Cloud – also einer virtuellen Maschine –
angegriffen worden ist und der Angriff
das physische System oder andere Teile
der Cloud beeinträchtigt. Hat sich etwa
per Wordpress-Installation ein Wurm
eingenistet, der Bitcoins berechnet oder
Spam verschickt, ist das möglicherweise
am erhöhten Traffic auf dem physischen
System zu erkennen. Hier spielt freilich
auch das Angriffsszenario eine Rolle,
denn je besser ein Angriff ist, desto
schwieriger ist er erkennbar.
Aus ähnlichen Überlegungen heraus ist
auch zentralisiertes Logging äußerst hilf-
reich für forensische Zwecke, denn es
lässt in vielen Fällen erkennen, wanneine Attacke begann. Das funktioniert
selbst dann, wenn das Zielsystem in einer
Weise angegriffen worden ist, die die dor-
tigen, lokalen Logs verändert hat.Mehr Möglichkeiten
Anders als Kunden, die Clouddienstleis-
tungen konsumieren, haben Anbieter bei
forensischen Maßnahmen mehr Möglich-
keiten, weil sie Zugriff auf das physische
System und notfalls auch auf die Hard-
ware haben. Zur Erinnerung: Cloud-VMs
kennen üblicherweise zwei Arten von
Storage, nämlich den flüchtigen Speicher
auf den Platten der physischen Systemefleuchen und Zugriff
auf den physischen
Host zu erlangen, ist
das schon eine Kata-
strophe.
Gehören zur virtuel-
len Umgebung, in der
der Einbruch stattge-
funden hat, viele VMs,
die sich auf viele Sys-
teme verteilen, ist das
der Super-GAU: Dann
nämlich kann der An-
greifer viele Systeme
innerhalb der Umge-
bung auf dieselbe Art
und Weise infiltrieren
und andere virtuelle
Setups ebenfalls kom-
promittieren.
Der wichtigste Faktor
aus Admin-Sicht ist
es deshalb, möglichst
frühzeitig zu bemer-
ken, wenn etwas nicht so ist, wie es sein
sollte. Je kleiner er den Schaden hält,
desto weniger forensische Arbeit ist an-
schließend notwendig.
MAT und zentralisiertes
Logging
Unerlässliche Werkzeuge für funktionale
Forensik-Ansätze sind Systeme für Mo-
nitoring, Alerting und Trending (MAT)
sowie ein zentralisiertes Logging. MAT
lässt sich etwa mit Influx DB oder Pro-
metheus erreichen und verschafft dem
Admin einen klaren zeitlichen Vorteil in
allen Fällen, in denen ein System in der
49http://www.linux-magazin.deTitelthemaCloud-ForensikAbbildung 4: Open Stack und Ceph können hervorragend miteinander – so bindet ein KVMComputeKnoten RBDLaufwerke ein.