Embed Size (px)
Citation preview
Forensik in der Cloud:
Eine Vorhersage für forensische
Untersuchungen in virtualisierten Umgebungen
09. November 2012
Rainer Poisel
Institut für IT Sicherheitsforschung
Fachhochschule St. Pölten
IT Security
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 2
Quelle: http://de.statista.com/statistik/daten/studie/169271/umfrage/prognostizierter-umsatz-mit-cloud-computing-weltweit-seit-2008/
1255515504
1928624438
3053337619
45801
55108
65513
77186
90233
104917
121397
0
20000
40000
60000
80000
100000
120000
140000
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
Prognostizierter Umsatz mit Cloud Computing weltweit
in den Jahren 2008 bis 2020 in Millionen Euro
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 3
Einleitung
> Überblick über die Präsentation
• State-of-the-Art
• Hypervisor-Forensics
• Herausforderungen und Chancen
> Cloud Computing
• Effiziente Ressourcennutzung
• Basiert auf Virtualisierung
> Cloud Computing im Aufschwung
• von 40% aller KMUs genutzt
• Einnahmen von 30.533 Mill. US$
Quelle: http://digitalsmind.com/images/stories/images/funny/funny_signs/cloud-computing-david-fletcher.jpg
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 4
Introduction
> Business-Modelle
• IaaS
• PaaS
• SaaS
> Cloud Infrastrukturtypen
• Private Clouds
• Community Clouds
• Public Clouds
Quelle:http://cloudcomputersupes.files.wordpress.com/2012/02/cloud_20.jpg
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 5
Introduction
> Cloud Forensik
• Technische Dimension
Datenakquise
Forensik-Modell (live, post-mortem)
Virtualisierte Umgebungen
• Organisatorische Dimension
Organisatorische Unternehmensstrukturen
Abhängigkeitskette
• Rechtliche Dimension
Verschiedene Rechtssysteme
Service Level Agreements
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 6
Existierende Forensik-Frameworks
> Vorgehensweisen zur
• Akquise, Handhabung, Analyse, Dokumentation und Präsentation
digitaler Beweismaterialien
> Der forensische Prozess (First Responder’s Guide)
• Akquise
• Untersuchung / Analyse
• Reporting
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 7
Existierende Forensik-Frameworks
> Weitere Frameworks
• DFRWS Investigative Process Model
• NIST SP800-86
• ACPO Guidelines
• Digital Forensic Evidence
Examination (Cohen, 2010)
• SABSA model applied to
Digital Forensics Investigations
• BSI: Leitfaden IT-Forensik
Source: http://cloudtechnologyafrica.blogspot.co.at/2012/04/lighter-side-of-cloud-helpdesk.html
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 8
> Zwei Cloud-Forensik Szenarien:
• Untersuchung von Cloud Infrastrukturen
• Untersuchung mit Cloud Infrastrukturen
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 9
Untersuchung von Cloud Infrastrukturen
> Etablierte Digital Forensik Vorgehensweisen / Modelle
• werden in dieser Umgebung ungültig
• Betroffene Bereiche
Unbekannt während der Akquise, Identifizierung und Präservierung
Einsatz von Intrusion Detection Systemen (IDS)
Problem elastischer Speichersysteme
> Beweismittelkette
• Auswirkungen der Entferntheit
Zugriff auf Geräte
Einfacher mit Iaas als mit SaaS/PaaS
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 10
Untersuchung von Cloud Infrastrukturen
> Einschränkungen
• Bitweise Kopien können nicht angefertigt werden (ACPO Guidelines)
• Hybridform aus post-mortem und live-forensics Methodik
> Isolierung von Instanzen
• Verschieben von Instanzen
• Server Farming
• Sandboxing
• Man-in-the-Middle (MitM)
> Kryptographie
> Flüchtigkeit und Elastizität
> Mangel an Tool-UnterstützungQuelle: http://1.bp.blogspot.com/-HffJrOkxhLk/T8QC5An7QYI/
AAAAAAAAAAw/L9sTs-C4Boc/s1600/
Drawn_wallpapers_Funny_cloud_005897_.jpg
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 11
Digitale Untersuchung mit Cloud
Infrastrukturen
> Security as a Service (SecaaS)
> Forensics as a Service (FaaS)
> Nutzen/Chancen
• Large-scale Storage
• Hohe Verfügbarkeit
• Massive Computing Power
> Forensische Anwendungen
• MapReduce
• GRR Rapid Response Framework
• Distributed Password Recovery /
Hash Cracking
Source: http://cloudtechnologyafrica.blogspot.co.at/2012/04/lighter-side-of-cloud-helpdesk.html
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 12
Digitale Beweismittel in Cloud
Infrastrukturen
> Zunehmende Zahl an interagierenden Systemen
> Verschiedene Rechtssysteme
> Verschiedene Zustände der Beweismittel
• In Ruhe
• In Bewegung
• In Ausführung
> Provisioning im Cloud Computing
> Verwendung von Logging Facilities
> Verlust von Regelungsdaten
> Business-Process-as-a-Service
(BPaaS)
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 13
Hypervisor Forensics
> Ziel: Auswertung der Betriebsinformationen
> Informationen im Speicher:
• Laufende Prozesse
• Informationen über das Netzwerk
• Kryptografische Schlüssel (Passwörter)
• Code (z. B. Malware)
• …
Memory Forensics
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 14
Hypervisor Forensics
> Hypervisor
• aka Virtual Machine Manager (VMM)
• Zuordnung/Management von Computing Resourcen
> Verwendung von Daten des Hypervisors
• Virtual Machine Introspection (VMI)
XenAccess, LibVMI
• Intrusion Detection Systems (IDS)
• Ereignisgesteuerte Speicherabbilder
> Klassen digitaler Beweismitel
• Gespeicherte Information, Information ohne eindeutigem
Speicherort, Information betreffend den Betrieb
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 15
Hypervisor Forensics
> “Semantic Gap”
• Formales Modell
> Out-of-Band delivery
• Zugriff auf virtualisierte Umgebungen über den Hypervisor
> In-Band delivery
• Info-Beschaffungskomponente Bestandteil des Systems
> Derivation
• Wissen über die Hardware des zu untersuchenden Systems
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 16
Hypervisor Forensics
> Transparentes Überwachen und Protokollieren von
Datenzugriffen
• Kausale Zugriffskette
> Beweismittelakquise ist so möglich
• Existierende Arbeiten fokusieren
hauptsächlich auf kleinere Arbeiten
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 17
Hypervisor Forensics
Source: http://www.bryanpayne.org/storage/libvmi/vmi-overview.png
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 18
Hypervisor Forensics
> XEN
• Zugriff per LibVMI
• Paravirtualisierung vs. Hardware-unterstützte Virtualisierung
> KVM
• Zugriff per LibVMI (Theorie)
• Zugriff über Monitorapplikation
> VMWare ESXi
• VMsafe API: vCompute, vNetwork und VDDK
> Microsoft Hyper-V
• LiveKd und LiveCloudKd
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 19
Hypervisor Forensics
> Werkzeuge zur Auswertung / Speicheranalyse:
• Volatility Framework:
https://www.volatilesystems.com/default/volatility
http://code.google.com/p/volatility/
• Mandiant Memoryze:
http://www.mandiant.com/resources/download/memoryze
• Mandiant Redline:
http://www.mandiant.com/resources/download/redline
• Volafox:
http://code.google.com/p/volafox/
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 20
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 21
Forensik in der Cloud: OpenStack
Quelle: http://docs.openstack.org/trunk/openstack-compute/install/apt/content/externals.html
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 22
Herausforderungen
> Flüchtigkeit der Informationen
• Daten entfernt gelöscht,physikalisch noch vorhanden
> Isolation & Privacy
• Instanzen können von anderen Benutzern kontaminiert worden sein
> Verschiedene Rechtssysteme
• Hardware in verschiedenen Ländern
> Eindämmung / Containment
• Unterbrechungen betreffen eine große
Zahl an Nutzern.
> Beweismittelkette
• Traditionelle Vorgehensmodelle sind
möglicherweise nicht anwendbar
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 23
Chancen
> GreenIT
• Optimierung des Energiebedarfes
> Standardisierung
• Cloud Foreniscs Vorgehensweisen
> Kosteneffizienz
• Planung der erforderlichen
Ressourcen
> Forensics as a Service (Faas)
> Robustheit
• Redundante Verfügbarkeit der
Ressourcen
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 24
Herausforderungen und Chancen
> Virtualisierung und Hypervisoren
• Korrelation von Beweismitteln verschiedener Hypervisoren
> Datenvolumen und Leistungsfähigkeit
• Große Speichermengen sind möglich:
Große (temporäre) Speichermengen
Speichermengen, die analysiert werden
müssen
> Zugriff auf Beweismittel
• Zugänglichkeit vs. Redundanz
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 25
Visualization
Venn-Diagramm der Herausforderungen und Chancen
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 26
Conclusion and Outlook
> Präsentation des “State-of-the-Art”s
> Diskussion der Herausforderungen und Chancen
• Technisch
• Rechtlich
• Organisatorisch
> Future Work
• Hypervisor Forensics; Problem der Rechenkapazität
• Erarbeitung eines soliden organisatorischen Frameworks
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 27
Any
questions?
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 28
Vielen Dank für Ihre Aufmerksamkeit!
ITSecX 2012 | 09. November 2012 | Rainer Poisel und Simon Tjoa 29
Kontaktinformationen
Dipl. Ing. (FH) Mag. Rainer Poisel
Institut für IT Sicherheitsforschung
Fachhochschule St. Pölten
Matthias Corvinus-Straße 15
A-3100 St. Pölten
T: +43 / (0)2742 / 313 228 / 637
F: +43 / (0)2742 / 313 228 / 609
I: http://www.fhstp.ac.at
