Tekniska utmaningar under analysfasen

Genom att analysera kapitel 5.1.2 gick det att kategorisera tekniska utmaningar under analysfasen för att sedan skapa en modell, kategoriseringen skapades efter vad informationen representerar. De tekniska utmaningar som identifierades under analysfasen finns tillgängligt nedan i figur 4.

Kategorin anti-forensik består av flera utmaningar som gör det problematiskt för en IT-forensisk utredning. Om en diskavbildning eller ögonblicksbild hämtas in så kan den misstänkta använda anti-forensik för att försvåra det för en IT-anti-forensiker. Det finns mjukvaror som förstör bevis, omöjliggör att datan går att återskapa och hela hårddisken kan även rensas. Det går att skapa falskt bevis som leder till att en IT-forensiker kommer att utföra en felaktig analys. Steganografi och gömd skrivning kan användas för att gömma filer för en IT-forensiker. Även krypteringsmjukvaror kan användas som listas i kategorin kryptering, dessa mjukvaror kan användas för att förhindra arbetet för en IT-forensiker. Mjukvaror som TrueCrypt och Encrypt kan installeras på en virtuell maskin för att kryptera och göra data oåtkomlig. Vissa molnleverantörer har även en funktion där datan som ska läggas upp på molnet krypteras hos en användare innan uppladdning sker.

Figur 4: Modell över tekniska utmaningar under analysfasen (Författarens egen)

32 Kategorin tidslinje innefattar utmaningar som existerar där en tidslinje behöver framkallas. Flera fysiska maskiner i molnet kan vara utspridda över flera geografiska platser, detta kan leda till att de finns i olika tidzoner. Bevis som hämtas när datan är utspridda leder till att det kommer vara svårt att skapa en tidslinje när exempelvis loggar hämtas från olika tidzoner. En virtuell maskin kan använda sig av olika källor från vart de hämtar tiden ifrån, om exempelvis en svensk person har en virtuell maskin så kan svensk tid användas. Skulle datacentret där användaren kör sin virtuella maskin använda en annan tid kan det bli problematiskt att skapa en korrelation mellan tiderna. Det är även möjligt att ändra tidstämplar på loggar och filer i ett operativsystem för att försvåra en utredning för en IT-forensiker. Att identifiera vilka loggar eller filer som har blivit ändrade är en utmaning.

I molnet så kan det vara stora volymer av data som har samlats in, detta kan leda till att bevis missas och att analysen blir tidskrävande. I kategorin digital härkomst är det en utmaning att få ut metadata om ett objekt, speciellt i SaaS. Att hämta metadata kan bli problematiskt under analysen om något konto skulle bli utnyttjat eller om olagligt material skulle laddas upp. Om det inte är möjligt att lista ut vem eller när det hände blir en IT-forensisk utredning svår. Detta gäller enbart vissa molnleverantörer.

I kategorin loggar finns det flera utmaningar, en av dem är att det kan vara mycket loggar som är i olika format. När dessa loggar ska analyseras så kommer det att vara tidskrävande eftersom varje logg behöver behandlas olika. En del applikationer har möjlighet att använda olika loggformat, vilket loggformat som används beror på hur en molnleverantör har valt att implementera det. I vissa applikationer finns det inget standardiserat sätt för att skapa loggar. På en virtuell maskin så kan loggarna bli manipulerade av en misstänkt och på så sätt visa felaktig information för en IT-forensiker, detta är en utmaning som kan äventyra en IT-forensisk utredning. Det är möjligt att hämta nätverksloggar hos en bredbandsleverantör som kommunicerar med ett moln för att avgöra vad som har hänt, nackdelen med detta är att det kommer att vara mycket trafik och det blir svårt att identifiera rätt kommunikation. Nätverkstrafiken kan även vara krypterad och oläsbar.

6.3. Tekniska möjligheter under insamlingsfasen

Genom att analysera kapitel 5.2.1 gick det att kategorisera tekniska möjligheter under insamlingsfasen för att sedan skapa en modell, kategoriseringen skapades efter vad informationen representerar. I figur 5, nedan, presenteras de tekniska möjligheter som identifierades under insamlingsfasen.

I kategorin bevis på en klient så går det att extrahera bevis från klienten som anslöt sig till molnet.

Detta är en möjlighet eftersom molnet oftast nås genom en webbläsare av en användare eller av en applikation från molnleverantören. Genom att samla in data från användarens dator kan det hjälpa till i en utredning för att avgöra vad som har hänt. I kategorin integritet på bevis är det möjligt att isolera en virtuell maskin för att förhindra att bevis blir kontaminerat av de andra användarna och på så sätt minska chansen för att integriteten ska brytas.

33 Figur 5: Modell över tekniska möjligheter under insamlingsfasen (Författarens egen)

I kategorin identifiering av data finns det en möjlighet att identifiera vart datan ligger med hjälp av molnleverantören. Samma möjlighet finns under kategorin extrahera data, skulle det inte gå att extrahera data på egen hand så är det möjligt att be molnleverantören om hjälp. Utan en molnleverantörs hjälp går det att använda ett hanteringssystem för molntjänster om det finns tillgängligt. Med detta hanteringssystem går det att skapa en diskavbildning och även ögonblicksbilder från IaaS utan en molnleverantörs hjälp. Det går även att utföra en diskavbildning och dump av minnet på en virtuell maskin genom att ansluta med RDP och sedan använda verktyg som FTK och EnCase. För att detta ska fungera måste det gå att verifiera checksumman på den virtuella disken, för att säkerhetsställa att kopian är identisk så att integriteten är intakt.

En möjlighet är liveanalys, en liveanalys kan utföras på en specifik virtuell maskin för att samla in bevis som finns i volatilt tillstånd. Eftersom vissa virtuella maskiner befinner sig i ett volatilt tillstånd så är en liveanalys en metod som kan utföras för att samla in data. Det går även att utföra en introspektion av en virtuell maskin, detta är en liveanalys som utförs från hypervisor nivån på en fysisk dator för att komma i kontakt med de virtuella maskinerna. Nackdelen med detta är att en molnleverantör måste hjälpa till för att få den rättigheten som krävs för att utföra det.

En ögonblicksbild är ett fungerande sätt för att hämta en virtuell maskin för att sedan analysera ögonblicksbilden. Med hjälp av en ögonblicksbild går det att återskapa en virtuell miljö tillsammans med lagring och minne. Finns det ingen ögonblicksbild tillgänglig så går det att skapa en ögonblicksbild på en virtuell maskin som antingen är påslagen eller avstängd. En annan positiv sak med en ögonblicksbild är att flera molnleverantörer och hypervisors erbjuder det. I kategorin statisk borttagna data finns det en möjlighet att identifiera och återskapa borttagna data genom att se över de delar av en hårddisk som inte längre är allokerat.

Den sista kategorin innefattar möjligheter inom loggar. Här är det möjligt att be molnleverantören om hjälp för att extrahera loggar, i vissa fall måste detta göras eftersom vissa loggar kan ligga utanför en IT-forensikers rättigheter. Om ett hanteringssystem för molntjänster skulle finnas tillgängligt och åtkomst finns, så är det möjligt att hämta loggar från det. I de fall där Amazon används har de ett loggningssystem som heter CloudTrail, från detta går det att extrahera loggar ifrån. Det finns även en möjlighet att hämta applikations- och systemloggar från PaaS eftersom en API används, då denna API

34 loggar användarnas förfrågningar. Genom att använda verktygen FTK så finns det en möjlighet att extrahera bevis som loggar från en virtuell maskin.