Tekniska möjligheter inom molnforensik - Molnforensik: En litteraturstudie om tekniska utmaning

5. Resultat

5.2. Tekniska möjligheter inom molnforensik

Under denna rubrik så kommer de tekniska möjligheter att presenteras som identifierades under insamlingsfasen och analyseringsfasen.

5.2.1. Tekniska möjligheter under insamlingsfasen

Det är möjligt att be en molnleverantör om hjälp för att identifiera och extrahera data från molnet förklarar Lopez et al. (2016). Rani och Geethakumari (2015) menar att när ett brott har begåtts med hjälp av molnet går det att isolera en virtuell maskin för att behålla integriteten. Detta görs för att förhindra att bevis blir kontaminerat och ändrade så att en IT-forensisk analys sedan kan utföras.

Rani och Geethakumari (2015) menar att i SaaS och PaaS hämtas loggar för att avgöra vad som har hänt och i IaaS är det möjligt att hämta en ögonblicksbild eller diskavbildning av en virtuell maskin.

Raju och Geethakumari (2019) anser att inom molnforensik så är en ögonblicksbild av en virtuell maskin den bästa metoden för att hämta bevis. Flera molnleverantörer erbjuder möjligheten att utföra en ögonblicksbild, några exempel är molnleverantörer som Azure och Amazon Web Services.

Birk och Wegener (2011) listar även några hypervisors som har möjlighet att utföra ögonblicksbild, dessa är Xen, Hyper-V och VMware ESX. Lopez et al. (2016) menar att även Citrix och Proxmox har möjlighet till ögonblicksbild. Enligt Almulla et al. (2016) så är en ögonblicksbild inom molnmiljön en kopia av en virtuell maskins lagring och dess metadata vid en viss tid. Det är en kopia av ett tillstånd som en virtuell maskin befinner sig i vid tiden då ögonblicksbilden utförs. Med hjälp av en ögonblicksbild så går det att återskapa en virtuell maskin till just det tillstånd den var i när en ögonblicksbild utfördes, vilket även inkluderar minnet. En ögonblicksbild används främst för att exempelvis återställa en virtuell maskin om ett fel inträffar och för att säkra sin data, men fungerar även för att analyseras av en IT-forensiker. Denna ögonblicksbild går att hämta för att få möjligheten att utföra en analys. Fördelarna med att använda sig av en ögonblicksbild är att den går att hämta även om en virtuell maskin är avstängd och de andra användarna i molnet inte blir påverkade.

Dykstra och Sherman (2012) menar att det är möjligt att ta en ögonblicksbild på en påslagen virtuell maskin för att sedan använda ögonblicksbilden för analys och även utföra liveanalys mot den.

Birk och Wegener (2011) anger att när en fil blir borttagen i molnet så kommer det utrymme som filen lagrades på i en hårddisk inte längre vara allokerat. Detta leder till en möjlighet för en IT-forensiker att se över hårddisken efter data som inte längre är allokerat och på så sätt hitta statiskt borttagna data för att samla in som potentiellt bevis.

Ahmed Khan och Ullah (2017) menar att det är möjligt att samla in loggar från molnet med hjälp av molnleverantören. Det går även att extrahera loggar från en virtuell maskin med hjälp av verktyg som FTK. Picah et al. (2015) förklarar att om det finns tillkomst till ett hanteringssystem som Amazon AWS har så är det möjligt att hämta diskavbildningar av en virtuell maskin och loggar. Om Amazon används som molnleverantör så går det även att extrahera loggar med hjälp av CloudTrail. Cloudtrail är en loggningstjänst som finns inom Amazon AWS som loggar API förfrågningar, detta kan användas för en IT-forensisk utredning. Loggar kan extraheras från en specifik S3 hink utan att en molnleverantör behöver hjälpa till. Enligt Birk och Wegener (2011) så går det att hämta applikation- och systemloggar från PaaS utan någon hjälp av molnleverantören, detta är möjligt eftersom en API

27 används som i sin tur loggar användarnas förfrågningar. I SaaS är det svårare att hämta loggar för användaren, i detta fall så måste oftast en molnleverantör hjälpa till. I SaaS är det dock möjligt att hämta information från klienten som använde sig av tjänsten. Chung et al. (2012) menar att eftersom molntjänster oftast används genom en webbläsare så finns möjligheten att extrahera bevis från klienten som anslöt sig till molnet.

Enligt Lopez et al. (2016) finns det en möjlighet att utföra en liveanalys på en virtuell maskin i molnet för att samla in bevis. Här kan bevis som applikationer, processer och nätverksinformation samlas in.

Pichan et al. (2015) menar att en liveanalys kan utföras på en aktiv virtuell maskin för att samla in information som processer, öppna nätverksportar, och volatila data som minnet. Även Almulla et al.

(2014) anger att minnet kan innehålla viktigt bevis som lösenord, krypteringsnycklar och användarnamn. En liveanalys är ett av de bättre sätten för att hämta bevis från en virtuell maskin i molnet, speciellt om ingen statisk lagring finns tillgänglig. Ajay Kumara och Jaidhar (2017) menar att en metod för att utföra en liveanalys är att använda sig av en introspektion av en virtuell maskin som även kallas för ”VMI”. Med hjälp av VMI så går det att analysera innehållet i minnet på en live virtuell maskin. Enligt Manral et al. (2019) så går det även att övervaka en virtuell maskin i realtid från hypervisor nivån med VMI. För att kunna utföra en introspektion av en virtuell maskin så menar Roussev et al. (2016) att det krävs hjälp av en molnleverantör för att få tillgång till hypervisor nivån.

Dykstra och Sherman (2012) lyckades att göra en diskavbildning genom att ansluta med RDP in till en virtuell maskin som låg på Amazon EC2. Genom att skicka över verktygen FTK Agent och EnCase Servlets till den virtuella maskinen så kunde en avbildning och extraktion utföras. Dykstra och Sherman (2012) använde även verktygen Fastdump, memoryze och FTK imager för att göra en dump av minnet. De lyckades inte med att jämföra hashvärdet mellan den virtuella hårddisken och den hämtade diskavbildningen eftersom de inte hade åtkomst till den. Om tillgång till den virtuella hårddisken finns är detta en möjlighet för att samla in bevis.

5.2.2. Tekniska möjligheter under analyseringsfasen

Ruan et al. (2011) menar att genom att analysera loggar som är extraherade från molnet går det att identifiera viktig information för en IT-forensisk utredning. I exempelvis en åtkomstlogg från en Amazon S3 hink kan information om förfrågningar att finnas som IP-adresser, tid och datum vid en förfrågning och vad som förfrågades. Enligt Letavay et al. (2019) är det möjligt att få ut information från metadatan av nätverksloggar även om kommunikationen är krypterad. Information som fortfarande går att få ut är användarnamn, enheter som har använts och applikationer.

Birk och Wegener (2011) menar att eftersom molnet används genom en webbläsare så är det möjligt att analysera data från klienten som anslöt sig till molnet, detta är möjligt främst för SaaS och IaaS.

Chung et al. (2012) förklarar att på en klientdator så går det att hämta historik, loggar, cache, kakor och nedladdare filer från en webbläsare. Vissa molnleverantörer ger ut applikationer som en användare kan installera på sin dator, dessa applikationer kan också analyseras för att ta reda på vad som har hänt. När en applikation installeras på Windows så finns det även spår i registret, loggar och databasfiler. Genom att analysera en dator som en klient har använt så är det även lättare att skapa en tidslinje. I de fall Dropbox används så är det möjligt att hitta spår i filerna ”config.db” och

”filecache.db” som finns på en klient. Den första filen ”config.db” innehåller information om de senaste filerna som användaren har öppnat, ändrat på, flyttat eller tagit bort. Denna fil innehåller även mejladressen till användarkontot som har använts. Den andra filen ”fileache.db” innehåller

28 tidsstämplar om när en fil blev skapt och modifierad. Reedy (2020) skriver om en studie där de har lyckats hämta ut artefakter från molnleverantörerna SpiderOak, pCloud och JustCloud. På en dator med operativsystemet Windows och även på en iOS enhet lyckades de att identifiera artefakter som visade att en applikation från en molnleverantör fanns tillgänglig. I en webbläsare så hittade dem mejladresser, användarkonto och namnet på nedladdade och uppladdade filer till molnet. De såg även att hashvärdet på en fil inte blev ändrad vid uppladdning eller nedladdning från molnet. På maskinen med Windows så lyckades de även hitta användarnamn och lösenord i minnet när pCloud användes. På en Android enhet så hittade dem användarnamn, mejl och andra spår av kommunikation med molnet. På maskinen med Ubuntu var det möjligt att identifiera användarnamn och lösenord i minnet tillsammans med namn på filer som har laddats upp.

Birk och Wegener (2011) anger att när en ögonblicksbild har blivit hämtad från insamlingsfasen så kan en analys sedan utföras mot den genom en live virtuell instans. Almulla et al. (2016) menar att det går att extrahera information från en ögonblicksbild utan att köra den i en virtuell instans. Detta gjordes möjligt genom att använda en ögonblicksbild av formatet ”.xva” som hämtades från virtualiseringstekniken Xen och analysera den med verktyget DFF. De kunde extrahera metadata som visade information som exempelvis vilket operativsystem, IP-adress, port och mac-adress som användes. Genom att sedan gå djupare med verktyget DFF så lyckades de hämta textfiler, mediafiler och mejl. I studien gjordes ett test där tre filer togs borts på tre olika sätt. Dessa tre sätt att ta bort filerna var genom att markera filen och ta bort, ta bort med ”rm” kommandot och ”shred”

kommandot. De lyckades att återskapa och extrahera alla tre filer. Cox et al. (2018) förklarar att det även är möjligt att se om rootkit finns närvarande på en virtuell maskin genom att analysera en ögonblicksbild av minnet. Ruan et al. (2011) menar att det går att hämta borttagna data med en ögonblicksbild genom att analysera äldre ögonblicksbilder om de finns tillgängliga. Roussev et al.

(2016) menar att eftersom en virtuell maskin är lik en fysisk maskin så går det att använda de traditionella IT-forensiska verktygen mot en ögonblicksbild för att utföra en analys.

Alqahtany et al. (2017) menar att det går att utföra nätverksforensik genom att analysera nätverkstrafiken i molnet. För att kunna analysera kommunikationer i molnet så finns det flera verktyg som kan användas, verktygen som hänvisas till är Wireshark, TCPFlow och RCPDump.

Lopez et al. (2016) anger att när det är stora volymer av data som ska analyseras kan datautvinning användas. Det finns flera metoder för datautvinning som klassificering, avvikelsedetektering och entitetextraktion.

6. Analys

Artiklarna har nu analyserats och sammanställt ett resultat med hjälp av de teman som identifierades. Genom att utföra en analys på resultatet så var det möjligt att kategorisera tekniska utmaningar och möjligheter för att sedan sammanställa dessa i modeller. Dessa modeller kommer att presenteras i detta kapitel och ger svar på forskningsfrågan som ställdes. Analysen kommer att presenteras genom att samma typ av rubriker, som användes för att presentera resultatet under kapitel 5, kommer att användas. Först kommer tekniska utmaningar under insamlingsfasen att analyseras, efter det kommer tekniska utmaningar under analysfasen att analyseras och till sist kommer möjligheterna att presenteras.

6.1. Tekniska utmaningar under insamlingsfasen

Genom att analysera kapitel 5.1.1 gick det att kategorisera tekniska utmaningar under insamlingsfasen för att sedan skapa en modell, kategoriseringen skapades efter vad informationen representerar. I figur 3 nedan, finns modellen över tekniska utmaningar som identifierades under insamlingsfasen.

Under kategorin identifiering av data finns det en utmaning i att lokalisera både den geografiska platsen och även vilken lagringsenhet datan finns i. Denna lokalisering blir svårare om det är ett publikt eller ett hybridmoln som används, denna utmaning kan bli mer problematisk ju fler användare som finns och ju mer data som en molnleverantör hanterar. En utmaning som finns när datan ska identifieras är att datan inte är centraliserad, vilket kan innebära att datan kan ligga utspridd över flera lagringsutrymmen.

Figur 3: Modell över tekniska utmaningar under insamlingsfasen (Författarens egen)

30 Under kategorin traditionella verktyg finns utmaningen att vid SaaS så används den fysiska disken till största del som en cache och att den data som kan vara av intresse för en IT-forensiker är i rörelse.

Detta leder till att en bit-för-bit kopiering blir problematisk att utföra. Om en bit-för-bit kopiering skulle utföras så måste även en fysisk tillgång till lagringsutrymmet vara tillgänglig, är den inte tillgänglig så blir det en utmaning. Detta leder till ännu en utmaning, även om fysisk tillgång är möjlig så kan data vara utspridd över flera lagringsutrymmen. Det finns även flera virtualiseringsplattformar i molnet och om ett IT-forensiskt verktyg ska användas så måste det verktyget vara applicerbart mot just den plattformen som används. Verktygen kan behöva anpassas till virtualiseringsplattformarna och skrivas om.

I kategorin extraktion av data finns en utmaning som innebär att den data som ska extraheras ska ske på ett sätt som inte påverkar andra användare, detta blir en utmaning då flera användare delar på en och samma disk. Datan får heller inte bli kontaminerad av de andra användarna som finns på den fysiska maskinen och användarnas personliga integritet ska bibehållas när en utredning utförs.

Om bevis behöver isoleras för att förhindra kontaminering så måste även det ske på ett sätt som inte berör andra användare. Abstraktionslager påverkar vilken data som kan hämtas. En virtuell maskin kan inte komma åt de bevis som finns på högre abstraktionslager, eftersom en virtuell maskins resurser endast körs i den virtuella maskinen, och på så sätt blir isolerad från de högre abstraktionslagren. När data ska extraheras så finns även samma utmaning som listades i kategorin identifiering av data och traditionella verktyg, vilket är att datan inte är centraliserad.

Kategorin integritet på bevis innehåller utmaningar som exempelvis innebär att en anställd hos en molnleverantör kan hämta bevis åt en IT-forensiker. Då är det viktigt att beviset blir hämtat på ett sätt som behåller integriteten så att beviset ska kunna användas i utredningen, om beviset hämtas på ett sätt som behåller integriteten så är det sedan viktigt att beviskedjan behålls intakt. Det är viktigt att loggarnas integritet behålls, detta blir en utmaning eftersom flera användare kan dela på en och samma lagringsenhet. Denna lagringsenhet är även åtkomlig för flera datorer och olika parter. Om en IT-forensiker eller en anställd av molnleverantören ska utföra en liveanalys är det viktigt att personen som utför det har kunskapen som behövs. Om en liveanalys skulle utföras på ett felaktigt sätt så kan integriteten på beviset som hämtas bli ifrågasatt.

Inom kategorin loggar finns en utmaning som innebär att en molnleverantör kan hjälpa till med att hämta loggar. Vissa molnleverantörer loggar inte allt, vilket blir problematiskt. Utan en molnleverantörs hjälp så kan endast applikationsloggar hämtas ut från SaaS och PaaS och loggarna är inte centraliserade. Loggar genereras i olika lager, vilket kräver olika rättigheter för att nå, vilket blir en utmaning utan en molnleverantörs hjälp. Kategorin virtuell maskin i volatilt tillstånd innebär att en virtuell maskin kan befinna sig i ett volatilt tillstånd om inte statisk lagring har anskaffats av användaren. Detta är en utmaning om en virtuell maskin stängs av eller startas om, då kommer det inte längre vara möjligt att hämta den data som fanns på den virtuella maskinen.

I kategorin statisk borttagna data så finns utmaningar som påverkar återskapandet av borttagna data, när en fil tas bort så försvinner mappningen till den filen på ett lagringsutrymme. Platsen på lagringsutrymmet blir oallokerat vilket i sin tur tillåter att skrivoperationer kan köras och skriva över filen med annan data, detta leder till att filen inte längre går att återskapa. Eftersom det finns flera användare på samma disk i molnet så blir det många skrivoperationer vilket minskar tiden då en fil går att återskapa. Vissa molnleverantörer har olika sätt att hantera borttagna data, vilket kan leda till

31 att det inte kommer vara möjligt att återskapa borttagna data. Om data ska hämtas från en backup kan det bli problematiskt då vissa molnleverantörer endast har ett begränsat antal backups eftersom de hanterar så pass stor volym av data. En ögonblicksbild är ett bra sätt för att avgöra vad som har hänt i en virtuell maskin, skulle dessa ögonblicksbilder tas bort och inga nya är möjliga att ta blir det en utmaning.

I kategorin nätverksforensik så finns utmaningen att avlyssna data, eftersom en hårdvara som placeras för att avlyssna nätverkstrafik måste placeras vid en upplänk. Nackdelen med det är att ingen intern trafik kommer att spelas in. En migration kan även utföras på en virtuell maskin och förflyttas utanför räckvidden för hårdvaran, och på så sätt undvika avlyssningen. Även om nätverkstrafik avlyssnas kan kryptering användas för att göra datan oläsbar. Ju mer användare det finns hos en molnleverantör desto mer trafik kommer att färdas, vilket kommer leda till att det blir mycket data att undersöka och blir tidskrävande.

In document Molnforensik: En litteraturstudie om tekniska utmaningar och möjligheter inom IT-forensik mot molnet (Page 32-37)