Captulo 7 Ferramentas Livres - 195

Captulo 8 Forense em Mquinas Virtuais

8.1. Objetivos
Entender o funcionamento de mquinas virtuais Entender o funcionamento de virtualizao em cloud computing Compreender como se desenrola o processo de anlise forense em sistemas operacionais virtualizados

Captulo 8 Forense em Mquinas Virtuais - 196

8.2. Introduo
Com o avano da tecnologia, vrias solues surgiram para diminuir custos e aumentar a disponibilidade dos sistemas e servios oferecidos pelo setor de TI. Uma dessas solues, a virtualizao de sistemas operacionais completos, o que possibilitou uma incrvel diminuio nos gastos com hardware para as organizaes. No entanto, com a virtualizao, surge um novo paradigma computacional, completamente diferente do anterior, onde no podemos ter acesso memria fsica de sistemas virtualizados que compartilham os mesmo dispositivos de hardware. Como tudo virtualizado, os processos do sistema tambm so virtualizados, assim como os discos e mdias, que antes eram fsicos. E como atualmente muitos sistemas esto migrando para a web, mesmo clusters completos de servidores, a virtualizao migrou junto. E nesse contexto, surge o que conhecido como Cloud Computing, ou computao em nuvem. Nesse novo paradigma, nem aos servidores com os sistemas virtualizados, temos acesso fisicamente. E como os crimes e comprometido no so prerrogativas apenas de sistemas tradicionais, essas mesmas questes tambm ocorrem em mquina virtualizadas e sistemas em nuvem. O problema nesse caso, que precisamos entender como essa tecnologia funciona, como podemos realizar a anlise de seus dados e, principalmente, como utilizar essa tecnologia em benfcio prprio como peritos forense.

8.3. Mquina Virtuais

Desde a publicao do VMware vSphere, precisamos considerar alguns aspectos da forense digital que so afetados pela virtualizao e computao em nuvem. Agora, existem vrios problemas com a forense digital dentro da nuvem e, portanto, com todo o ambiente virtual. So eles:

Captulo 8 Forense em Mquinas Virtuais - 197

A aquisio de dados dentro da nuvem Como coletar dados Quais dados recolher Como lidar movimento Como respeitar a privacidade dos outros host que no esto sob investigao. com os dados que normalmente esto sempre em

8.3.1. Como coletar dados

O estado da arte para a coleta de dados forense recolher pouco a pouco a duplicata de uma imagem de disco usando um duplicador ou ferramentas de duplicao via rede. Se desejamos as imagens da memria, isso requer um tempo ainda maior, de forma que possamos realizar a duplicao da memria antes de congelarmos a execuo do host virtualizado. muito mais fcil criar uma duplicao forense de um disco virtual do que de um disco real. Tomando por referencia uma duplicao post-mortem, a duplicao de um HD real pode ser to simples quanto usar um software de aquisio forense diretamente na mdia desligada, ou ento to complicado quanto encarar um monte de discos em um RAID xxx. Dessa forma, mesmo o caso mais simples d um certo trabalho. Porm, quando se trata de duplicar um disco virtual, todo o trabalho se reduz em realizar a cpia e o hash do arquivo que representa o tal disco (um .vmdk para VMWare ou .vdi para VirtualBox). Colocando de maneira bem simplificada, podemos fazer a aquisio post mortem e ter uma viso esttica dos dados do HD, ou ento podemos fazer uma aquisio conhecida como Live, onde o computador continua ligado. Essa segunda modalidade mais rpida e tem o benefcio de no precisar desligar a mquina, mas a viso dos dados dinmica. Isso traz imediatas consequencias, pois antes da

Captulo 8 Forense em Mquinas Virtuais - 198 aquisio chegar ao final, o contedo capturado do incio da mdia j pode ter sido alterado. Com isso, o hash no ser capaz de comprovar integridade com a mdia, por exemplo. Nesse caso, a captura de uma imagem forense de uma mquina virtual oferece uma terceira opo. Ela funciona como uma semi-live. A idia bem simples, no fim das contas. Basta ir no gerenciador da mquina virtual e interromper a execuo dela temporariamente. Em geral, o comando que realiza essa tarefa semelhante a uma pausa. Pode-se interromper e retornar a execuo de uma mquina virtual a qualquer momento. Ao interromper, o arquivo de disco virtual pode ser copiado normalmente. Ao fim da cpia, retorna-se a mquina ao estado de execuo sem mais demoras. O maior benefcio dessa tcnica pode ser a possibilidade de ter novamente uma viso esttica da mdia, alm de permitir retornar a mquina bem mais rpido que no caso de uma aquisio post-mortem.

8.4. Cloud Computing

Levando em considerao que servidores cloud funcionam baseados em virtualizao, o processo de extrao e gerenciamento de dados normalmente idntico aos servidores virtualizados dentro da infraestrutura de uma empresa. Portanto, a maior diferena, que torna um pouco mais difcil a aquisio de dados, o fato de que no temos acesso fsico ao servidor onde os servidores esto virtualizados, e normalmente eles esto do outro lado do mundo. Entretanto, possvel, ainda assim, como nas mquinas virtualizadas dentro da infraestrutura, pausar o funcionamento dos servidores virtualizados na cloud e capturar o estado atual da mquina. Normalmente, o gerenciamento de cada mquina virtualizada feito atravs d eum painel de controle via web, onde permitido a criao, excluso, duplicao, execuo, pausa e desligamento de cada uma das mquinas disponveis para uso. De acordo com o exposto acima, podemos afirmar que a maioria das ferramentas utilizadas em um servidor real, tambm se aplicam servidores

Captulo 8 Forense em Mquinas Virtuais - 199 virtualizados. Porm, uma coisa a mais podemos acrescentar: a aquisio de dados em sistemas virtualizados bem mais fcil e tranquila do que em um servidor real em produo, pois basta, na maior parte das vezes, duplicar a imagem do disco e remont-lo em um ambiente virtualizado, sem prejuzos para o sistema em produo.