公安部第三研究所所长助理研究员jinbo@stars.org.cn云计算取证挑战和最新进展金波•云计算是能以简便的途径和以按需的方式通过网络访问可配置的计算资源(网络、服务器、存储、应用、服务等)的一种计算模式。云计算•云计算一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。•云服务通过云计算已定义的接口提供的一种或多种能力。2017年中国公有云(主要指IaaS、PaaS)市场规模将超过150亿元,基于大数据、人工智能等带动的云计算消费将进一步提升公有云的市场需求和空间。--IDC•企业、个人的应用和数据从终端设备向云端迁移。网络犯罪、涉网犯罪行为,越来越多的涉及到云环境下计算资源–2014年,部署在阿里云上的某知名游戏公司,遭遇了当时全球互联网史上最大的一次DDoS攻击,攻击流量峰值达每秒453.8GB–2016年,乐视视频遭到了DDOS攻击,峰值流量达200GB,持续了约一天–需要云取证,调查网络攻击、恢复攻击痕迹、确定攻击源、明确攻击者取证需求•企业、个人的应用和数据从终端设备向云端迁移。网络犯罪、涉网犯罪行为,越来越多的涉及到云环境下计算资源–2014年iCloud漏洞导致个人照片外传,2017年京东泄露50亿条个人信息–2016年,浙江余姚“3·11”等6起利用云盘传播淫秽色情信息牟利案件,涉案淫秽视频数量共达百万余部,涉及360云盘、“115网盘”、乐视网盘等云存储–云取证:及时处置阻断、犯罪行为取证调查取证需求网络犯罪已占犯罪总数近三分之一我们面临的最现实安全威胁主要来自网络空间--孟建柱,2016年10月173万(2015年)173万(2015年)1、2013年1月1日正式实施,将电子数据明确为证据的一种类型2、最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)•云平台数据收集•已收集数据的分析•面临的反取证挑战•尚无取证标准•取证技能欠缺•取证体系结构云取证面临的主要困难体系结构数据收集数据分析反取证取证标准技能培训•数据的定位困难–IP、云平台账号、域名……•数据的固定保全困难–云存储动态伸缩–云服务器释放–云平台应用痕迹云取证所面临的挑战-数据收集•资源定位的困难–云平台通常提供WAF等防控措施,根据涉案域名,也难以准确获取域名对应的IP地址–云服务器的IP地址属于云平台的IP地址池,随着云服务器的释放、IP地址也随之释放并分配给其他服务器使用,难以根据IP地址确定涉案服务器云取证所面临的挑战-数据收集•固定保全困难–云平台的资源共享特点,使得涉案的虚拟服务器所挂载的虚拟硬盘等存储数据处于离散的状态–部分云服务提供商甚至采用了动态伸缩的存储技术,虚拟服务器释放出来的空间会被立即分配给其他的虚拟服务器使用–此外,云计算环境下涉案主机通常数量众多,数据调取只能通过云服务提供商进行。不仅数据调取困难,而且数据调取的速度也非常慢–E租宝案调取了300多台虚拟服务器,调取耗时近半年云取证所面临的挑战-数据收集•已收集数据的分析困难•静态分析困难–镜像格式无法识别–海量证据数据难以分析–删除数据无法恢复•动态分析困难–已获取镜像无法组网仿真云取证所面临的挑战-数据分析•静态分析困难–数据分析是云取证的另外一项挑战。云服务提供商为了统一的服务器管理,通常会对服务器操作系统进行定制化的开发,导致提取的镜像难以识别分析–在无法进行仿真分析的情况下,对大量的涉案云服务器存储镜像进行逐一取证将导致效率非常低下,大量隐藏在业务流程中的信息将被丢失–在存储格式无法识别的情况下,已删除的文件也难以通过文件系统及签名进行恢复分析云取证所面临的挑战—数据分析困难•动态分析困难–仿真分析是对服务器进行取证的一项重要手段,通过对仿真启动的应用进行分析取证,将能够极快的梳理清楚业务逻辑–云服务器的操作系统是定制化系统,拿到了服务器镜像文件也无法在常规服务器上进行仿真–云服务器通常数量众多,服务器之间的通联关系受到了云平台上的虚拟路由、虚拟防火墙的多重控制,在线下非常难以模拟出相似的环境云取证所面临的挑战—数据分析困难•反取证是云取证所面临的又一项挑战•用完即删是云平台的一大特点,但是也给反取证提供了便利–云服务器销毁极其迅速,以阿里云为例,释放一台ECS仅需数分钟云取证所面临的挑战-反取证•时效性在对抗反取证方面极为重要–时效性是云服务器取证的重要特性,服务器承载大量的用户请求与服务,重要证据信息可能迅速被垃圾数据淹没甚至覆盖–在云服务器被释放之前做好快照,是抵御云服务器证据丢失的近乎唯一手段•以某涉黑客案件为例,从定位到涉案服务器IP到通过复杂的流程及手续联系服务提供商固定保全服务器的数据之后,相关的活动痕迹信息已经被黑客清理干净云取证所面临的挑战-反取证云取证必须要落实运营商的主体责任要有合规的要求云服务协助调查取证安全管理要求公信安[2017]1142号•第一条【宗旨与依据】–为规范云服务提供者协助公安机关收集提取电子数据,提高案件办理质量,根据《中华人民共和国刑法》、《中华人民共和国刑事诉讼法》、《中华人民共和国反恐怖主义法》、《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》、《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等有关法律法规和规范性文件,制定本要求。第一章总则•《中华人民共和国刑法》•《中华人民共和国刑事诉讼法》•《中华人民共和国反恐怖主义法》•《中华人民共和国网络安全法》•《计算机信息网络国际联网安全保护管理办法》•《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》法律依据•GB/T32399-2015信息技术云计算参考架构•GB/T32400-2015信息技术云计算词汇与概览•GB/T25069-2010信息技术信息安全技术术语•GA1277-2015信息安全技术互联网交互式服务安全保护要求•GA1278-2015信息安全技术互联网服务安全评估基本程序及要求•GA/T756-2008数字化设备证据数据发现提取固定方法•GA/T976-2012电子数据法庭科学鉴定通用方法标准基础•云服务是指利用云计算技术,根据客户需要提供服务,实现资源的按需分配,按照租用服务的数量和时间收取费用的一种商业运营模式。在中华人民共和国境内建设、运营、维护云服务或以虚拟化为基础的互联网数据中心服务应遵守本要求。第二条适用范围第二章基本要求案件报告技术建设制度建设人员要求机构要求第三章数据留存第四章协助取证云取证技术解决方案取证流程和指南取证技术、工具和平台云服务商取证能力建设证据的类别•授权–在云计算取证中,对相关事件的取证首先需要得到授权,由司法机关或行政执法机关出具的办理云计算取证案件的相关法律文书。–检验实验室受司法机关或行政执法机关的委托授权时,应具备相关委托书。授权或委托文书中应明确调查取证的事项。•数据定位–应根据授权调查取证事项的需求及云服务类型明确调查范围,识别云计算平台中潜在的涉案相关的计算、存储与网络资源。云取证过程•数据提取或冻结,根据涉案电子数据的具体特征制定相应计划,采取提取或冻结电子数据–对适宜数据提取的应制定证据收集提取的计划,计划应包括人员、仪器设备、采用的标准规范应细化为具体的实施步骤、待收集数据的清单、对可能的意外情况的防范措施等–对不便提取的数据应制定数据冻结的计划,计划应包括人员、仪器设备、冻结的技术方法、待冻结的数据清单、对可能的意外情况的防范措施等。云取证过程•完整性一致性保护,对提取或冻结的数据应采取相应的完整性保护–云计算环境下对提取的电子数据应及时复制并计算和记录完整性校验值–云计算环境下对冻结的电子数据完性性保护可采取以下一种或几种方法•计算完整性校验值•锁定相关账号•其他防止增加、删除、修改电子数据的措施云取证过程云取证系统•用户建立取证任务,上传案件信息•案件信息审核•云平台提供商将案件相关数据固定保全后推送至云取证分析平台•用户在平台上选择取证方式,包括证据数据下载、自主取证和委托第三方鉴定机构取证工作流程取证对象待取证对象数据库文件存储云通信易失性数据取证及虚拟仿真系统及应用数据Web服务器使用痕迹操作系统使用痕迹删除文件记录系统及应用数据应用在取证云上进行虚拟仿真时,对易失性数据进行取证分析易失性数据取证RDS、Redis、MongoDBMemcache数据库数据库对象对象存储OSS、块存储、文件存储、归档存储、CDN数据文件存储对象短信服务、流量服务、语音服务记录、私密专线使用记录、移动推送使用记录、邮件推送使用记录、消息服务使用记录云通信使用痕迹云取证系统虚拟仿真固定保全完整性保护专家远程取证自动化取证谢谢•公安部第三研究所•所长助理研究员•jinbo@stars.org.cn金波