云計算取證挑戰和進展.pdf

1、公安部第三研究所所長助理 研究員云計算取證 挑戰和最新進展 云計算是能以簡便的途徑和以按需的方式通過網絡訪問可配置的計算資源（網絡、服務器、存儲、應用、服務等）的一種計算模式。云計算 云計算一種通過網絡將可伸縮、彈性的共享物理和虛擬資源池以按需自服務的方式供應和管理的模式。云服務通過云計算已定義的接口提供的一種或多種能力。2017年中國公有云(主要指IaaS、PaaS)市場規模將超過150億元，基于大數據、人工智能等帶動的云計算消費將進一步提升公有云的市場需求和空間。-IDC企業、個人的應用和數據從終端設備向云端遷移。網絡犯罪、涉網犯罪行為，越來越多的涉及到云環境下計算資源 2014年，部署在

2、阿里云上的某知名游戲公司，遭遇了當時全球互聯網史上最大的一次DDoS攻擊，攻擊流量峰值達每秒453.8GB 2016年，樂視視頻遭到了DDOS攻擊，峰值流量達200GB，持續了約一天 需要云取證，調查網絡攻擊、恢復攻擊痕跡、確定攻擊源、明確攻擊者取證需求企業、個人的應用和數據從終端設備向云端遷移。網絡犯罪、涉網犯罪行為，越來越多的涉及到云環境下計算資源 2014年iCloud漏洞導致個人照片外傳，2017年京東泄露50億條個人信息 2016年，浙江余姚“311”等6起利用云盤傳播淫穢色情信息牟利案件，涉案淫穢視頻數量共達百萬余部，涉及360云盤、“115網盤”、樂視網盤等云存儲 云取證：及時處

3、置阻斷、犯罪行為取證調查取證需求網絡犯罪已占犯罪總數近三分之一我們面臨的最現實安全威脅主要來自網絡空間-孟建柱，2016年10月173萬（2015年）173萬（2015年）1、2013年1月1日正式實施，將電子數據明確為證據的一種類型2、最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定（法發201622號）云平臺數據收集 已收集數據的分析 面臨的反取證挑戰 尚無取證標準 取證技能欠缺 取證體系結構云取證面臨的主要困難體系結構數據收集數據分析反取證取證標準技能培訓 數據的定位困難 IP、云平臺賬號、域名 數據的固定保全困難 云存儲動態伸縮 云服務器釋放

4、 云平臺應用痕跡云取證所面臨的挑戰-數據收集 資源定位的困難 云平臺通常提供WAF等防控措施，根據涉案域名，也難以準確獲取域名對應的IP地址 云服務器的IP地址屬于云平臺的IP地址池，隨著云服務器的釋放、IP地址也隨之釋放并分配給其他服務器使用，難以根據IP地址確定涉案服務器云取證所面臨的挑戰-數據收集 固定保全困難 云平臺的資源共享特點，使得涉案的虛擬服務器所掛載的虛擬硬盤等存儲數據處于離散的狀態 部分云服務提供商甚至采用了動態伸縮的存儲技術，虛擬服務器釋放出來的空間會被立即分配給其他的虛擬服務器使用 此外，云計算環境下涉案主機通常數量眾多，數據調取只能通過云服務提供商進行。不僅數據調取困難

5、，而且數據調取的速度也非常慢 E租寶案調取了300多臺虛擬服務器，調取耗時近半年云取證所面臨的挑戰-數據收集 已收集數據的分析困難 靜態分析困難 鏡像格式無法識別 海量證據數據難以分析 刪除數據無法恢復 動態分析困難 已獲取鏡像無法組網仿真云取證所面臨的挑戰-數據分析 靜態分析困難 數據分析是云取證的另外一項挑戰。云服務提供商為了統一的服務器管理，通常會對服務器操作系統進行定制化的開發，導致提取的鏡像難以識別分析 在無法進行仿真分析的情況下，對大量的涉案云服務器存儲鏡像進行逐一取證將導致效率非常低下，大量隱藏在業務流程中的信息將被丟失 在存儲格式無法識別的情況下，已刪除的文件也難以通過文件系統

6、及簽名進行恢復分析云取證所面臨的挑戰數據分析困難 動態分析困難 仿真分析是對服務器進行取證的一項重要手段，通過對仿真啟動的應用進行分析取證，將能夠極快的梳理清楚業務邏輯 云服務器的操作系統是定制化系統，拿到了服務器鏡像文件也無法在常規服務器上進行仿真 云服務器通常數量眾多，服務器之間的通聯關系受到了云平臺上的虛擬路由、虛擬防火墻的多重控制，在線下非常難以模擬出相似的環境云取證所面臨的挑戰數據分析困難 反取證是云取證所面臨的又一項挑戰 用完即刪是云平臺的一大特點，但是也給反取證提供了便利 云服務器銷毀極其迅速，以阿里云為例，釋放一臺ECS僅需數分鐘云取證所面臨的挑戰-反取證 時效性在對抗反取證方

7、面極為重要 時效性是云服務器取證的重要特性，服務器承載大量的用戶請求與服務，重要證據信息可能迅速被垃圾數據淹沒甚至覆蓋 在云服務器被釋放之前做好快照，是抵御云服務器證據丟失的近乎唯一手段 以某涉黑客案件為例，從定位到涉案服務器IP到通過復雜的流程及手續聯系服務提供商固定保全服務器的數據之后，相關的活動痕跡信息已經被黑客清理干凈云取證所面臨的挑戰-反取證云取證必須要落實運營商的主體責任要有合規的要求云服務協助調查取證安全管理要求公信安20171142號 第一條【宗旨與依據】為規范云服務提供者協助公安機關收集提取電子數據，提高案件辦理質量，根據中華人民共和國刑法、中華人民共和國刑事訴訟法、中華人民

8、共和國反恐怖主義法、中華人民共和國網絡安全法、計算機信息網絡國際聯網安全保護管理辦法、最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定等有關法律法規和規范性文件，制定本要求。第一章 總則 中華人民共和國刑法 中華人民共和國刑事訴訟法 中華人民共和國反恐怖主義法 中華人民共和國網絡安全法 計算機信息網絡國際聯網安全保護管理辦法 最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定法律依據GB/T 32399-2015 信息技術 云計算參考架構GB/T 32400-2015 信息技術 云計算詞匯與概覽GB/T 25

9、069-2010 信息技術 信息安全技術術語GA 1277-2015 信息安全技術 互聯網交互式服務安全保護要求GA 1278-2015 信息安全技術互聯網服務安全評估基本程序及要求GA/T 756-2008 數字化設備證據數據發現提取固定方法GA/T 976-2012 電子數據法庭科學鑒定通用方法標準基礎 云服務是指利用云計算技術，根據客戶需要提供服務，實現資源的按需分配，按照租用服務的數量和時間收取費用的一種商業運營模式。在中華人民共和國境內建設、運營、維護云服務或以虛擬化為基礎的互聯網數據中心服務應遵守本要求。第二條 適用范圍第二章 基本要求案件報告技術建設制度建設人員要求機構要求第三章

10、 數據留存第四章 協助取證云取證技術解決方案取證流程取證流程和指南和指南取證技術、取證技術、工具和平工具和平臺臺云服務商云服務商取證能力取證能力建設建設證據的類別 授權 在云計算取證中，對相關事件的取證首先需要得到授權，由司法機關或行政執法機關出具的辦理云計算取證案件的相關法律文書。檢驗實驗室受司法機關或行政執法機關的委托授權時，應具備相關委托書。授權或委托文書中應明確調查取證的事項。數據定位 應根據授權調查取證事項的需求及云服務類型明確調查范圍，識別云計算平臺中潛在的涉案相關的計算、存儲與網絡資源。云取證過程 數據提取或凍結，根據涉案電子數據的具體特征制定相應計劃，采取提取或凍結電子數據 對

11、適宜數據提取的應制定證據收集提取的計劃，計劃應包括人員、儀器設備、采用的標準規范應細化為具體的實施步驟、待收集數據的清單、對可能的意外情況的防范措施等 對不便提取的數據應制定數據凍結的計劃，計劃應包括人員、儀器設備、凍結的技術方法、待凍結的數據清單、對可能的意外情況的防范措施等。云取證過程 完整性一致性保護，對提取或凍結的數據應采取相應的完整性保護 云計算環境下對提取的電子數據應及時復制并計算和記錄完整性校驗值 云計算環境下對凍結的電子數據完性性保護可采取以下一種或幾種方法 計算完整性校驗值 鎖定相關賬號 其他防止增加、刪除、修改電子數據的措施云取證過程云取證系統 用戶建立取證任務，上傳案件信

12、息 案件信息審核 云平臺提供商將案件相關數據固定保全后推送至云取證分析平臺 用戶在平臺上選擇取證方式，包括證據數據下載、自主取證和委托第三方鑒定機構取證工作流程取證對象待取證對象數據庫文件存儲云通信易失性數據取證及虛擬仿真系統及應用數據Web服務器使用痕跡操作系統使用痕跡刪除文件記錄系統及應用數據應用在取證云上進行虛擬仿真時，對易失性數據進行取證分析易失性數據取證RDS、Redis、MongoDBMemcache 數據庫數據庫對象對象存儲OSS、塊存儲、文件存儲、歸檔存儲、CDN數據文件存儲對象短信服務、流量服務、語音服務記錄、私密專線使用記錄、移動推送使用記錄、郵件推送使用記錄、消息服務使用記錄云通信使用痕跡云取證系統虛虛擬擬仿仿真真固固定定保保全全完完整整性性保保護護專專家家遠遠程程取取證證自自動動化化取取證證謝謝公安部第三研究所所長助理 研究員