云计算环境下电子取证技术的研究
云计算环境下电子取证技术的研究
摘要:云计算的快速发展,不仅给社会带来了巨大的经济收益,同时伴随着大量的犯罪活动,也给电子取证专业人员带来了巨大挑战。本文针对云计算原理及电子取证技术的特点,首先介绍了电子数据的来源及在云环境下取证流程,然后分析了在云计算环境下取证的意义,最后探讨了云计算环境下的安全风险及取证面临的问题。
关键词:云计算;电子数据;云取证
0引言
随着云计算的不断成熟和完善,我们在享受云计算带来便捷的同时,也发现云的不确定性和危险性。尤其针对司法部门,在云计算环境下的电子数据调查取证是一个敏感而迫切的需求,本文将尝试从取证的角度和云计算的安全性进行阐述和梳理。
1云计算(Could Computing)
云计算是2007年由Google 提出的新技术,它是并行计算、分布式计算和网格计算等计算机技术和网络技术的融合和发展。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS 、PaaS 、MPS 等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的的核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并按需享受“云”的强大计算处理能力。著名咨询机构Gartner 将云计算定义为“云计算是利用互联网技术将庞大且可伸缩的IT 能力集合起来作为服务提供给多个客户的技术”。
云计算的原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据的运行将更与互联网相似。这使得能够将资源切换到需要的应用上,根据需要访问计算机和存储系统。
2电子数据取证
电子数据取证通常也称为计算机取证,是指对取证人员如何按照符合法律规范的方式,[1]
对能够成为合法、可靠、可信的,存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。数字证据一般情况下是指关键的文件、图片
和邮件,有时候则应要求重视计算机在过去工作中的细节,比如入侵取证、网络活动状态取证等。
计算机取证技术发展不到20年,其中美国取证技术的发展最具有代表。根据我国具体的国情,我们一般将电子数据取证定义如下:电子数据取证是用于科学原理以及经过科学实践检验的方法,发现、收集、固定、提取、分析、解释、证实、记录和描述电子介质存储的电子数据,以发现案件线索,认定案件事实的科学。
这一定义包含以下几个方面的内涵:
1)电子数据鉴定是一门科学。在2000年以前,人们对电子数据取证的研究主要是对工具的研究,比如数据恢复工具或证据分析工具(如最为著名的FTK 和ENCASE )。人们更多的是基于传统的数据关键字的精确匹配、模糊匹配以及一些简单的分析方法,使用特定的工具对电子数据进行分析。但是随着计算机犯罪的增加,人们逐步认识到电子数据取证并不仅仅是“使用工具对数据分析的技术”,而是一门综合多方面技术的科学学科。
2)电子数据取证必须依托于科学原理以及经过科学实践检验的方法。这就要求我们使用的工具、分析原理是科学的、经过实践检验的。具体到取证工具而言,就要求我们使用的电子数据固定、分析工具本身经过实验、使用的技术原理符合科学原理。
3)电子数据取证包含发现、收集、固定、提取、分析、解释、证实、记录和描述电子介质存储的电子数据等多个步骤。电子数据取证过程是多个环节构成的技术体系。
4)电子数据取证的目的是发现案件线索、认定案件事实。发现案件线索是指通过电子数据取证,发现有助于确定和拓展侦查方向的数据。认定案件事实指通过电子数据取证,出具认定案件事实主体、客体、主观方面和客观方面的分析结论。
客观来说,电子数据取证技术并不是一门单独的技术和科学,而是属于计算机技术学科的范畴,它的发展和应用是依托于计算机科学的持续性发展。因此,在公安、司法系统中,电子数据取证结果的可行性和有效性就依赖于是否能够应对最新的计算机信息技术,融合、采用最新的技术解决处理正在发生或即将发生的问题也就成为取证技术的核心目标。
3云取证
在云计算时代,电子取证的机遇和挑战是并存的。其机遇在于将云计算用于传统的电子取证中,是取证工作事半功倍。其挑战在于在云计算的复杂环境下的信息犯罪的取证工作更
难开展。
3.1云取证的电子数据来源
电子取证的第一步是收集数据,首先得确定数据源。依据云计算环境下的数据存储的分布性,在确定数据时,需要选择的主要数据来源分为以下三种[2]。
1)云计算开发方,在云计算环境下,用户的很多行为都是直接在网上完成的,譬如在线的各种文档编辑。在司法授权的前提下,可以直接从云计算开发公司获取节点数据,从该节点数据处去查找网络环境下的涉案使用痕迹和违法证据。比如美国在线(AOL )在公共网页上向研究人员发布了65万名用户的搜索词语,另外,微软和雅虎在去年向调查一宗儿童色情案的美国司法部披露了一些搜索数据。
2)客户端,客户端主要会存在很多的动态信息,比如内存信息、进程状况、缓冲区信息、文件碎片等。当犯罪嫌疑人在云中从事犯罪活动,其本地客户端势必会一流部分由残余电子数据,可以从中查找相关数据。传统的取证方法也能在其中加以使用。
3)云服务提供商,云服务提供商是在云计算开发方提供的云下的提供子云(子服务)。在某些案件重要性和数量达不到去云计算开发方那里取证时,可以从云服务提供商那里调取证据。而且云服务提供商在地域范围方面相对较小,对证据的收集固定有利。
3.2电子取证的流程
安全人员在计算机环境下进行取证活动,既要保障所取得的证据材料在诉讼审查阶段被采纳,又要保证证据材料的证明力,使其在质证过程 中被采信。证据能力主要符合三个标准:关联性标准、合法性标准和真实性标准。证据证明力主要要综合考察可靠性、完整性和充分性。取证人员在取证过程中的各个环节都得保证证据的能力和证明力。
云端运算取证流程有别于传统的取证流程,如下:
1) 确定取证的目的,这点根据不同的案件特征有所区别,总会有自身的取证目的。
2) 确定云端服务类型,云端服务类型包括云端设备、云端软件和云端平台。不同的服务类型在取证中面临着不同的机遇和挑战。
(1)在云端设备中,客户端信息极有可能在终端短暂存在,传统的取证方法仍然可能适用。但是,在云端设备中,无法现场取证和存取不稳定的数据,多租户存储设备可能会污染采集的数据,不同租户的日志记录可能会设在同一地点或散落在多个不断变化的装置中,采
集数据可能需要大量带宽和时间,数据的碎裂和分散和所有权的问题影响数据的采集。
(2)在云端软件中,很多信息可能用来取证调查,包括应用程序和验证记录,极有可能在终端短暂存在的客户信息、供应商端设备包含的基本访问信息等。云端软件的功能可能可以协助网络取证。但是,在云端软件中,传统的采集信息方法几乎不可能,日志记录和细节存取取决于云端服务提供商。云端软件可能有不同云端服务提供商提供,另外,云端服务提供商的程序可能很复杂,会很难甚至不可能分析。其应用程序流程相互隔离,系统性质更加专有。
(3)在云端平台中,可以在客户端取证,适用网页服务器或虚拟操作系统的相关取证方法。但是日志记录依靠云端服务提供商之环境,系统性质同样会更加专有。
3) 确定背后技术类型,技术类型是指云计算开发方、客户端和云服务提供商。
4)在环节3)的基础上,针对某技术类型进行具体的取证工作。对于云计算开发方,收集完整证据,确定上传证据使用的工具,确定与云服务提供商时间的一致性。对于云服务提供商,首先与云服务提供商沟通以保全证据,从云服务提供商收集日志和完整的证据。对于客户端,确定用户在客户端的角色,使用现场取证工具收集在客户端上进行的活动。
3.3云计算对取证的意义
上文中介绍了云计算和电子数据取证的内容及特点,当具体到取证领域的应用时,云计算构架的引入则能为我们带来:
1)整合资源,统一协调管理证据介质接入、证据获取、证据存储、自动式分析、密钥恢复、环境重现等功能;2)不限制客户端位置,只要能够接入公安、司法系统专用网的节点(或通过互联网VPN 接入方式)都可以通过安全控制进行远程操作;3)客户端要求最低,不需安装各种取证工具、系统,只要通过IE 方式即可访问,避免了取证系统的重复建设;4)各地可以构建多个私有云或将所有私有云整合成“云团”,实现资源信息共享,提供有限的信息查询或远程协同、远程协助,并能够多范围关联查询分析;5)在安全许可权限足够高的前提下,能够远程调度所有云里的计算资源为一个或多个任务服务,实现多人单任务、多人多任务、单人多任务的并发工作;6)除了介质交接、信息检查及判别、介质物理修复无法在云上完成,原传统取证模式中的其他部分均可通过云来处理,并统一生成报告、管理存储并分发;7)对应用系统内的全国范围的云网,在具备一定规模和资源的情况下,还可以提供相应的云服务,
如取证GPS 、IM 信息查询、取证资源共享、密钥在线分析、邮箱取证、关联分析等。 4云计算环境下的安全风险[3]
虽然云计算给电子取证工作带来了很大的便捷,但是由于云计算环境本身所具有的安全风险,所以取证人员在取证过程中应谨慎使用。2009年CAS (Could Security Aliance,云安全联盟)发布的一份云计算安全风险简明报告总结了7条最为常见的风险。
1)滥用和恶意使用云计算,由于云计算环境中数据和计算的高度密集中,攻击者能够低成本的使用云服务来实施各种攻击,如:密码破解、DDoS 、恶意软件、垃圾邮件和僵尸网络控制器等。云计算服务很容易滥用、恶意使用服务的工具。
2)不安全的接口,云服务的安全性和能力取决于API 的安全性,用户用这些API 管理和使用相应的服务。但是,开发过程中的安全测试、运行过程中的渗透测试,以及测试工具、测试方法等都还不成熟,将会带来安全威胁。
3)内部员工的滥用,在对云供应商程序和流程缺乏足够的认识时,恶意的,有时候甚至是善意的云服务商员工可能会滥用权力访问客户的数据及应用。Verizon Business 最新的数据泄漏调查报告显示,48%的数据泄漏时由于内部员工滥用所致。
4)基础设施共享问题,资源的虚拟池化和共享是云计算的根本,但这种共享典型的代价就是安全性降低。从2007年开始,主流的虚拟层软件经常会出现一些漏洞,目前,针对虚拟层的安全研究已被广为重视。
5) 数据丢失或泄漏,人们在使用云计算,特别是公共云时,数据泄漏是令人担心的。不正确的访问控制或弱加密回导致各种数据风险,另外,多用户共享的构架会导致不安全的数据风险增大,这些都会影响到数据的完整性和机密性。
6)账号或服务劫持,在云环境中,如果攻击者能够窃取账户信息和服务,就能够截获和重定向客户和云流量,从而不但影像数据的完整性和机密性,还会影响个人和企业的声誉。
7)未知的风险,云计算服务商和用户之间存在很大的信息不对称。一方面,用户没有必要也没有足够的资源去去全面洞察“云”中的所有细节;另一方面,云服务提供商出于商业机密和安全考虑,也不情愿分享所有的关键信息。在这种情况下,云计算的用户必然需要处理大量的位置安全风险。
5云取证面临的问题
由于上文提到的云计算环境下的安全风险,针对云计算的犯罪频频发生,而其取证难度也将加大[4]。将云取证面临的问题分为三个方面,分别是技术方面、组织结构方面和法律方面。
1)技术方面,在技术方面面临的问题主要涉及在云计算环境下取证工具与过程。
(1)采集数据,云取证数据采集是要在云环境下可能的数据源中鉴别、标识、记录和获取电子数据。在跨管辖区时,云中的数据不再保存在一个确定的物理节点上,而是由服务商动态提供存储空间,这可能分布在不同的地区或国家,因此采集完整的犯罪证据变得相当困难,这在数据的高度复杂性以及数据的交叉污染都会给数据的原始性、完整性和有效性带来挑战。另外,根据云中数据的易挥发性,数据采集顺序相当重要,易丢失的数据要首先被固定并获得。
(2)数据分析,由于云计算环境下的数据特性,需要制定一个机制来描述被收集的数据的时间、空间范围与相关性分析。在云计算环境下获取的数据必然是在时间或空间上一定范围内获取的。按照取证的要求,这些数据的语义必须与数据本身具有同样的信任程度。在云计算环境下,收集到的数据中,很多数据的格式和描述都是专有的,或者是分布式系统中发现的一些敏感的瞬时数据。此时,获取语境和系统状态等是至关重要的。
2)组织结构方面,在云取证过程中,至少要涉及的两个主题是云服务提供商和客户端。事实上,这也是云计算组织结构重要组成部分。云计算提供商和云计算应用大都依赖其他的云计算提供商和云计算应用,这样就形成了一个依赖链,这种服务服务提供商和客户端之间的依赖是动态变化的。在这种情况下,取证调查很大程度上依赖于多条依赖链和依赖链的复杂性。任何断链或者链上的任一主体的协调缺失都将影响取证过程和取证结果。
3)法律方面,在电子取证中,多管辖区和多租户带来了许多法律问题。在云环境下,这种情况更为严重。法律要求,电子取证不得违反当地管辖区的法律,还不能威胁到其他租户的数据安全。
6结束语
电子数据取证是一门近几年来兴起的采取证科学、计算机科学和行为证据分析等学科为一体的多交叉学科。电子取证虽然在云计算环境下得到了很好地利用,但随着云计算技术的飞速发展及其安全性问题也给公安、司法机关在取证过程中带来了挑战,云计算环境下的取证问题还会有很多有待深入探究、分析和解决。总的来说,随着云计算的普及,取证技术手
段也将会不断发展进步。
参考文献:
[1]夏荣。云计算技术在电子数据取证领域的应用研究[J]。 信息网络安全,2011, (08):51-5.
[2]张超。云计算环境下的电子数据调查与取证[J]。信息网络安全,2010,(11):52-54.
[3]丁秋峰,孙国梓。云计算环境下取证技术研究[J]。信息网络安全,2011,(11):36-38.
[4]宋蕾,李俊莉。云环境下的计算机取证[J]。河南科技,2011,(01):56-57.