Designing cloud forensic-enable system

Abstract

Information Technology (IT) has changed the way people think and operate in every aspect of their lives. People heavily depend on the computers, and the use of IT is transforming every day. In recent years, the traditional computer technology has moved into a different, more demanding and promising era dictated by Internet advances. Stand-alone desktops and hard drives have been replaced by mobile phones, tablets and web-browsers. The growing demand of computing power and resources, lead the traditional forms of services to mutate very rapidly. During this period, users have been experiencing a huge offer of applications and services on cloud computing, which is definitely one of the most important services provided in this era.Cloud computing has dominated our world giving a different perspective and new horizons expanded to companies and organizations due to the numerous advantages they offer, especially flexibility and elasticity to customers through the existence of pay-as-you-use services. Every day, many organizations and companies are migrating their services over the cloud and a great number of companies are considering adopting this technology. However, many drawbacks do exist that make cloud environments vulnerable to various threats depending on the service model used (Kalloniatis et al., 2013, Kalloniatis et al., 2014, Manousakis et al., 2013). Companies’ primary obstacle to move their systems to the cloud concerns the security and the continuously increasing number of digital crimes occurring in cloud environments. Despite the positive aspects that the rapid development of cloud computing has brought to users it has also attracted an increasing number of users who consider cloud environment as a field of malicious acting. As it is well known, “where the people, the data and the money go, so does crime” (Dykstra, 2013):19. According to a report sponsored by McAfee, global cyber activity (including crime on cloud) is costing up to $500 billion each year, which is almost as much as the estimated cost of drug trafficking(McAfee, 2014). Taking into consideration the previous report we could easily come to the conclusion that cyber-crime is a major issue causing great concerns among Cloud Service Providers (CSPs), users and law enforcements. Policies, regulations and secure mechanisms should be developed to protect people from being deceived. Forensics is a step forward to deal with it and it should be applied during the investigation in order to identify and acquire the evidence that would be admissible in courts. Investigators have to conduct digital forensic investigation on cloud computers to identify, preserve, collect and analyze all the evidentiary so as to acquire accurate results and properly present them in a court of law. This type of forensics has raised a new area in the field that is called cloud forensics.The ability of cloud forensic investigators to carry out an investigation depends completely on the tools and methods used, to acquire the appropriate digital evidence from a device. The current digital forensic methods, tools and frameworks used to conduct a digital investigation cannot meet the requirements and the standards for the new technology on cloud environment (Adams, 2013, Almulla et al., 2014, Kohn et al., 2013, Martini and Choo, 2012, Pichan et al., 2015, Ruan et al., 2011b, Zawoad and Hasan, 2013, Grispos et al., 2012). This happens due to the fact that computer technology is continuously changing and the forensic technology is unable to follow that pace.Security among others (lack of resources/expertise, compliance, etc.) is one of the most important issues in cloud, according to a survey by RightScale (RightScale, 2016). This creates the need for information system engineers to design forensic-enabled services in order to resolve cloud incidents (cyber-attacks) as fast and efficient as possible raising in parallel the trustworthiness of the services provided. Conducting an effective cloud forensic investigation requires, from an information systems development point of view, the support of the designers in identifying requirements that will assist developers to build a forensic-enabled information system; this is an information system that its architecture supports forensic investigation. The concept of designing a cloud forensic-enabled service is to provide investigators with all the necessary capabilities to solve an incident in a forensically sound manner. In order to do so, designers need to explore those forensic requirements and processes that will identify a cloud service or a system as forensic-enabled.The literature lacks work to support software engineers in identifying forensic-related requirements for information systems. To address the aforementioned gap this dissertation is concentrating on the requirements engineering framework in order to support the elicitation of forensic requirements. Before implementing the framework a thorough literature analysis has been conducted to identify and critically review the methodologies introduced for digital and cloud forensics investigation as well as the challenges and the solutions presented on the respective field. The necessity of this review is for understanding the investigators’ demands during a forensic process and the present efforts already conducted in the cloud in order to implement a cloud forensic-enabled service. The framework consists of a set of cloud forensic constraints, a modelling language expressed through a conceptual meta-model, and a process based on the concepts. The applicability of the framework is tested on a real case study.

Η τεχνολογία της Πληροφορικής έχει αλλάξει τον τρόπο που οι άνθρωποι σκέπτονται και λειτουργούν σε κάθε πτυχή της ζωής τους. Οι άνθρωποι πλέον εξαρτώνται σε μεγάλο βαθμό από τους υπολογιστές και η χρήση της πληροφορικής μετασχηματίζεται καθημερινά. Τα τελευταία χρόνια, η παραδοσιακή τεχνολογία ηλεκτρονικών υπολογιστών έχει προχωρήσει σε μια διαφορετική, πιο απαιτητική και πολλά υποσχόμενη εποχή που υπαγορεύεται από την πρόοδο του Διαδικτύου. Οι επιτραπέζιοι υπολογιστές και οι σκληροί δίσκοι έχουν αντικατασταθεί από κινητά τηλέφωνα, tablet και web browsers. Η αυξανόμενη ζήτηση υπολογιστικής ισχύος και πόρων, οδηγούν τις παραδοσιακές μορφές υπηρεσιών να μεταλλάσσονται πολύ γρήγορα. Κατά τη διάρκεια αυτής της εποχής, οι χρήστες έχουν βιώσει μια τεράστια προσφορά εφαρμογών και υπηρεσιών στον τομέα του cloud computing, που είναι σίγουρα μία από τις σημαντικότερες υπηρεσίες που παρέχονται σε αυτή την εποχή.Το Cloud computing έχει κυριαρχήσει στον κόσμο μας δίνοντας μια διαφορετική προοπτική και νέους ορίζοντες. Αμέσως επεκτάθηκε σε εταιρείες και οργανισμούς εξαιτίας των πολυάριθμων πλεονεκτημάτων που προσφέρει, ιδιαίτερα ευελιξίας και ελαστικότητας στους πελάτες μέσω της πληρωμής ανάλογα με τη χρήση της υπηρεσίας. Κάθε μέρα, πολλές οργανώσεις και εταιρείες μεταφέρουν τις υπηρεσίες τους πάνω στο cloud και ένας μεγάλος αριθμός εταιρειών σκέφτονται να υιοθετήσουν αυτήν την τεχνολογία. Ωστόσο, υπάρχουν πολλά μειονεκτήματα που καθιστούν τα περιβάλλοντα νεφοϋπολογιστικής ευάλωτα σε διάφορες απειλές ανάλογα με το μοντέλο υπηρεσίας που χρησιμοποιείται (Kalloniatis et al., 2013, Kalloniatis et al., 2014, Manousakis et al., 2013). Το κύριο εμπόδιο των εταιρειών να μεταφέρουν τα συστήματά τους στο cloud αφορά την ασφάλεια και τον συνεχώς αυξανόμενο αριθμό ψηφιακών εγκλημάτων που συμβαίνουν στα συγκεκριμένα περιβάλλοντα. Παρά τις θετικές πτυχές που η ταχεία ανάπτυξη του cloud computing έχει φέρει στους χρήστες, έχει προσελκύσει επίσης έναν αυξανόμενο αριθμό χρηστών που θεωρούν το περιβάλλον του cloud ως τομέα κακόβουλης δράσης. Όπως είναι γνωστό, "όπου βρίσκονται οι άνθρωποι, τα δεδομένα και τα χρήματα, πηγαίνει και το έγκλημα" (Dykstra, 2013): 19. Σύμφωνα με μια έκθεση που υποστηρίζεται από την McAfee, η παγκόσμια δραστηριότητα στον κυβερνοχώρο (συμπεριλαμβανομένου του εγκλήματος στο cloud) κοστίζει μέχρι και 500 δισεκατομμύρια δολάρια ετησίως, ποσό που αντιστοιχεί σχεδόν στο εκτιμώμενο κόστος της εμπορίας ναρκωτικών (McAfee, 2014).Λαμβάνοντας υπόψη την προηγούμενη έκθεση, θα μπορούσαμε εύκολα να καταλήξουμε στο συμπέρασμα ότι το έγκλημα στον κυβερνοχώρο είναι ένα σημαντικό ζήτημα προκαλώντας μεγάλες ανησυχίες μεταξύ των παρόχων υπηρεσιών cloud, των χρηστών και της επιβολής του νόμου. Γι’ αυτό ακριβώς το λόγο πρέπει να αναπτυχθούν πολιτικές, κανονισμοί και ασφαλείς μηχανισμοί για την προστασία των ανθρώπων από την παραπλάνηση. Οι ιατροδικαστική (forensics) είναι ένα βήμα προς τα εμπρός για την αντιμετώπισή τους και θα πρέπει να εφαρμόζεται κατά τη διάρκεια της έρευνας, προκειμένου να εντοπιστούν και να ανακτηθούν τα αποδεικτικά στοιχεία που θα γίνουν δεκτά στα δικαστήρια. Οι ερευνητές πρέπει να διενεργούν έρευνες στην ψηφιακή ανάκτηση και ανάλυση των δεδομένων (digital forensics) για τον εντοπισμό, τη διατήρηση, την ανάκτηση και την ανάλυση όλων των αποδεικτικών στοιχείων, έτσι ώστε να παρουσιάσουν ακριβή και αξιόπιστα αποτελέσματα στην αίθουσα του δικαστηρίου. Αυτός ο τύπος ιατροδικαστικής/εγκληματολογίας (forensics) έχει δημιουργήσει μια νέα περιοχή στον τομέα που ονομάζεται ψηφιακή ανάκτηση και ανάλυση των δεδομένων σε περιβάλλοντα νεφοϋπολογιστικής (cloud forensics).Η ικανότητα των ερευνητών στο cloud forensics να διεξάγουν αξιόπιστα μία έρευνα εξαρτάται πλήρως από τα εργαλεία και τις μεθόδους που χρησιμοποιούνται, για να ανακτήσουν τα κατάλληλα ψηφιακά αποδεικτικά στοιχεία από μια συσκευή. Οι σύγχρονες μέθοδοι ψηφιακής ανάκτησης και ανάλυσης δεδομένων, τα εργαλεία και τα πλαίσια που χρησιμοποιούνται για τη διενέργεια ψηφιακής έρευνας δεν μπορούν να ικανοποιήσουν τις απαιτήσεις και τα πρότυπα για τη νέα τεχνολογία σε περιβάλλοντα cloud (Adams, 2013, Almulla et al., 2014, Kohn et al. Choo, 2012, Pichan et al., 2015, Ruan et al., 2011b, Zawoad and Hasan, 2013, Grispos et αϊ., 2012). Αυτό συμβαίνει λόγω του γεγονότος ότι η τεχνολογία των υπολογιστών αλλάζει διαρκώς και η ιατροδικαστική δεν είναι σε θέση να ακολουθήσει αυτόν τον ρυθμό.Η ασφάλεια μεταξύ άλλων (έλλειψη πόρων / εμπειρογνωμοσύνης, συμμόρφωση, κλπ.) είναι ένα από τα πιο σημαντικά ζητήματα στο cloud computing, σύμφωνα με έρευνα της RightScale (RightScale, 2016). Αυτό δημιουργεί την ανάγκη για τους μηχανικούς συστημάτων πληροφορικής να σχεδιάζουν cloud υπηρεσίες που να ικανοποιούν τις εγκληματολογικές απαιτήσεις προκειμένου να επιλύσουν περιστατικά σε περιβάλλοντα νεφοϋπολογιστικής (επιθέσεις στον κυβερνοχώρο) όσο το δυνατόν ταχύτερα και αποτελεσματικότερα αυξάνοντας παράλληλα την αξιοπιστία των παρεχόμενων υπηρεσιών. Η διεξαγωγή μιας αποτελεσματικής εγκληματολογικής έρευνας στο cloud απαιτεί, από την άποψη της ανάπτυξης των πληροφοριακών συστημάτων, την υποστήριξη των σχεδιαστών για τον εντοπισμό απαιτήσεων που θα βοηθήσουν τους προγραμματιστές να δημιουργήσουν ένα πληροφοριακό σύστημα που να ικανοποιούνται οι εγκληματολογικές απαιτήσεις. Η ιδέα του σχεδιασμού μιας νέας υπηρεσίας που ικανοποιεί τις εγκληματολογικές απαιτήσεις είναι να παρέχει στους ερευνητές όλες τις απαραίτητες δυνατότητες για την επίλυση ενός περιστατικού κατά τρόπο έγκυρο. Για να γίνει αυτό, οι σχεδιαστές πρέπει να εξερευνήσουν αυτές τις εγκληματολογικές απαιτήσεις και διαδικασίες οι οποίες θα προσδιορίσουν μια υπηρεσία ή ένα σύστημα στο cloud ως σύμφωνη με τις εγκληματολογικά εγκεκριμένες και αποδεκτές μεθόδους και όρους.Η βιβλιογραφία στερείται αποτελεσμάτων που να υποστηρίζουν τους μηχανικούς πληροφοριακών συστημάτων στον εντοπισμό των σχετικών με την εγκληματολογία απαιτήσεων. Για να αντιμετωπιστεί το προαναφερθέν κενό, αυτή η διατριβή επικεντρώνεται στο απαιτούμενο μηχανικό πλαίσιο (engineering framework) για να υποστηρίξει την εκπόνηση των εγκληματολογικών απαιτήσεων. Πριν από την εφαρμογή του πλαισίου, διεξήχθη διεξοδική βιβλιογραφική ανάλυση για τον εντοπισμό και την κριτική επισκόπηση των μεθοδολογιών που εισήχθησαν για τη διερεύνηση της εγκληματολογίας σε παραδοσιακά και περιβάλλοντα νεφοϋπολογιστικής, καθώς και για τις προκλήσεις και τις λύσεις που παρουσιάστηκαν στον αντίστοιχο τομέα. Η αναγκαιότητα αυτής της ανασκόπησης είναι η κατανόηση των απαιτήσεων των ερευνητών κατά τη διάρκεια μιας εγκληματολογικής έρευνας και οι προσπάθειες που έχουν ήδη πραγματοποιηθεί στο cloud, προκειμένου να αναπτυχθεί μια υπηρεσία που να είναι σύμφωνη με τις εγκληματολογικές απαιτήσεις σε περιβάλλοντα νεφοϋπολογιστικής. Το πλαίσιο περιλαμβάνει ένα σύνολο εγκληματολογικών περιορισμών/απαιτήσεων σε περιβάλλοντα νεφοϋπολογιστικής, μια γλώσσα σχεδιασμού που εκφράζεται μέσω ενός εννοιολογικού μετα-μοντέλου και μια διαδικασία βασισμένη στις έννοιες. Η εφαρμογή του πλαισίου δοκιμάστηκε σε μια πραγματική μελέτη περίπτωσης.