Artigo
Artigo
Evidências nas nuvens
A computação forense tem como principal objetivo analisar informações armazenadas em meios digitais utilizando métodos científicos, matemáticos e legais, para que elas possam ser caracterizadas como evidências e, consequentemente, usadas como prova em processos jurídicos. Quando se aplicam dados armazenados na nuvem para uma possível investigação criminal, por exemplo, os provedores de serviços em nuvem enfrentam desafios quanto aos mecanismos de segurança que garantam a disponibilidade, a integridade e a confidencialidade desse conteúdo.
O processo de investigação pode ser dividido em quatro etapas: coleta, exame, análise e apresentação dos resultados. A partir de um incidente de segurança, ou de um evento de segurança, sobre os quais se queiram apurar fatos, os peritos convocados isolarão a área para a coleta dos dados que nas fases posteriores poderão esclarecer: 1. o que aconteceu; 2. como foi realizado o ato ilícito e 3. quem o praticou. E, a partir dessas, então, poderão apresentar os resultados da análise por intermédio de laudos.
Em uma organização de dimensões continentais pode não haver peritos disponíveis para abordagem inicial do objeto de investigação com boa relação custo-benefício. A melhor forma de superar essa dificuldade é ter agentes de segurança previamente treinados para realizar a abordagem inicial e proceder a coleta com garantia de boas práticas e preservação da cadeia de custódia. Outra opção é a coleta remota que trataremos a seguir, na abordagem do ambiente de nuvem.
Forensic as a Service: a computação forense como serviço
Nos casos de investigações criminais em ambientes tradicionais, é prática comum que a perícia computacional desligue o equipamento e realize uma cópia dos discos que será analisada posteriormente em laboratório. Isso é inviável num ambiente de computação em nuvem, tendo em vista a grande capacidade de armazenamento, questões jurídicas, distribuição geográfica e controle dos dados, que podem variar conforme o modelo de serviço contratado. Além disso, a falta de acesso físico para a coleta dos dados e a falta de controle sobre o sistema tornam a aquisição das informações uma tarefa desafiadora para a perícia em nuvem.
Por isso, a computação forense vem se reestruturando, trazendo novas técnicas, soluções e métodos investigativos, dando origem à cloud forensics ou perícia na nuvem. Assim, a chamada Computação Forense como um Serviço (Forensic as a Service – FaaS) dedica-se a solucionar os desafios de segurança inerentes ao ambiente de nuvem, disponibilizando ferramentas e recursos que organizam, filtram e integram as informações com outros sistemas.
A FaaS procura assegurar que os dados obtidos sejam armazenados de forma segura, tornando-os acessíveis aos técnicos e profissionais legais, atendendo ainda as legislações do país onde o serviço foi contratado para a realização da perícia na nuvem, conforme descreve Antonio Velho Jesues e outros autores na obra Tratado de Computação Forense, publicada em 2016 na cidade de Campinas, em São Paulo.
Frost: Forensics OpenStack Tools
Os métodos empregados para coletar evidências numa investigação em nuvem dependerão da natureza do caso. Assim, a recuperação de dados excluídos da nuvem pode estar limitada ao tipo de sistema de arquivo que o provedor utiliza em seu ambiente. Dessa forma, muitas ferramentas adotadas na computação forense, como EnCase Enterprise, AccessData FTK, Autopsy, entre outras, acabam sendo usadas para aquisição dos dados quando um provedor em nuvem não fornece ferramenta para coleta, ou mesmo em caso de uma nuvem privada.
Muitos estudos no campo da computação forense digital surgem devido à importância da evidência digital nas investigações criminais quando envolvem um ambiente tão complexo e diversificado como a computação em nuvem. Um dos estudos recentes publicados com ênfase no ambiente OpenStack – plataforma de computação em nuvem Open Source para criação de nuvens públicas ou privadas – trata do Forensics OpenStack Tools (Frost).
Frost é um conjunto de ferramentas de computação forense digital, responsável por coletar dados do provedor de nuvem, logs de API, firewall e discos virtuais e disponibilizá-los através de uma interface de gerenciamento onde os usuários podem controlar e gerenciar seu ambiente de nuvem. O Frost opera no plano de gerenciamento de nuvem sem que seja necessária a interação com o sistema operacional das máquinas virtuais, trazendo maior confiabilidade dos dados coletados.
Sob a óptica da segurança, é importante que as organizações que prestam serviços em nuvem tenham um processo claro, com bom nível de conformidade com as políticas e a prática real e que, sobretudo, permita um correto diagnóstico dos incidentes ocorridos, com retroalimentação de suas práticas e até com adequada previsão para casos futuros.
Referências
JESUS, Antonio Velho et al (Org.). Tratado de Computação Forense. Campinas. São Paulo: Milennium, 2016. 606 p.
DYKSTRA, Josiah; SHERMAN, Alan. Design and implementation of FROST: Digital forensic tools for the OpenStack cloud computing platform. Elsevier: Digital Investigation. Baltimore, p. 87-95. Ago. 2013. Disponível neste link. Acesso em: 17 abr. 2017.
Especialista em Segurança da Informação e Governança de TI. No Serpro, atua no Setor de Atendimento a Clientes Estratégicos e no grupo de trabalho Segurança da Informação - Regional Florianópolis. Interessada em segurança da informações e computação em nuvem.