• Fecha: Mar 23, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

b:secure Magazine

Nota publicada originalmente en b:Secure Magazine

Con la llegada del Cloud Computing y el paradigma que representa (ofrecer servicios de computación a través de Internet), resulta por demás interesante para aquellos que están familiarizados con el término de análisis forense digital el cuestionarse sobre si estamos o no preparados para afrontar el nuevo reto que implica el cómputo en la nube.

Si bien se han hecho esfuerzos por “evangelizar” y concientizar a los distintos sectores sobre la importancia y aplicación del análisis forense digital en sus organizaciones, es evidente que aún estamos muy rezagados en comparación con otros países de Sudamérica (Colombia y Brasil por citar algunos) en cuanto a temas de formación y pericia de los especialistas forenses.

Lo anterior nos incita a la siguiente reflexión:

¿Estamos preparados para el Cloud Forensics cuando aún no dominamos el análisis forense digital tradicional (stand alone)?

Para tratar de dar respuesta a esta y otras interrogantes es necesario conocer los modelos de Cloud Computing que se ofertan hoy en día y, con base en ellos, determinar cuáles son aquellos modelos, elementos o servicios que nos pueden favorecer al momento de requerir una investigación forense digital.

Partiendo de que actualmente se ofertan tres tipos de Cloud:

Nubes publicas: Todos comparten todo (almacenamiento, procesamiento, espacio, enlaces, etcétera.)
Nubes privadas: Administrada por el cliente totalmente (control absoluto sobre la infraestructura)
Nubes híbridas: Se es propietario de ciertas partes y comparte otras, supuestamente de manera controlada.

¿Cuál de estos modelos sería mucho más fácil de investigar para el analista forense?

Antes de responder a este cuestionamiento hay que recordar los principios básicos del análisis forense digital, sea cual sea la plataforma o infraestructura que se analiza:

La recolección de datos debe realizarse de una manera que se maximice la integridad de los mismos.
Preservar siempre la cadena de custodia (desde mi punto de vista un punto crítico).
Los hallazgos derivados del análisis deben ser reproducibles bajo métodos aceptables en un medio controlado similar al escenario original.

Ahora bien, si tomamos estos principios y los llevamos al concepto de Cloud, inevitablemente surgen las siguientes interrogantes:

¿Cómo identifico y obtengo dentro de la nube y qué datos debo de recolectar?
¿Qué tipo de bitácoras almacena mi proveedor y por cuánto tiempo?
¿Qué datos puede proporcionarme mi proveedor en función del modelo del Cloud contratado?
¿Cómo mi proveedor va a mantener la integridad de los datos y qué políticas de respaldo tiene?
En caso de algún incidente, ¿mi proveedor puede proporcionarme una infraestructura de contingencia?
¿Cuánto tiempo le tomaría al proveedor restablecer un respaldo?
¿Los métodos utilizados por el proveedor para restablecer servicios o respaldos son aceptados legalmente?

Las respuestas a estas interrogantes, como podemos observar, no tiene que ver nada con una metodología estrictamente forense, sino que estarán en función de los términos y condiciones que el proveedor de Cloud determine para otorgar el servicio.

Por otro lado, existen temas de jurisdicción que pueden poner en graves aprietos al investigador forense al momento de realizar un análisis basado en Cloud. Pensemos en el siguiente escenario:

Contratamos un servicio de Cloud Computing con un proveedor que geográficamente se encuentra en Brasil (legalmente constituido), sin embargo, su centro de datos se localiza en México.

Bajo este esquema si se llegara a producir un incidente de seguridad, que demandara un análisis forense, se tendría que considerar la ley de protección de datos de México a pesar de que la empresa este localizada en Brasil, pues a final de cuentas los datos están almacenados en el extranjero y, no solo eso, muy probablemente los métodos aceptados en uno u otro país para la realización de un peritaje forense sean distintos. Esta realidad del Cloud Computing supone una nueva oportunidad para mejorar la legislación en cada país, al tiempo que se plantean métodos aceptados internacionalmente para el manejo de evidencia digital.

Para finalizar citaré un comentario de Richard Stallman, fundador de Free Software Foundation, quién cree que la computación en la nube pone en peligro las libertades de los usuarios porque éstos dejan su privacidad y datos personales en manos de terceros.

Esta situación, si bien es preocupante, desde el punto de vista de la “privacidad” no representa un obstáculo para el analista forense, en donde la clave para poder llevar a buen término las investigaciones forenses basadas en modelos de Cloud Computing será:

No tanto los datos (no sensibles) e infraestructura en la nube (privada o pública), pero sí los log’s y bitácoras de acceso de infraestructura o servicios expuestos en la nube, en equipos dedicados y administrados por cada cliente, apoyados en un sistema de correlación de eventos que permita identificar eficazmente qué parte de la nube pública o privada fue comprometida o utilizada durante la reconstrucción de los hechos.

Fuente: b:secure Magazine / Elihú Hernández Hernández

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.