文的范围限制为被誉为实用的计算资源。更具体地说,我们采用基础设施即服务(IaaS)模型(国家标准技术局,2011)。在此模型中,消费者完全控制虚拟机(VM)中运行的客户操作系统。供应商保持控制并负责资料处理中心的管理程序(HV)至物理硬件。由于平台即服务和软件即服务模型以IaaS为基础,因此以IaaS开头可提供基本依据,从此开始构建之后的工作。
在该论文中,我们假设取证调查的目标系统仍位于云内。云计算的弹性为罪犯犯罪提供了可能性,从而可立即毁坏证据,但此处不考虑该情况。虽然某些案件将云视为犯罪工具,但其他案件将云端服务视为犯罪目标。后者为本论文的范围。
在有关云计算安全使用的指南草案(联邦首席信息官理事会,2011,p.21)中,联邦首席信息官理事会提到“云环境下的事件响应和计算机取证从根本上需要不同的工具、技术和培训。”在本论文中,我们对与数据采集相关陈述的有效性进行了评估。我们的工作收获包括:
运用现有工具在公共云(亚马逊弹性计算云(EC2))中收集持久性数据和非持久性数据的3个实验得出的结果。
使用客户操作系统采集的数据可信度不足时,对在较低层基础设施堆栈采集证据的备选方案进行分析。
说明如何使用虚拟机自省来为远程采集增设远程取证代理。
探索使用不可信的管理程序进行取证数据采集的4个策略。
本论文的其余内容按以下所示进行组织。第2章回顾之前的相关作品。第3.1章介绍一种云可信度模型。第3.2章介绍云检查的环境。第4章介绍使用EnCase、FTK、Fastdump和Memoryze的本机功能在EC2中进行数据采集的实验。第5章建议制定备选方法。第6章讨论注意事项,第7章工作总结。
- 之前的相关作品
美国联邦政府对部分使用最广泛的取证工具进行了评估,以确保可靠性。国家标准技术局(NIST)的计算机取证工具测试(CFTT)项目负责测试数字取证工具、测定其效力并进行认证(国家标准技术局,2003)。其于2009年9月对EnCase 6.5进行了评估,2008年6月对FTK Imager 2.5.3.14进行了评估(国家标准技术局,2009,2008)。其从来不会对这些产品的企业版(包括远程取证能力)进行测试和认证。NIST还发表了数字数据采集工具规范,其“指出了数字媒体采集工具在计算机取证调查中的要求”(国家标准技术局,2004)。该规范的最新版本制定于2004年,在我们知道云计算之前就已存在。
几个研究员指出证据采集是云取证(Dykstra和Sherman,2011a;Ruan等人,2011; Taylor等人,2011))的一个前沿问题。Dykstra和Sherman对两种假设案件研究的分析阐明了从云犯罪收集证据的重大问题(Dykstra和Sherman,2011a, b)。Ruan等人 (Ruan等人,2011)建议虽然不清楚收集易失和非易失云数据的人员和方法,但是证据采集应遵从“明确定义的客户和供应商的职责划分”。 Taylor等人(Taylor等人, 2011)也对缺少从云采集数据的适当工具表示遗憾,其指出“在当代计算环境下,这些工具中的大部分是标准化工具,如EnCase或Forensics Tool Kit [sic]。”
虚拟机自省(VMI)为一门技术,观察员可凭借此技术通过管理程序从外部与虚拟机客户端进行相互作用。2003年,Garfinkel和Rosenblum (Garfinkel和Rosenblum, 2003)首次证明了使用VMI在虚拟客户端进行入侵检测的技术。2009年,Symantec使用虚拟机的VMSafe证明了通过虚拟机管理程序在虚拟机内添加反病毒代码(Conover和Chiueh, 2008)。从那时起,研究员提出了VMI在取证存储分析中的各种应用(Nance等人,2009;Dolan-Gabitt等人,2011)。Santana (Santana, 2009)报告显示Terremark将自省用于vSphere云计算供应端的监测、管理和安全性。到目前为止,尚未尝试通过管理程序在虚拟机内增设取证工具(如EnCase小服务程序)。
2009年,Gartner(Heiser, 2009)发表了针对企业环境的远程取证工具概述及其使用指南。其将EnCase和FTK作为最广泛使用的产品,具有最强的国际支持。但是,这些工具有其自身的缺点:2007年,在远程EnCase代理和服务器之间的认证中发现了易损性(Giobbi和McCormick, 2007)。从法律角度来看,2011年Guidance Software公司自己的“EnCase法律杂志”(关于电子举证的法律问题和裁决的综合测验)中未提及针对远程数据采集的复杂法律问题相关的司法裁决或成文法(Guidance Software, 2011)。我们将对云计算取证的交集及用于搜索和捕获的合法状态交集进行分析。
EnCase企业版和FTK包括适用于远程取证的客户机-服务器特点。在各种情况下,均在客户机上安装一个小执行文件(EnCase将该执行文件称为“小服务程序”;FTK称为“代理”)。图1用图例说明了如何在供应商的取证分析软件内部或顶部架设服务器,服务器如何通过安全连接与客户机进行通信及服务器如何命令客户机返回包括硬盘驱动器图像在内的取证数据。取证审查员可能会对客户机进行一些远程取证或返回服务器进行本地分析。对于机器在地理位置上分散但事件响应小组集中的大型企业,即采用远程取证。
3.云取证检验
此章节中,我们探索了基于云的犯罪的取证检验。作为基础,我们首先介绍推断云证据可信度的模型,因为可信度会影响检验方式的选择。第二,我们作出确定取证调查方式的选择。
3.1信任层
对采集工具进行评估前,了解云环境下的可信度是非常重要的。提交法庭后,法官或陪审团必须立即确定其是否相信并信任提交给他们的证据。该选择体现了对结果是否精确可靠的特定信心。如之后所述,在传统取证中,实际存在目标机器时,存在部分相同的信任问题。
考虑一个采用一台台式计算机来计划谋杀的例子。如果执法机关拆下了用于成像的硬盘驱动器,则其必须相信硬盘驱动器的硬件能够正确读取磁盘。如果在现场的计算机上运行取证工具,则除硬件以外,其还必须相信主机操作系统的完整性。如果将不可信计算机作为云的主机,则会固有地引入新的信任层。我们不会考虑取证采集工具本身的可信度,也不会考虑运行这些工具的操作员,因为这些成分虽然重要,但却位于云环境以外。
表1在IaaS云计算中模制了6层可信度。另一些云模型(平台即服务和软件即服务)顶部有附加层,用来说明提供的平台或服务。在IaaS中,尽管无物理访问,消费者也可对第5层(客户操作系统)和第6层(客户应用程序)进行管理控制。此外,各层的取证采集活动均不同。各层需要不同数量的信心来相信该层安全、可信;堆栈层次越深,需要的累积信任度越小。在公共云中,所有层均需要对供应商的一些信任度,尤其是对有敌意的内部人员的信任度。最后,法官或陪审团必须对数据有信心,从而作出法律判决。
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[31281],资料为PDF文档或Word文档,PDF文档可免费转换为Word
课题毕业论文、文献综述、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
