Forensic en entorno Cloud

Navega tus respuestas
0

Supongamos que tengo acceso a una instancia de EC2 (ya sea una clave privada para una instancia de Linux o el nombre de usuario y contraseña para la instancia de Windows), y utilicé un software como FTK Remote Agent para adquirir una imagen. ¿No es esta imagen lo mismo que si pudiera ir al centro de datos y conectar físicamente y adquirir la imagen?

Lo pregunto porque estaba leyendo un artículo en el que los investigadores estaban evaluando las herramientas actuales (como FTK y EnCase) en un entorno de nube. Querían saber si estas herramientas pueden adquirir datos forenses. Así que crearon una instancia de EC2, descargaron Apache en esa instancia, crearon algunas páginas web y pusieron en peligro la máquina con una vulnerabilidad basada en la web. Luego adquirieron una imagen y comprobaron si podían encontrar la línea de tiempo de sus actividades.

Mi otra pregunta: ¿se considera aceptable instalar una herramienta o un servicio en una máquina remota para adquirir una imagen Forense o se considera que daña la integridad de la evidencia? Por ejemplo, conectarme a una instancia de EC2 usando un escritorio remoto e instalar una herramienta que me permita conectarme para adquirir una imagen remota.

    
pregunta Shadowmania 11.01.2015 - 18:54
fuente

2 respuestas

1

Intento no hacer esto, pero esto es en gran medida un sí y no una respuesta.

Herramientas como FTK Remote Agent se ejecutan como un servicio en el sistema. Un investigador puede conectarse a esas herramientas y realizar tareas (como extraer una imagen remota de ese sistema en particular). Si ingresara al centro de datos de AWS y pudiera obtener acceso a nivel de consola e instalarse en lugar de ejecutar sus herramientas desde allí, estaría haciendo algo muy similar (y en realidad mejor, ya que tiene menos red para posibles problemas.

Si su objetivo es preservar el estado de la máquina en lo que se relaciona con AWS, es posible que extraer una imagen de la máquina virtual no sea la forma en que desea hacerlo. El método más preferible sería clonar los archivos virtuales que conforman su sistema AWS.

Intento pensar en entornos virtuales y forenses de esta manera, ¿qué preferiría tener, una copia de los archivos que conforman el estado de un sistema operativo o una copia del contenedor que tiene todo el estado del sistema operativo? en lo que se refiere a su entorno actual.

FTK le proporcionará un clon de su sistema operativo desde la perspectiva del sistema operativo en un formato (lo más probable es que sea ISO), pero si pudiera extraer los archivos de AWS que conforman la máquina virtual completa, tiene, OMI, evidencia forense más sólida.

    
respondido por el Shane Andrie 03.07.2015 - 16:41
fuente
0

Usted está en lo correcto. Sí, usar algo como FTK Remote Age es lo mismo, sin embargo, tiene la diversión adicional de que es potencialmente un sistema en vivo, por lo que las cosas están cambiando mientras trabaja.

En un entorno del mundo real, tiene razón, contaminaron la evidencia (un GRANDE no-no), y lo más probable es que sea inadmisible en una sala del tribunal. El escenario más probable implicaría obtener el permiso de los tribunales para solicitar a Amazon una instantánea / clon de esa máquina virtual en particular que luego se puede examinar.

Probablemente, la mejor manera es utilizar algunas de las capacidades de creación de instantáneas de la VM, ya que hay algunas herramientas que pueden funcionar con archivos como VMDK (VMWare) con bastante facilidad para que los investigadores puedan realizar sus tareas.

    
respondido por el daark 03.02.2015 - 10:32
fuente

Lea otras preguntas en las etiquetas

Vector de ataque: Proveedor de servicios de Internet [cerrado] Solución de vulnerabilidad de POODLE: Efecto en el lado del cliente o del cliente