1 70 Table of Contents 72 84

Red Seguridad 090

red seguridad tercer trimestre 2020 71 4. Dificultad a la hora de utilizar las herramientas tradicionales en este tipo de investigaciones que requie- ren de su adaptación a un entorno en cloud . ¿Qué hago con la clona- dora de discos? ¿Y con el maletín tan chulo que había adquirido con un montón de cables e interfaces diferentes? 5. Complicaciones a la hora de acce- der a los archivos de LOG y, en general, para obtener pruebas forenses, ya que los sistemas están distribuidos y/o son virtuales. Las posibles evidencias, por lo tanto, están dispersas y, en el peor de los casos, compartidas con otras com- pañías que también utilizan esos mismos sistemas en el cloud o, incluso, en diferentes países. 6. Distintos proveedores con múlti- ples formas de proceder y enten- der el cloud , por ejemplo: AWS, Amazon EC2 o Amazon S3 en el caso de Amazon pero GCP, Google Compute Engine o Google Cloud Storage para Google y Azure, Azure Virtual Machines o Blob Storage en el cloud de Microsoft, respectivamente. 7. Dificultad para recuperar datos borrados. Lo que es fundamental en una investigación forense tra- dicional, en el cloud se convierte en una tarea ardua y complicada dada la volatilidad y movilidad de los datos y la gran cantidad de información involucrada. Forense en 'cloud' Aun así, siempre con paciencia, habiendo tramitado los permisos y autorizaciones necesarias y dispo- niendo de la ayuda indispensable del CSP, realizar un análisis forense en un cloud público es posible y necesario. Las fases son las mismas que un análisis forense típico. No obstante, sobre todo durante las primeras eta- pas de análisis y adquisición/recolec- ción de datos, es preciso adaptar las tareas a realizar: demasiada elastici- dad, ubicuidad, abstracción, volatili- dad y compartición de recursos. Lo primero es identificar el modelo de servicio utilizado y el tipo de nube. Es decir, si es un cloud público, priva- do o híbrido. No es lo mismo plantear un análisis forense en entornos IaaS, PaaS o SaaS. A medida que aumenta el nivel de abstracción modelo Saas (sobre todo donde el CSP lo ges- tiona todo, aplicaciones, plataforma e infraestructuras), las posibilidades de realizar un análisis eficiente se reducen, porque interactuar con la infraestructura existente es cada vez más complicado. También es impor- tante tener identificado el proveedor de cloud (CSP), ya que se aborda de distinta manera el análisis a ejecutar si se está en Azure, GCP, etc. A continuación, es necesario recopilar las evidencias y proceder a su posterior análisis. En el cloud se habla de snapshots o imáge- nes instantáneas y no de discos clonados. Con herramientas como AccessData FTK o el conocido EnCase es posible recuperar datos volátiles y no volátiles. La desven- taja es que resulta imposible validar la integridad de los datos. Es viable restaurar esos snapshots en una máquina virtual local y proceder a su análisis para obtener información del estado de ejecución y realizar un análisis forense tradicional que per- mita continuar con la investigación correspondiente. Por último, no se debe olvidar la importancia de mantener la cadena de custodia correctamente. Contar con la presencia de un fedatario público no es solo recomendable, sino necesario para validar que el procedimiento utilizado es adecuado y que dispone de todas las garan- tías jurídicas. En un entorno donde la copia física ha desaparecido y es tan volátil, resulta de vital importancia mantener las evidencias lógicas y sus respectivas copias, estableciendo la correcta integridad de los datos mediante conceptos "HASH". Referencias: - NIST Cloud Computing Forensic Science Challenges: https://csrc. nist.gov/publications/detail/nis- tir/8006/final - Identifying Evidence for Cloud Forensic Analysis: https://csrc. nist.gov/publications/detail/con- ference-paper/2017/08/31/identi- fying-evidence-for-cloud-forensic- analysis - Cloud Forensics by Kumar Shivam: https://medium.com/@ kumarshi- vam_66534/cloud-forensics-be18e- 14230de forense monográfico Siempre con paciencia, habiendo tramitado los permisos y autorizaciones necesarias y disponiendo de la ayuda indispensable del CSP, realizar un análisis forense en un 'cloud' es posible y necesario

RkJQdWJsaXNoZXIy ODM4MTc1