Ψηφιακή εγκληματολογία στο υπολογιστικό νέφος

Abstract

This PhD thesis aims to highlight the problems that arise during a forensic investigation in the cloud computing by applying classic methods of digital forensic investigations in the cloud computing environment. It points out how important log files are for conducting an investigation and explores whether existing cloud computing environments check the time synchronization of their individual systems, from which are created the time stamps in log files. The research of this particular thesis began by extensively studying the existing digital forensic investigation methodologies in an ordinary computer environment. Next, was created a general methodology framework of a digital forensics investigation, in which we integrated the basic steps of the individual methodologies, examined whether they can effectively cope with a cloud computing investigation, what kind of problems arise and what processes need to be modified. The general framework of our methodology consisted of three main phases: the preparation phase, the research phase and the presentation phase. In the second part of the thesis, we first highlighted the importance of logs files for the efficient conduction of a digital forensic investigation. More specifically, in cloud computing environments there are some challenges arise regarding log files. We first investigated what kind of contents a log file should have in order to yield the most in a digital forensics investigation. The second stage of our investigation was to determine the source of the data of a log record and whether it is reliable. Next, the retention period of log files and whether it is more efficient to store them in a centralized system or a distributed storage system was studied. The log files’ access policy was also reviewed in detail. Finally, we looked at the time at which the events were recorded. The result of the research was to propose solutions for successful time synchronization in cloud computing subsystems and we ended up introducing the concept of time correctness through logging all clock synchronization events. Regarding successful time synchronization, we investigated all time synchronization protocols in cloud computing environment and highlighted their advantages and disadvantages. Through research we have introduced the concept of recording in log files all the individual steps of time synchronization in cloud computing environments so that the investigator will be able to reproduce, if necessary, the time problems that existed at the crime scene.

Η συγκεκριμένη διατριβή στοχεύει να αναδείξει τα προβλήματα που προκύπτουν κατά την διάρκεια μας εγκληματολογικής έρευνας στο υπολογιστικό νέφος εφαρμόζοντας κλασικές μεθόδους ψηφιακών εγκληματολογικών ερευνών στο περιβάλλον του υπολογιστικού νέφους. Επισημαίνει πόσο σημαντικά είναι τα αρχεία καταγραφής συμβάντων για τη διεξαγωγή μιας έρευνας και διερευνά κατά πόσο τα υπάρχοντα περιβάλλοντα υπολογιστικού νέφους ελέγχουν τον συγχρονισμό του χρόνου των επιμέρους συστημάτων τους, από το οποίο προκύπτουν οι χρονοσφραγίδες στα αρχεία καταγραφής συμβάντων. Η έρευνα της συγκεκριμένης διατριβής ξεκίνησε μελετώντας εκτενώς τις ήδη υπάρχουσες μεθοδολογίες ψηφιακής εγκληματολογικής έρευνας σε ένα κλασικό περιβάλλον. Ακολούθως, δημιουργήθηκε ένα γενικό πλαίσιο μεθοδολογίας μιας ψηφιακής εγκληματολογικής έρευνας, στο οποίο ενσωματώσαμε τα βασικά βήματα των επιμέρους μεθοδολογιών, εξετάσαμε κατά πόσο αυτό μπορεί να ανταπεξέλθει αποδοτικά σε μια έρευνα στο υπολογιστικό νέφος, τι είδους προβλήματα προκύπτουν και ποιες διαδικασίες πρέπει να τροποποιηθούν. Το γενικό πλαίσιο της μεθοδολογίας μας αποτελούνταν από τρεις βασικές φάσεις: τη φάση της προετοιμασίας, τη φάση της έρευνας και τη φάση της παρουσίασης. Στο δεύτερο σκέλος της διατριβής, αρχικά αναδείξαμε την σημαντικότητα των αρχείων καταγραφής συμβάντων για την αποδοτική διεξαγωγή μιας ψηφιακής εγκληματολογικής έρευνας. Πιο συγκεκριμένα, σε περιβάλλοντα υπολογιστικού νέφους προκύπτουν κάποιες προκλήσεις αναφορικά με τα αρχεία καταγραφής συμβάντων. Στην αρχή ερευνήσαμε τι είδους περιεχόμενα θα πρέπει να έχει ένα αρχείο καταγραφής συμβάντων, ώστε να αποφέρει τα μέγιστα σε μια ψηφιακή εγκληματολογική έρευνα. Δεύτερο στάδιο της έρευνάς μας ήταν ο τρόπος του προσδιορισμού της πηγής των δεδομένων ενός αρχείου καταγραφής συμβάντων και κατά πόσο αυτή είναι αξιόπιστη. Ακολούθως μελετήθηκε η περίοδος διατήρησης των αρχείων καταγραφής συμβάντων και το εάν η αποθήκευσή τους είναι αποδοτικότερο να γίνεται σε ένα κεντροποιημένο σύστημα ή σε ένα κατανεμημένο σύστημα αποθήκευσης αρχείων καταγραφής συμβάντων. Επίσης, εξετάστηκε λεπτομερώς η πολιτική πρόσβασης στα αρχεία καταγραφής συμβάντων. Τέλος, εξετάσαμε τον χρόνο στον οποίο καταγράφονται τα συμβάντα.Ως αποτέλεσμα της έρευνας, προτάθηκαν λύσεις για τον επιτυχή συγχρονισμό του χρόνου στα υποσυστήματα του υπολογιστικού νέφους και καταλήξαμε στην εισαγωγή της έννοιας της ορθότητας του χρόνου μέσω της καταγραφής όλων των συμβάντων συγχρονισμού του ρολογιού. Αναφορικά με τον επιτυχή συγχρονισμό του χρόνου, ερευνήθηκαν όλα τα πρωτόκολλα συγχρονισμού του χρόνου σε περιβάλλον υπολογιστικού νέφους και αναδείξαμε τα πλεονεκτήματα και τα μειονεκτήματά τους. Μέσω της έρευνας εισάγαμε την έννοια της καταγραφής σε αρχεία καταγραφής συμβάντων όλων των επιμέρους βημάτων του συγχρονισμού του χρόνου σε περιβάλλοντα υπολογιστικού νέφους, ώστε ο ερευνητής να είναι σε θέση να αναπαράξει, εάν χρειαστεί, τα προβλήματα που υπήρχαν αναφορικά με τον χρόνο στη σκηνή του εγκλήματος.