今天的讨论的话题除了云计算时代的网络安全,其实我主要研究的是计算机取证技术,类似于大家所熟识的司法鉴定,电子数据的鉴定,我们是研究单机状态 下、网络状态下、互联网,以及未来云计算方向下的如何对电子数据的防护和证据保全,为了企业或者是个人提供这方面的一个方法和支持。
我本人是法政技术研究会的执行会长,我们会长是中科院高能物理研究所的徐如生研究院,中国互联网第一条线路是他开发的,之后主要研究互联网信息安全 方向。我还是ISFS资讯保安及法政工会,还是HTCIA高科技犯罪调查协会亚太区分会的研究官,针对高智商的,或者是针对IT和白领这个圈子内发生的, 唯一把信息安全作为犯罪情况的发生。我今天代表这三个协会来介绍我的题目。
一、云计算的一些数据
二、传统的计算机取证技术
三、未来云计算发展平台下的挑战和影响
四、我们所正在初步研究的取证方案计算机取证听起来跟大家距离比较远,实际上我们未来可能遇到的很多事,都和这项技术相关。比如说我们的协会和我们 合作的机构,近几年,企业和政府部门做了一些服务和支持,他们涉及的一些做了一些故事,大家通过这些故事,对未来自身企业或者个人涉及到的这方面的安全问 题。
去年我们在上海为一家国际上比较大的咨询顾问公司做了一个服务,这家公司主要研究的是各个行业的发展状况,结合各行业的发展状况,写一些评测报告, 评测报告会发布在国际、国内,是一大很大的企业。在这家企业里后来出现一些问题,企业负责市场和IT的两个部门经理突然离职,离职后把电脑交给公司以后, 发现电脑完全格式化了,还把系统重新做了分区,重新分区之后又重新建成了linux的分区,拷贝了一些数据,把电脑交给公司就走了。公司对这个人的离职, 觉得有问题,因为他有一些其他未交接的事情,邀请我们对他的电脑进行分析,通过一些取证技术,比如说涉及到数据恢复,我后面会介绍一些详细的技术。从中发 现了一些他泄漏公司,他和外面的邮件通讯,从邮件通讯里涉及到他把公司信息发到邮箱,把东西修改,包括把客户群信息都带走,同时还自己建立一个公司,做同 样业务的和原本公司做一些竞争。
从这个例子我们可以看到,计算机取证技术,帮我们恢复事件的原貌,找出对我们有利,解决这个问题有利的一些证据和方法。
前两天我们又接到一个服务,也是国内一个企业,很大的一个IT厂商,同时还涉及到上海的银行,这两个情况很相似,都是IT的高管,整个系统管理员, 对系统内不应该访问的数据做了访问,尤其是对公司老板和一些人的邮件,他非法访问了邮件系统,而且查看了一些东西,按照因为他的不慎留下了一些痕迹。这个 也是涉及到企业的信息安全问题,这两个问题跟云计算没有什么关系,我只是通过这两个例子告诉大家电子证据和计算机取证是怎么回事。
到了云计算以后,这些事情发生了很大的办法,我们传统的取证方式和现在云计算平台下的取证方式发生很大变化,对未来的取证带来了一些难度,也可以说是相当大的难度。后面我会简单介绍对这些问题的看法和初步应对策略。
我本人是在电子证据和电子数据这块做了20年的研究,同时为了在国内推广计算机法政技术,我们也创建了协会,联合了一些研究机构,共同的这方面的理 念和服务。包括本身我们也是做一些研发,为这些做证据研究的机构提供一些武器。本人比较喜欢这些技术,所以做了汉化官方的培训,使一些国外比较优秀的产品 和技术,对于电子数据分析方面有些特色的地方,当然国内一些公司也在研究这方面的技术,也开发了一些产品,综合的来说,这些工具综合的应用,这样才能解决 不同案件,不同状态,不同情况下的一些问题。
比如说这里面可以看到有邮件的问题,不同的邮件系统,nuix,涉及到密码的问题我们怎么解决,涉及到手机我们怎么解决,包括苹果系统等等这些工 具。除此之外,我刚刚翻译完一本书苹果的《IOS取证分析》,对iPad,iPhone的系统分析。此外,还正在写一本书,《计算机取证工具实战》。这是 我的博客,在国内我的博客涉及到计算机技术分析内容比较多的地方,大家如果想更多的了解这个技术,可以参考我写的文章。
合作团队:我们联合了一些国内做这方面主要的公司和研究机构,共同来做一些产品开发了培训,还有一些国际的应用。
国际合作伙伴:涉及到我前面提到的专门做电子数据取证和鉴定这些主流工具,特别是一些国际主流的取证产品,我们是他们中国的总代理机构。
云计算的问题,刚才袁女士对云计算基础知识讲的很多,我也不讲这些东西了,这些内容也可以在很多方面找到相关资料。我们所关注的是基于不同的云计算 平台,不同的方式,无论采取哪种架构方式之外,我们重点关注的是数据安全,这个安全和大家普遍理解的安全概念不太一样,我们不是研究如何防止这个网站被攻 击,如何防止这个信息被泄漏,我们所研究的是出现这个事件之后,我们企业或者部门应该采取什么方法去解决这个问题。解决这个问题,目前来看,很多人认为只 是事件发生之后我们再去想办法,我们去找执法部门,我们去找鉴定机构,我们去找IT的精英,帮我们解决这些问题。实际上,真正发生这种问题之后,出现问题 的时候,我们再采取任何的措施都已经晚了,我们只能是从中找到其中相关的,可能对后期事件有帮助的这些数据。
这些数据能找到多少?根据不同的情况,根据不同的平台化学,这都是不太一样的,特别是针对现在不同的架构,无论是公有云也好,私有云也好等等,我们 涉及到的最大的挑战就是这些数据并没有在一个固定的服务器上保存,而是不知道保存在什么地方。比如说我们现在在普通的企业架构下,我们的网站被攻击,我们 的数据遭泄漏,涉及到一些数据,或者是企业之间的纠纷,在一台服务器,或者几台服务器,包括就算几十台服务器的情况下,还是有办法可以做的,起码是对证据 固定方面,我们至少可以找到一台服务器,或者几台服务器,用标准的流程把这些数据采集下来,然后做分析。随着云的发展,如果将来再类似这样的情况,作为取 证,和作为对有效数据的查找,这是一个极为困难的事情。
这些都是前面大家比较了解的技术分类,就不讲了,这个图可以参考一下,这是从计算机,包括到互联网,包括云时代的一个发展,这个资料是参考于《云计 算安全隐私这本书》,这本书是由中科院高能所的几位博士翻译的,这本书对大家了解云计算时代的安全是有帮助的。一些国外知名人物对这个书都有一个评价,它 是对我们未来掌握云时代的安全方面,或者是个人隐私方面,解决一些相关问题一个比较好的参考数据,大家可以找一些。
除了我们刚才介绍的企业的云之外,私有云也好,我们现在还面临着一个问题,个人也有可能利用已有的云,来做一个自己的,不叫做云,也可以叫做云,是 比较模糊的一个概念。这个设备,Pogoplug,类似于网盘,个人数据共享的空间,有5G的空间,可以免费注册,对于不同人来说,我们利用 Pogoplug的云,给我们带来一些便利性。这个设备最大的问题,直接把这个设备加到路由器之后,你的硬盘通过路由器连接到Pogoplug服务器,你 里面的数据可以加入这个云,作为网上资源的共享。这个问题带来一个未来信息的,可以说会涉及到隐私问题会涉及到版权问题,会涉及到这个数据无法控制问题, 为什么无法空气呢?因为这个设备加入到了Pogoplug,这个数据我们找不到它在哪儿,我再接上我的硬盘,我的硬盘数据到底在哪儿。这个硬盘可能在我的 家里,也可能在办公室里,我可能在美国,我只要插上,登录账号就可以了。这个问题是由我的朋友,香港海关他们提到的一个影视版权和反盗版的一些问题。
比如说有些人去分享一些盗版电影,他现在的方式就可以通过把这个设备往云上一接,就可以分享这些数据,执法部门根本找不到这个设备在哪儿,因为这个 有可能后面会提到,他有可能在任何的地方,如果超过了本地的管辖权。比如说我们是中国警察,虽然说犯事是在中国,但是证据有可能在美国,或者俄罗斯,那怎 么解决这个问题,这就是云时代给我们带来的又一个挑战。
Pogoplug,这个可以做到任何设备,任何地方,包括手机、电脑,都可以访问到你所公开的个人云,你可以把数据存进去,做共享。大家如果有兴趣 可以注册一个账号,测试一下Pogoplug的服务。这里面有一些服务,帮助使用者,不需要第三方软件就可以看自己的数据,这就是我在上面放的一文档,大 家可以直接看到我其中的内容。这个设备就是一个硬件的接入设备,利用它很容易的你把你的硬盘,把这个设备连接到交换机上,然后把硬盘再连接到这个设备上, 现在最新版的支持四个接口,访问速度有所提升。之后存到你的硬盘的数据是这个样子,可以通过它的地址访问,并且方向其中的数据。
另外一个和它类似的服务叫Dropbox,他主要是做数据分享、存储、备份、共享为主,申请一个空间,把数据本地做一个Dropbox目录,在目录 下建立文件,你所分享的不同文件,可以去和云端的空间做同步。你可以同步账号,比如说你的笔记本,你的台式机,家里的电脑,办公室的电脑,这些都可以用你 的账户来做同步。几台电脑都可以保持数据的最新状态的,而且你可以利用你的工作组和你的团队之间,共同解决一些比如说数据的修改这些问题,共同修订这个文 件,它能够永远保持最新的状态。可以把数据同步到不同的但是上,但是相对来说这个服务对我们的安全问题相对容易一些,虽然我们找不到Dropbox上的数 据,我们不可能完整的把这个数据保存下来,但是它在本地存储的数据是比较规范的,本地删除的数据会有痕迹。这就是它的本地和云端的对比,左边这个图是本地 的目录,右边这个云端是和这个目录完全一样的,所有数据是完全同步的。
刚才介绍的是云端个人数据如何利用云做了一些更为便利的操作,对个人提供了更大的支持,后面再简单看一下传统的计算机取证技术,通过了解传统的计算机取证,我们也会知道为什么将来云端取证会带来一些困难。
什么是计算机取证?这个技术发展的比较早,84年左右美国就开始这方面的研究,注重对电子数据和工具的研究。这个取证可以理解为一个技术,但是更应 该把它列为一个过程,从证据的获取、固定,到分析、发现、提取,到最后法庭的出示,这是一个完整的过程,不见得最后非要到法庭出示,企业也可以内部解决, 在这种情况下,我们可以不依赖于其他的官方机构来做,可以利用一些民间的服务机构,就可以做这方面的技术。研究的主要是这个数据如何去发现它,删的东西如 何恢复出来,加密的东西如何解密,隐藏的东西如何找到,综合这些技术之后,把这些数据拿出来,作为最后的一个综合分析判别得出结论的这么一套方法。
计算机取证技术发展阶段:
1、1985年之前是史前期计算机技术,计算机系统已经得到了应用,但是应用了之后我们遇到了一些问题没有什么解决的方法。比如说涉及到的欺诈、泄 密、白领犯罪,涉及到的内容已经很多了,但是其中解决这些问题的人,除了一些执法部门的人员之外,主要是依靠于公司的IT,来帮助一些技术问题。当时的数 据也是没有什么专业的取证工具。
2、1985年-1995年是婴儿期这个方面从事这个事业的人员开始增多,计算机以及个人计算机发展越来越快,很多人开始重视起来,越来越多的警察 开始做这方面的研究,出现了一些专业的工具,像ilook啊。当时主要的目标是针对窃取账号口令,一些黑客行为,还有公司内部数据的外泄,而且当时出现了 Windows,在Windows之后的一些应用,和过去DOS下的应用不太一样,也是出现在互联网的初期。
一些国际的机构,高科技犯罪调查协会,已经开始做这联系和推广,还有内部的技术培训等等。FACT,已经发展20年了,主要是退役警察,企业信息安全人士。
3、1995年-2005年是童年期。
这个年代互联网得到了迅速的发展,但是基于互联网环境下出现的问题也越来越多。比如说通过网络入侵, 通过网络造成数据泄密,泄漏,以及主要打击的一些儿童色情等等都是在这个时代出现的,特别是911事件的出现,让国际除了对反恐之外,也是对互联网的安全 有了更为密切的关注,因为911事件整体策划,也是通过互联网来传递一些信息,而其中所传递的信息又多以隐藏和加密的方式进行传递的,造成了美国的执法部 门,各国的执法部门,对此事件都没有任何的预知。
通过这个事件,也可以联想到云计算未来的发展,这个之后,这种不同的软件,不同的平台,不同数据共享的方式,也有可能被未来的事件带来更多的方式, 我们也可能很难预测到这种事件会不会再发生,会不会已经在策划中?这个是因为的确到了云计算这个时代,很多事件是很难再进一步控制的。
4、2005年前后-至今是青春期。
从这个年代开始,研究这方面的人越来越多了,民间从事电子数据服务的,不是司法鉴定机构的,这种服务的 机构也越来越多。国外这种服务以司大、调查行,国内的这种机构并不太多,我们协会和协会成员单位是可以提供服务之一,到这个时代,对人员的资质和专业培训 背景要求越来越高,所从事的人员是不是曾经参与过这方面的培训,是不是受过各方面知识的系统培训。涉及的电子证据这块我在后面会详细介绍。
社群,这个时代涉及到关注这个行业的机构也是越来越多,无论是从国防、情报、执法,还有民间企业,电子证据发现,主要以律师行业,调查行这个行业为 主。现在越来越多的信息安全的团体,对这个电子证据发现,现在有了越来越浓厚的兴趣。后期,如何让这个技术慢慢的成熟起来,需要不断的做一些工作,除了在 理念上的推广,我们也会提供各方面的信息,培训,产品,解决方案,帮助企业、个人等等来解决他们自己和企业所面临的这类问题。
涉及到电子证据这些数据到底在哪儿?都包含了哪些东西?我们日常生活接触的很多东西都可以作为电子证据,个人计算机,PC系列也好,苹果系列也好, 服务器也好,这都是我们研究的主要方向。刚才说到涉及到云计算的时候,我们云计算涉及到也是上千台的服务器而已,或者上万台的,或者更多的,无论再大,最 终落地都是以虚拟机形式存在的,它是有它的存储和操作系统、应用程序这几个因素而已。
作为移动存储,从计算机存储之外,我们经常涉及到的存储介质都是和这个相关的,其中最重要的是硬盘,每台计算机里都有一块,或者几块硬盘,无论是什 么接口的,IDE.还有光盘、磁带、U盘、闪存、录音笔、数字录像机,还有iPod等Mp3/Mp4播放器,或者游戏机。现在我们的手机,包括游戏机,也 可以通过那些软件来访问云上的一些应用,通过出现的越来越多的应用,手机和游戏机的功能会越来越强,可实现的越来越多,计算能力也越来越强。
电子证据-手机手机针对不同的操作系统,其中的应用程序,以及数据的存储形式,以及它可能包含的一些数据种类和保存形态也不太一样,手机也是主要的 研究方向。包括手机里面还有信用卡,和本身内制的闪存卡,包括像iPod,iPhone,iPad等等内制的存储是无法取出来的,是固化的,比如说8G、 16G、64G等等固化在内的,取不出来的,是手机内存有的数据。
计算机法政服务,我前面都提到了,帮助企业解决他的问题,前一段时间一个大型门户网站咨询我们,他其中涉及到搜索和最终的支付之间出现了一些问题, 实际上提供了一些搜索引擎,或者是提供了一些网站广告,特别是排位这些事情,他解决了,帮助做了,但是对其他网站所引用的搜索无法得到正确的统计,就出现 了这方面的纠纷。
再有一个就是涉及到像360和QQ大战站这类问题,虽然最后没有以法律途径解决,但在准备过程中,他们都做了如何保存对自己最有利证据的步骤,只不过这个步骤对外没有公布,但是这些方法都是大家可以参考的。面临可能遇到的一些纠纷,我们如何准备。
通过了解传统的计算机取证技术,传统的计算机取证技术有几个环节,这块在国外有几个词,一个叫做,更侧重于计算机本身和计算机本身的存储,相关的存储介质做的一项研究技术。
还有一个叫netwook,基于局域网、企业内部、邮件系统等等,企业内部的数据管理、审计等等这么一个环节。
还有一个seb??,这个是基于互联网虚拟空间的,我们看不到的,不像单机取证、网络取证,我们都可以看到,涉及到互联网这一块,我们肉眼看不到,而且很多东西不是能够通过权利执法部门做到的事情,民间研究这块的也比较少。
对云状态下的特别取证,这块没有明确的词,国外对它的称呼基本叫做(英文),在云状态下的取证,这块主要面临的问题,因为前面也简单说到了,云上的数据,我们不知道它真正存在在哪儿,它是分散在很多地方,基于这种管理不断的变化。
对商业和法律的挑战:
1、多租户与资源共享
2、多个司法管辖区。
香港法官在研究知识产权和盗版的问题,一旦涉及到这个问题,这个服务器在国内,或者在其他国家,这个问题就解决不了了。我们国内也同样涉及到这些问 题,涉及到打击网络服务器的时候,这个服务器在国外,也是很难处理,当然通过一些国际合作,国际警方的合作联盟,也能够解决一部分问题,但有些也涉及到不 同类型的案件。所以,司法管辖权,特别在云那么多的服务器,他不只是分布在一个地方。刚才说到这个国际云,不同云组合到一起,形成一个更大的云,这个主要 分布在各个国家。像国内的北京、天津、上海、重庆都是在建自己的云,他们将来会不会有应用的整合,或者之间有交叉,这也是有可能的。
3、电子举证。就算是拿到了其中的数据,但是因为云状态下,它的数据都是动态的,数据没有一个稳固的状态,不像我们的硬盘,我们做了固定以后,硬盘 数据是不会变的,在云上没有第二次重复的条件,我们获取到数据,这次在这个时间是这些状态,一分钟之后可能就是另外一种状态,怎么保持它的有效性,这也是 一个问题。
4、第三方依赖性。他需要第三方,第三方有可能涉及到他的服务提供商,也有可能涉及到第三方的见证机构,或者做一些行为分析,可能通过一个足够不足 以表述正确性和合法性。所以更多的机构介入,可能会有更好的效果,比如说司法见证机构和公正机构,或者一些信息安全认证机构等等,几家机构共同对云上的一 些问题做一些研究,或者是在取证环节中,几家机构协同来做,可能会有一些更好的效果。
传统的设备取证,我们可能用到这些设备,硬盘,可以保证一是在速度上,硬盘现在越来越大,怎么对数据快速的固定,硬盘的快速固定,我们需要使用一些硬盘的快速固定设备。
数据分析软件,综合使用不同的工具,对同一个案件进行分析。
数据获取功能,大家对工具有了解,对将来云的问题就会有更好的认识。软件、硬件,第一个最重要的功能就是数据获取,他能够把数据有效的用法律能接受 的格式和方法,来去给它固定下来。固定下来之后,为了保证数据的有效性,他需要一些校验的方法,无论是MDI,还是SHAI5,SHAI6,它都可以保证 证据的唯一性。做了取证之后,只要里面有一个字节,或者一个01发生了改变,这个证据值就不一样了,这是取证里面所主要采用的校验的方式。
数据恢复功能,这个数据可能被删除了,比如说Dropbox,他云上的数据得不到,但是通过对嫌疑人本地的计算机做了分析之后,让他本地和云端的同步的数据,是可以在本地恢复过来的,这样我们就能了解到他在云上存了什么设备,以及他做了哪些方面的操作。
关健词搜索功能,这个和Windows和Google,特别是使用苹果的用户,类似的索引和搜索,类似的一种方法,只不过这种专业的软件,它的搜索所支持的代码和语种会越来越多。
文件过滤功能,我们如何快速找到我们想要的文件,word文件,是去年1月1号生成的,其中大小,通过一些组合条件把数据快速找到。
审计功能,在分析过程中对数据进行审计,为了最终提交给法庭的时候,能够被法庭所接受,能够再回现我们当初分析的流程。
肤色图片检测,特别是对于一些图片,有人像和肤色图片的检测。
事件及联络关系,数据什么时候发送的,发送到什么地方,之间是什么关系,这些人是什么关系,我们可以通过一个比较清楚的图来展现事件人关系。
数据自动分类,涉及的类型有多少,是不是真实的文件类型,有多少加密的,有多少聊天记录等等,都可以通过分类的方式解决。
快速查找特定类型文件,这个也是通过分类来解决邮件,表格等等。
云时代对技术的挑战和影响,云时代它的难度只是在于数据的获取和固定,后期 对于数据分析这块,和传统的方法差别不大,主要的问题从这儿可以看到一些。传统的取证方法,没法反映完整的云上面的数据,而且在云端的某个服务器,或者某 个虚拟机被关闭之后,也可能会造成所关注的数据丢失。
对于取证这一块,我们将来关注的,如果涉及到事件的发生,应该从几个方面研究:1、客户端,本地这台机器的数据,这个人,这是要关注的,但是能不能找到这个人我们再说。但是一旦我找到你的数据之后,就类似Dropbox这样,我可以通过分析硬盘,来找到其中一些云的痕迹。
2、网络ISP 3、服务器端。服务器端和SP的提供商,云的服务商来合作,他们在建立云的时候,对本身的系统比较了解,对本身的管理软件、管理方式和内容数据了解的比较 多,这是一个可以研究的方向,但是这不是任何一个机构可以做的,有可能只有执法部门才有这个权利。比如说调一个263的服务器邮件,肯定不是个人未来要 做。
4、综合分析电子取证的3R原则:完整性、关联性、可靠性。只有这三个条件满足了,你所做的一些,从获取的数据,加上后期提供的结果,都可以是有效的。
基于动态代理的监控与取证,网络黑匣子的方式,来解决网络所涉及到的一些问题,通过扎包、分析等等解决这些问题。
云端运算取证流程:
1、确定取证的目的。因为每个事件都不一样,出现一个问题之后,要通过分析这个问题,找到这个是涉及到哪些问题,之后就可以确定后期的设备在哪儿。
2、确定云端服务类型(云端设备、云端平台、云端软件)
3、确定背后使用的技术类型不同类似在取证中的机遇与挑战,时间有限,就不多说了。
对于云搭建这种平台也好,前一段在重庆正在讨论的云建 立,在这个期间我们也讨论了如何防范,或者如何通过事先的准备,来去应对后期遇到的各种事件和风险。这是中科院高能所提供的一个证据解决方案,中科院高能 所信息安全中心的杨森林博士,他提出了这么一个理论,对于搭建一个云中云,也是其中的一个环境而已,把事先我们担心未来发现的一些问题或一些痕迹预置等等 东西,不断的搜集,做准备,分析,一旦有应急事件发生之后,对这些数据进行分析。实际上,也可以在事件的发生之前,可以通过这种方法来做一些预防,获得一 些预警,保护这些企业不发生将来可能会出现的安全事件。
预防这个概念在国外是很关注的,如果被企业面临将来的风险,或者面临将来的司法诉讼官司问题的时候,如果你没有事先准备,你的准备不全面,将来面对 法律纠纷的时候,对没有准备的企业带来麻烦。把取证的概念加进去,作为你未来的预防,将是对后期信息安全、云安全比较好的准备。
此外,我们还应该有一些机构,一些政府部门,和一些学术机构制定标准,为快速反映和事件的预警做准备,还有一些从平台的搭建上,为后期的拓展做一些基础。
总体,就这么多,简单介绍这么多,如果将来想了解更多的取证问题,无论单机取证、网络取证、互联网,包括云的一些探讨,因为云这一块我也在做一些初步的研究,目前也没有完整的安全方案,目前在云的技术下,来成功的应用,希望后期能跟大家有更多的交流。
云,简介 www.jdcok.com/anli/5/1685.html