Una panoramica sulla Cloud Forensics

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 4 di Hakin9 Extra.

Introduzione

Il cloud computing è senza dubbio una delle grandi innovazioni dei nostri tempi. Introduce un nuovo modo per implementare architetture complesse che solo dieci anni fa sarebbero costate centinaia (se non migliaia) di volte tanto.

Questo è avvenuto sia per l’introduzione della virtualizzazione delle risorse, dovuta all’elevato potenziale dei moderni computer, sia per una nuova più scalabile e flessibile organizzazione dei servizi offerti, orientati più verso un modello di business orientato ai Servizi stessi e non al Software.

Tutto ciò, insieme ad un nuovo modo di usare le applicazioni (tramite un browser, e non con il vecchio paradigma client-server), ha introdotto ciò che il NIST descrive come:

Un modello per abilitare un accesso pratico, on-demand via rete ad un gruppo di risorse condivise e configurabili (ad es. reti, server, storage, applicazioni e servizi), che può essere rilasciato rapidamente, con una minima gestione o interazione col provider.

Ci sono tuttavia dei problemi portati da queste innovazioni. Il principale è che tutti i modelli tradizionali, non ideati in tempi di cloud, devono essere ripensati.

Uno di questi modelli è appunto la computer forensic. Come fare questo tipo di attività su sistemi in the cloud, e come interagire correttamente con i provider di servizi cloud.

In questo articolo cercheremo di fare una panoramica su quali sono le nuove sfide che un professionista della forensic deve superare per fare bene il proprio lavoro, e cosa chiunque usi un servizio cloud, o ne gestisca uno, deve tenere in mente per evitare questo tipo di problemi nel futuro.

Cosa è cambiato?

Perché ci sono queste nuove sfide? Vediamo cosa è cambiato nel cloud.

Il modello della forensic tradizionale è basato su:

  • Raccogliere le evidenze on-site.
  • Rispettare la legge, e garantire la catena di custodia.
  • Analizzare i dati per trovare evidenze, eindividuare le prove.

Questo, nel cloud, cambia completamente.

Non esiste un sito fisico. Già, avete letto bene. “Nel cloud” non c’è un posto dove si può andare e sequestrare un pc o un server per analizzarlo in seguito. Nel cloud ci sono numerosi CED che ospitano contemporaneamente i dati che state cercando.
Questo è veramente un incubo, anche perché siamo al primo passo e già sembra un ostacolo insormontabile.
Considerato che l’architettura cloud consiste nella condivisione dei dati, risorse e servizi su diversi CED, infrastrutture virtualizzate e servizi aperti a chiunque, non c’è modo di essere certi che i dati necessari siano stati raccolti completamente.

Non c’è una singola legge. Garantire la catena di custodia significa che bisogna rispettare leggi specifiche, di una nazione specifica (in genere la vostra). Ma nella prospettiva del cloud non c’è una singola nazione. Una rete diffusa di centri di elaborazione dati significa una rete diffusa di giurisdizioni. E questo significa che può essere molto complesso (in alcuni casi, volutamente, impossibile) interagire con nazioni che non hanno leggi moderne sulla criminalità informatica.

Non c’è un singolo provider. Analizzare i dati significa che tutto quello che è stato raccolto deve essere coerente e può essere usato come prova. Ma se i servizi cloud che state analizzando sono relativi ad un’altra infrastruttura, potete garantire di non aver perso nulla? E chi vi può fornire ulteriore assistenza?
Questo è un problema reale già ora, facciamo un esempio. C’è un servizio molto noto che permette di sincronizzare e condividere file su diversi computer e dispositivi. Basta inviare, o meglio “droppare” un file in una cartella, o un “box”, e sono disponibili ovunque. Ora questo servizio di cloud utilizza risorse di un altro servizio sempre di cloud, di più altro livello, gestito da una nota libreria online di una “femmina cavallerizza”… La domanda ora è chi comanda? Chi realmente gestisce questo sistema? Difficile rispondere.
La risposta è che, dopo aver affrontato diverse giurisdizioni, la sfida qui è capire cosa quei dati significano, e cosa le due entità coinvolte sanno di quei dati e possono darvi. E questo può essere molto difficile.

Quindi è tutto così complicato? No, non tutto.

Poiché il modello cloud è una grande opportunità per tutti, può essere una grande opportunità anche per i professionisti della forensic. Questo però significa che anche i provider di servizi cloud devono essere pronti a confrontare i loro sistemi con le nuove sfide presentate dal nuovo modello.

Molti provider cloud non sanno cosa dire quando è il momento di parlare di cloud forensics, questo perchè fondamentalmente loro non conoscono il problema. Non se ne occupano perché il modello cloud è troppo veloce, scalabile e ampio per avere a che fare con questo tipo di problemi, strettamente legati al modello passato.

Ma questo è sbagliato in molti sensi. È sbagliato per il cliente, perché se succede qualcosa (e qualcosa prima o poi succederà) vi ritroverete in un gran guaio. È inoltre ancora più sbagliato per il cloud provider stesso, visto che è lui il responsabile di quello che succede sui suoi sistemi e sui servizi che offre. Questo quando le cose vanno bene, certo, ma ancora di più quando le cose andranno male.

Il cybercrime non sta a guardare

Finora abbiamo parlato di servizi regolare. Ma come è facile immaginare, il modello cloud non è un modo efficiente di fare business solo per le aziende normali, è un ottimo modello anche per i criminali.

Questo crea una notevole minaccia per chiunque gestisca un servizio cloud. E la minaccia è doppia.

Il primo problema è che potreste scoprire che il vostro servizio (lecito) è usato da cybercriminali per fare cose illegali. Ad esempio ci sono numerosi riscontri sul fato che qualche servizio online di malware scan è usato da chi scrive il malware per dimostrare la bontà del loro prodotto. È come se dicessero: vedete? Nessuno lo riconosce, comprate il mio malware!
Questo è un usonon proprio lecito di uno strumento perfettamente legale, ma magari tra qualche tempo i tizi vestiti di blu potrebbero fare un salto da voi e chiedervi “cosa sta succedendo?”.

L’altra minaccia è che anche i criminali stanno attivando i loro servizi nel cloud. Oggigiorno ci sono una quantità enorme di toolkit per produrre “malware fatto in casa”, e si possono acquistare per pochi dollari. La cosa interessante è che questi prodotti vengono venduti, supporto incluso (sì, c’è anche un helpdesk per usarli), su infrastrutture praticamente uguali a al modello diffuso di software-as-a-service (SaaS).
Ma quando un sistema come questo viene bloccato e, magari, sequestrato, come fa un professionista della computer forensic a capire cosa stava succedendo lì sopra? Come può estrarre i dati necessari a provare il crimine?

Questi sono casi reali, come reali sono le sfide che pongono.
E poi, pensateci, non è anche una botnet un “servizio cloud”? 🙂

Opportunità

L’abbiamo detto prima e lo diciamo ancora: siate pronti. Questo è un problema molto importante, e non deve essere sottovalutato.

Questo significa anche che molti professionisti della computer forensic possono realmente aiutare a implementare strumenti e strategie di cloud forensics nei nuovi servizi. Poiché questo è un problema che ogni cloud provider dovrà affrontare prima o poi, questa è un’eccellente opportunità per fornire supporto a definire una strategia della cloud forensics.

Il paradigma cloud è talmente versatile che è possibile, e infatti ci sono già dei progetti in tal senso, sviluppare una piattaforma di forensic-as-a-cloud-service, fatta specificatamente per il cloud.

Se siete un provider, può essere una grande opportunità anche per voi, perché definire una strategia e un’architettura per la cloud forensics significa implementare quegli strumenti e quelle procedure nei vostri servizi cloud, e questo è quello che va fatto ora. Questo significa sia una raccolta di dati proattiva, basata su strumenti di computer forensic (sì, anche quelli standard attuali!), sia una dettagliata procedura di incident response che includa la forensic, sia infine un addestramento per il vostro staff al fine di fargli comprendere meglio i rischi del nuovo modello (questo passo, sinceramente, è valido in ogni caso).

Tutto ciò significa anche comprendere le leggi delle nazioni dove sono i vostri CED. E questo è importante non solo per essere pronti in caso di incidente, ma anche per evitare possibili procedimenti legali nel caso le leggi siano troppo stringenti.

Negli Stati Uniti, ad esempio, molti tribunali e molti giudici stanno chiedendo sempre di più prove e dati provenienti dai sistemi informatici. E chiedono come le prove sono state raccolte, come sono state conservate ed analizzate.

E se siete voi l’azienda alla sbarra, e non sapete rispondere alla domande del giudice, potreste incorrere in sanzioni, o peggio.

Per concludere: non aspettate il vostro turno per finire nei guai, preparatevi.

Federico Filacchione
pubblicato originariamente come “An Overview on Cloud Forensics” su Hakin9 Extra numero 4/12© Software Press, Poland.

2 pensieri su “Una panoramica sulla Cloud Forensics

  1. Interessante il suo punto di vista su challenges and opportunities del Cloud Forensics.

    Mi trova concorde sulla necessità di delineare metodologie e procedure forensi per l’analisi del contenuto informativo presente sul Cloud, inteso come insieme di postazione utente (browser), rete e nuvola dei servizi.
    In particolare sarebbe interessante capire, che tipo di analisi forense si potrebbe fare, nella giurisdizione italiana, in caso di uso illecito di un servizio SaaS erogato da uno o più provider esteri (i.e. penso ad esempio all’accoppiata Dropbox-Amazon che lei ha velatamente citato nell’articolo).
    La domanda fondamentalmente è “che tipo di analisi (e su quali dati) si potrebbe fare nel caso in cui il provider sia restio a fornire i dati relativi all’incident?”.

    Saluti

    Rispondi

  2. Purtroppo il problema di avere a che fare con provider esteri vale nella forensic come nel capire di chi è un’azienda con sede nelle Isole Cayman…

    C’è da dire che lato richiedente sarebbe comunque opportuno conoscere le modalità di interazione di questi provider con le richieste di fornitura. Spesso sono anche disponibili degli handbook con tutte le istruzioni su cosa viene fornito e come chiederlo. Facebook ad esempio usa questo: http://cryptome.org/isp-spy/facebook-spy.pdf

    Per quanto riguarda Amazon un bel paper che ho usato anche come fonte per l’articolo, della bravissima Keyun Ruan (l’unica forse attualmente che affronta questi temi) parla di come funzionano le cose nel mondo AWS http://cloudforensicsresearch.org/publication/Cloud_Forensics_An_Overview_7th_IFIP.pdf

    Lato consulente di computer forensic può essere utile sapere chi si ha davanti e come si comporta, per lo meno per non perdere tempo e fornire a chi ha dato l’incarico una consulenza sensata.

    Lato provider c’è comunque l’occasione di poter offrire servizi già pronti per la forensic, come ricorda Ruan nella ricerca, S3 associa già un MD5 ad un oggetto archiviato, e questo può risultare molto utile in fase di analisi.

    Se tutto questo non funziona non vedo altre vie che non siano quelle della rogatoria internazionale, strada molto ardua ma abbastanza inevitabile.

    Rispondi

Commenta il post!