(一)云取证研究对象
云取证离不开云计算,对于到底什么是云计算?云计算自2006年在搜索引擎大会(SESSan Jose 2006)上被首次提出以来,云计算的概念至少可以找到100种解释,现阶段广为接受的是美国国家标准与技术研究院(NIST)给出的定义。[31]通俗地讲,云计算可以理解为整合资源,物尽其用、以按需方式提供服务,并按需收费,其中针对不同的付费对象和使用对象,云计算提供硬件资源、应用平台、应用三个层面的技术和服务。[32]
利用云平台进行大数据计算的取证云计算服务称为云取证。[33]云取证指的是在云平台中通过云计算环境获取犯罪信息,向有关机构提交云平台中采集获取到的电子数据,进行证据的分析,形成结论性意见,对犯罪嫌疑人进行司法判定。
与其他取证形式相似,云取证的第一步也是确定证据源。云环境下证据来源有本地客户端和云服务提供端。嫌疑人在利用云环境传输和处理信息的过程中会有一些文件碎片、网址缓存等遗留在本地终端(个人电脑、笔记本、手机及其他智能终端)。
文献将云计算服务的应用系统架构分为9大层次结构[34],包括了网络层(Networking)、存储层(Storage)、服务层(Servers)、虚拟化层(Virtualization)、操作系统层(OS)、中间件层(Middleware)、程序运行层(Runtime)、数据层(Data)、应用层(Applications)。如图6-2所示,在SaaS和PaaS服务中,日志信息能被调查取证者获得,相比较SaaS服务,PaaS服务订户能建立其自身的应用,可以获得一些额外的数据,在IaaS服务中能获得操作系统级的数据信息。
图6-2 云服务的框架结构(www.xing528.com)
(二)本地客户端取证技术
云计算借助云环境下的机器完成存储和计算工作,但是不管是何种云计算应用,都需要客户端或者浏览器端的参与,所以必然有不少关键数据会遗留在本地物理机器上。几种典型的云应用如Amazon s3,Dropbox,Google Does,EverNote,大部分云产品都会在本地客户端(PC端和手机端)留下一些重要数据,如客户端留下的注册信息、安装信息、用户Session、Cookie、浏览历史、下载历史、缓存数据等,而各类产品记录这些数据的目录也是固定的。
对本地客户端残余数据的取证工作方式与计算机取证、移动终端取证等方式相同,例如,使用开机取证工具收集本地终端的用户活动,利用数据恢复技术查找相关证据等。很多用户会使用本地数据与云数据的同步机制,在采用本地终端取证时,要了解订阅客户使用了哪些云服务和资源。凭借现有取证工具研究本地客户端残余数据数据,可能找到犯罪证据。
(三)日志取证技术
日志是云取证过程中最重要的证据来源之一,但是在云环境下来自不同云服务提供商的数据格式并不统一,每个云服务提供商几乎都有自己的一套格式规范,日志的收集和分析都很困难。另外在PaaS和SaaS服务下,用户只能通过云服务提供商协助才能获取日志数据。而现有的日志通常是多用户数据混杂、包含大量与取证无关的冗余或敏感信息。
目前日志的获取和取证强调的是对第三方平台的研究,如通过第三方在云服务端和客户端构建日志模块,同步云服务端和客户端的日志记录,不需要云服务提供商来协助调查取证,方便取证者获得日志。如为保证云客户端数据的机密性,以第三方平台的形式存储虚拟机的日志,供取证调查者访问。如通过修改平台模块的API,加入日志获取模块实现对虚拟化磁盘映像、API日志和客户端防火墙日志的可信获取。[35]
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
