基于云架构的计算机取证研究
时间:2022-09-09 05:35:09
摘 要:取证证据必须遵循及时、合法、多备份、远离不安全因素等原则,传统计算机取证无法满足海量证据存储、及时分析的需求。云计算具有高效计算、虚拟化、并行处理等特点,适于解决当前计算机取证领域新的需求。基于云架构的计算机取证模型具有能够解决海量数据分析的问题、提高设备利用率、解决取证人才紧缺以及缩短取证时间等优势。但云的复杂环境存在诸多不安全因素和隐私问题,对计算机取证具有极大的挑战,应对这些挑战亟待业界人员的共同努力。
关键词:云计算;计算机;取证;证据
中图分类号:TP399;D918 文献标识码:A 文章编号:1674-4853(2012)02-0060-04
自2006年Google提出云计算技术,云计算越来越被业界关注。2008年Nicholas Carr认为云计算也是信息技术中同样的变革。\[1\]当前机构需要自身提供计算资源,而在将来,机构可以接入到云计算(计算网格)中以获得所需的计算资源。
一、云计算概念
(一)云计算
事实上,云计算的演变从1990年左右开始,经历了网格计算、效用计算、软件即服务(SaaS)几个阶段。云计算可以这样定义:云计算是一种计算模式,在这种模式中,应用、数据和IT资源以服务的方式通过网络提供给用户使用。\[2\]云计算也是一种新的基础架构管理方法,大量的计算资源组成IT资源池,用于动态创建高度虚拟化的资源,并提供给用户使用。云计算具有资源的弹性,可以提供IT资源的解决方案,可应对出现使用高峰时的状况。云计算是计算机资源公共化在商业模型上一个重要革新。云计算为用户提供花费很少的成本便可以得到超级计算机的处理能力的解决方案,越来越被人们所关注。
(二)代表云
根据云与企业间的关系,云可以分为私有云、公共云和混合型云。云计算将可扩展的IT能力作为一种服务交付给用户,是计算机技术的商业实现。
Google是云计算的最大实践者。Google Docs是云计算的一种重要应用,即可以通过浏览器的方式访问远端大规模的存储与计算服务。Google App Engine是Google的PasS(平台即服务)产品,用于Google基础设施上搭建和托管网络应用程序。Google Apps是Google为企业电子邮件及协作的SasS(软件即服务)产品。
亚马逊是互联网上最大的在线零售商,同时也为独立开发人员以及开发商提供计算能力、存储以及其他服务。按照亚马逊的说法,亚马逊Web服务(Amazon Web Service,AWS)使你可以“利用的全球计算基础设施”。亚马逊弹性计算云(Elastic Compute Cloud,EC2)可以在云计算中提供可调整大小的计算能力。用户可以通过接口创建服务器实例(Instance),而付费方式则由用户的使用状况决定,即用户仅需要为服务器活动的小时数付费,运行结束后计费也随之结束。
IBM蓝云计算平台为客户带来即买即用的云计算平台。它通过架构一个分布式、可全球访问的资源结构实现数据中心在类似于互联网的环境下运行计算。“蓝云”基于IBM Almaden研究中心(Almaden Research Center)的云基础架构,包括Xen和PowerVM虚拟、Linux操作系统映像以及Hadoop文件系统与并行构建。
(三)云计算特点
云计算有以下5个特性。
1.多重租赁。云计算以前的计算模式都是基于专门的资源,即专有的计算设施。而云计算是基于网络层、主机层及应用层的业务模式,即多个用户分享同样的资源。
2.大规模可扩展性。机构可能已有成百上千的系统,云计算提供了可以扩展到上万个系统的能力以及大规模扩展带宽和存储的能力。
3.弹性。用户可以根据自己的需要调整所用的计算资源,将闲置无用的资源释放,供其他用户使用。
4.随用随付。用户无需花费大量资金自行配备大量的资源,只需对实际使用的资源及时长进行付费即可。
5.自行配置资源。在云计算环境下,用户可以根据需要,自主使用大环境中的软件、存储、运行能力、网络资源等。\[3\]
简言之,现阶段云计算的特点有:超大规模,“云”均拥有几十万台服务器;可扩展性,“云的规模可以动态伸缩,以满足应用和用户规模增长的需要;高通用性,“云”可以支撑用户的计算需求;高可靠性,“云”使用了数据多副本容错、计算节点同构可互换等措施,最大程度地降低了错误的概率。
二、云计算在计算机取证领域的应用
(一)计算机取证
计算机取证\[4\]由IACIS(International Association of Computer Specialists)在1991年国际计算机专家会议上首次提出。计算机取证也称数字取证、电子取证,是对获取的电子证据进行分析、发现、提取和出示的科学检验过程;是为证明通过使用计算机或虚拟空间(网络)所从事的犯罪行为而采用电子证据获取和分析技术;是查找并发现恢复删除的,揭示隐藏的可以用于证据的数据。取证结果的可行性和有效性依赖于计算机信息技术。如何利用最新的计算机技术解决安全问题也是计算机取证技术的核心问题。计算机证据具有易受损性,所以计算机取证必须遵循严格的程序要求。计算机取证的原则是:
1.及时性。证据具有一定的时效性,尽早收集电子证据,并保证其没有受到任何破坏。
2.合法性。整个检查、取证过程必须是受到监督的、符合法律法规的以及可为法庭所接受的。
3.多备份。至少应制作两个副本,因为不可直接对原始数据进行分析,以确保证据的不可更改性。副本用于进行取证分析。
4.环境安全性。计算机证据应妥善保存,远离高磁场、高温、潮湿、腐蚀性化学品等。另外还要防止人为破坏证据。\[5\]
(二)单机取证
2000年以前计算机取证的研究主要是对工具的研究,如数据恢复工具、证据分析工具。从2001年数字化取证研究工作组DFRWS(Digital Forensic Research Work Shop)举办第一次会议开始,才真正开始电子证据的研究,开始将证据的自动化提取,证据的调查流程等技术作为一门科学。
单机取证是指对一台离线计算机(包括存储设备)进行证据获取。单机取证依赖于以下几种技术:数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。单机取证的软硬件取证工具比较成熟,例如取证工具TCT、Encase等可以将被删除或者格式化的磁盘中的计算机证据恢复出来;FTK可以找出磁盘隐藏的数据流,破解加密文件密码,获取口令等等。美亚电子数据取证是国内取证软件商家之一。该公司提供的取证工具主要包括以下几种。
1.DC-8800取证魔方。该魔方具有高速硬盘复制、批量快速取证、自动取证分析和动态仿真取证技术。
2.DC-8103多功能高速硬盘复制机。该复制机具备专业级位对位硬盘复制、硬盘镜像等,还可实现对硬盘进行哈希值校验、硬盘擦除等操作。
3.DC-800存储卡获取设备。实现对各种数码存储卡和USB接口的存储设备进行镜像获取。
单机取证方式效率低,需多人介入;错误率增加,需要传递证据的实物;损坏几率增大。
(三)网络取证
随着计算机网络技术的迅猛发展,极大地改善了人们的生活和工作方式,但同时也为犯罪活动提供了新的空间和手段。网络安全技术如访问控制、数据加密、入侵检测等,不可能从根本上解决计算机犯罪问题,因此需要充分发挥社会和法律的强大威慑力。网络取证技术在这种形势下产生和迅速发展的,主要收集网络通信的数据信息,从中获取电子数据证据,重构犯罪现场,为诉讼案件提供可靠有效的证据。网络取证依赖于以下几种技术,即网络侦听和监视技术、网络入侵追踪技术、漏洞扫描技术、数据过滤技术、人工智能和数据挖掘技术等等。
网络取证模型如图1所示,网络取证模型主要由网络取证机、网络取证分析机和被取证机三部分组成。网络取证机收集和保存网络数据信息;网络取证分析机使用数据挖掘等分析技术对证据进行关联分析,以图表的方式显示分析结果;被取证机是被取证的计算机,通过软件模块将网络通信信息以实时的方式发送到取证机。网络取证实时获取网络数据,能够重构网络犯罪现场,有力地打击和防范网络犯罪分子。但网络带宽呈高速发展态势,如何分析所产生的海量数据成了新的难题。
(四)云取证模型
云取证有非常明显的特点。
1.数据安全可靠。存放在你自己电脑上的数据有可能会因被病毒攻击或不小心刮伤而导致数据无法恢复,同时数据也存在着因疏于防范而让不法之徒所窃取。云计算数据存储中心有着专业的团队来管理信息,所以将数据存放在数据存储中心可以不用担心数据丢失和病毒入侵等麻烦。
2.便于数据共享。不同设备的数据同步方法种类繁多,操作复杂,将数据存储到数据存储中心,可以通过严谨的权限管理策略轻松实现不同设备间的数据和应用的共享。
3.“瘦”客户端。云计算对用户端的设备要求最低,使用起来也非常方便。\[6\]
云取证结合云计算的高效计算、虚拟化、并行处理等特点,利用服务器虚拟化技术仿真涉案的硬盘系统,利用现阶段较为成熟的云计算并行计算技术,支持静态和动态的取证调查,利用现阶段的云数据存储技术,收集并保存涉案的证据。云取证模型见图2。
证据收集中心完成证据数据的获取。利用云计算的资源弹性将海量证据存储在“云”存储中。云存储是一个最可靠、最安全的数据存储中心,无需担心数据丢失和病毒入侵等麻烦。
证据分析中心存储海量证据数据并进行关联分析。通过“云”实现信息资源共享,避免局部有限的信息查询,达到实现大范围的关联分析,尽可能地挖掘犯罪证据。
控制中心是取证系统管理平台,统一协调管理证据介质的接入、计算机证据的获取及存储、取证分析等。取证人员通过IE方式即可访问控制中心,不需要额外配备各种软硬件取证工具,避免取证系统的重复建设。
实现取证资源共享、GPS取证、在线解析、关联查询等功能,实现设备、信息等资源整合共享,既避免了重复投资与建设,也提高了设备利用率,可以实现异地送案异地取证分析,解决了取证人才紧缺的局面,同时也节省了时间,大大提高了社会效益与经济效益。
三、云计算安全对计算机取证的挑战
随着云计算技术的不断成熟和完善,我们在享受云计算的同时也发现了云计算的不安全因素和隐私问题。目前网络犯罪主要通过以下几个方面完成:黑客攻击、分布式拒绝服务(DDos)攻击、网络钓鱼、域欺骗、恶意软件、木马、病毒等。2010年3月云安全联盟CSA(Cloud Security Alliance)一份云计算最大的威胁报告,总结了7个最常见的风险,即滥用和恶意使用云计算、不安全的接口和API、不怀好意的内部人员、基础设施共享问题、数据丢失问题或泄漏、账号或服务劫持以及未知风险。下面我们来探讨云计算对计算机取证带来的一些问题。
(一)黑客可以利用相关信息侵入到云计算服务中
一般说来,云计算服务提供商不会公开与他们的主机平台、主机操作系统以及保障主机安全的流程等相关的信息,因为黑客可以利用这些信息侵入到云计算服务中。这对取证人员获取证据带来不便。所以急需相关的法律法规,以确保云计算服务提供商建立起合适的预防和监测手段,尽量配合云计算环境下取证的要求。
(二)将重要的数据交付给第三方托管,安全性和有效性得不到保障
在云计算环境中,要使用云计算服务,用户采用基于web的应用软件并且将大量的数据放置到网络上,几乎所有的数据都在云中传输、交换、保存和更新。\[7\]将这些重要的数据交付给第三方托管,安全性和有效性得不到保障,2008年12月Colin Percival指出亚马逊Web服务(AWS)漏洞。\[8\]目前还没有数据保护法的法律来规范。对云计算提供商的网络运行进行审计(更不要说基于自身网络进行实时监控)基本上是不太可能,哪怕是事后审计也很困难。能够获得的网络层面的日志和数据不多,而且全面进行调查并收集取证数据的能力也是相当有限的。
(三)云计算环境下获得的海量数据分析出有效的证据有限
云计算环境持续运行时,持续写入数据有可能使涉案的电子证据消失,导致证据不可重现,从而需要维持获取证据的长期稳定性。云计算环境下所获得的海量数据中分析出有效的证据也是有限的,难以确定某时间点确切的证据位置。另外,云计算的地域分布广,跨管辖权取证难度较大。
四、结束语
云计算在计算机取证领域中的应用模型能够避免重复性设备投资,提高办案效率,省时省力。上面提到云计算安全问题也给取证领域带来难题,如何获取并掌握有力的证据是一个关键点。云计算环境下本地终端获取证据,其证据较为有限,如一些遗留在本地的文件、网页缓存、历史记录等。但云计算环境下很多行为都是在网络上完成的,使用的数据很多被存储在不同的云环境中,所以需要从云端相关节点去查找和获取涉案的痕迹和违法证据。云计算环境的复杂性需要我们维持获取证据的长期稳定性,司法授权和云计算服务提供商的积极参与起着至关重要的作用。我们需要进一步完善法律法规,制定出适用于各类云计算环境的并得到司法认可的取证原则。
参考文献:
\[1\]\[美\]尼古拉斯?卡尔.IT不再重要:互联网大转换的制高点——云计算\[M\].闫鲜宇,译.北京:中信出版社,2008:81-178.
\[2\]欧阳璟.山雨欲来风满楼——云计算趋势一览\[J\].程序员,2008(11):282-286.
\[3\]刘戈舟,杨泽明,刘宝旭.云计算安全与隐私\[M\].北京:机械工业出版社,2011:13-16.
\[4\]National Institute of Justice (U.S.).Electronic crime scene investigation:a guide for first responders\[M\].U.S.Dept.of Justice,Office of Justice Programs,National Institute of Justice,2001:1-4.
\[5\]丁丽萍.论计算机取证的原则和步骤\[J\].中国人民公安大学学报:自然版,2005(1):70-73.
\[6\]戴士剑,申一纹.云模式下网络犯罪侦查与取证研究\[J\].信息网络安全,2011(4):32-34.
\[7\]张俊,麦永浩.云计算环境下仿真计算机取证研究\[J\].信息网络安全,2011(10):7-9.
\[8\]Colin Percival.AWS signature version 1 is insecure\[EB/OL\].( 2008-12-18)\[2012-02-24\] ..
