Red Seguridad 090

Introducción al análisis forense en entornos ‘cloud’ A ctualmente , disponer de un sistema en cloud , o utilizar profesionalmente lo que se conoce como computación en la nube, es tan habitual como leer el periódico online o relacionarse a través de redes sociales. Hace años que el cloud llegó para quedarse, y el hecho de que grandes compañías como Amazon, Google o Microsoft tengan sus propios entornos así lo demuestra. Conceptos como SaaS, PaaS, IaaS, on-site/on-premise , nube pública, nube privada, híbrida, etcé- tera, son ya parte de la jerga infor- mática habitual, incluso en entornos de usuarios no especialistas. Aunque su despliegue es tan masivo que en ocasiones se prima la funcionalidad por encima de todo, es necesario no perder de vista que toda nueva tecnología entraña riesgos y que una relajación en exceso implica con- vertirse en víctima de un incidente de seguridad. Nadie está exento y, al tratarse de sistemas en la nube, a priori accesibles desde Internet directamente, el nivel de exposición es mayor; con lo que una inadecua- da configuración deja nuestra nueva plataforma abierta a cualquier posi- ble atacante. Una vez que se sufre un ataque y se consigue contenerlo, toca volver a la normalidad e investigar qué es lo que ha sucedido para aprender y no volver a cometer los mismos errores. Durante el proceso de respuesta al incidente de seguridad, lo primordial es volver a la normalidad, restaurar los sistemas; por eso es complica- do preservar los datos pensando en una investigación forense posterior. Dificultad que se acentúa si se tiene en cuenta la volatilidad de los datos y los inconvenientes que presenta analizar algo sobre sistemas en cloud que no son directamente propios y que tampoco se tiene claro dónde están, si no se pueden ver, si no se pueden tocar… Inconvenientes Algunos de los inconvenientes más destacables que obligan a una evo- lución de lo que hasta ahora se entiende como informática forense tradicional son: 1. No se tiene el control sobre el hardware y los entornos en eje- cución que almacenan los datos corporativos de nuestra empresa en el cloud , no hay acceso a la infraestructura física. Se necesi- ta la colaboración de un tercero, el CSP ( Cloud Service Provider ), para realizar determinadas tareas fundamentales en una investiga- ción forense (solicitud de permi- sos y autorizaciones, ejecución de comandos concretos, etc.), y si no están especificadas a nivel contractual podemos obtener una negativa rotunda a facilitar según qué evidencias. 2. Cómo se garantiza la cadena de custodia, que es tan importante en un incidente de seguridad que incluso puede derivar en acciones penales. Antes, se clonaba el disco duro en cuestión y se depositaba el original en un notario, y ya era problema suyo; pero ¿ahora qué? 3. La legislación entre países es distinta, ya no en lo referente al código penal, sino incluso en lo que se refiere a la protección de datos. Normalmente, los sistemas en cloud no suelen estar en tu mismo país. ¿Quién es el "pro- pietario legal" de los sistemas? ¿Y de los datos? ¿La empresa prestadora del servicio (CSP)? ¿La compañía que explota y utiliza los sistemas en cloud que tiene con- tratados? 70 red seguridad tercer trimestre 2020 Iñaki Mora López Responsable de Advance Attack & Readiness Operations de Accenture Iberia opinión forense monográfico Óscar de Pedro Pérez Responsable de CFIR & IR de Accenture Iberia