Cloud Forensics: ক্লাউড ইনফ্রাস্ট্রাকচারে সাইবার হামলার ডিজিটাল প্রমাণ সংগ্রহ!

Cloud Forensics হলো ডিজিটাল ফরেনসিক্সের একটি উপশাখা, যা বিশেষভাবে ক্লাউড কম্পিউটিং পরিবেশে সংঘটিত সাইবার অপরাধ বা নিরাপত্তা ঘটনার তদন্তের জন্য ব্যবহৃত হয়। এর মূল উদ্দেশ্য হলো ক্লাউড সার্ভিস প্রোভাইডার বা CSP (যেমন AWS, Microsoft Azure, Google Cloud Platform) থেকে ডিজিটাল প্রমাণ সংগ্রহ করা, সেগুলোর অখণ্ডতা বজায় রেখে বিশ্লেষণ করা এবং প্রয়োজনে আদালতে উপস্থাপনযোগ্য রিপোর্ট তৈরি করা।

প্রচলিত ফরেনসিক্সের সাথে এর মূল পার্থক্য তিনটি জায়গায়। প্রথমত, multi-tenancy অর্থাৎ একই হার্ডওয়্যার একাধিক গ্রাহক ব্যবহার করেন, ফলে অন্যের ডেটায় হাত দেওয়া যায় না। দ্বিতীয়ত, jurisdictional issue অর্থাৎ ডেটা কোন দেশে সংরক্ষিত তা নিয়ে আইনি জটিলতা। তৃতীয়ত, volatility বা অস্থিরতা—ভার্চুয়াল মেশিন বা কন্টেইনার মুহূর্তেই তৈরি ও ধ্বংস হতে পারে, ফলে প্রমাণ হারিয়ে যাওয়ার ঝুঁকি অনেক বেশি।

NIST SP 800-86 এবং ISO/IEC 27037 স্ট্যান্ডার্ড অনুসারে, যেকোনো ডিজিটাল ফরেনসিক্স প্রক্রিয়া চারটি ধাপে বিভক্ত: Identification, Collection, Examination, এবং Reporting। ক্লাউড পরিবেশে এই প্রতিটি ধাপেই অতিরিক্ত চ্যালেঞ্জ যুক্ত হয়।

ক্লাউড সার্ভিস তিনটি প্রধান মডেলে আসে—IaaS, PaaS এবং SaaS। প্রতিটি মডেলে ফরেনসিক ইনভেস্টিগেটরের নিয়ন্ত্রণের পরিধি ভিন্ন।

IaaS (Infrastructure as a Service): এখানে ইনভেস্টিগেটরের সবচেয়ে বেশি নিয়ন্ত্রণ থাকে। আপনি ভার্চুয়াল মেশিনের snapshot নিতে পারেন, ডিস্ক ইমেজ সংগ্রহ করতে পারেন, এমনকি memory dump-ও করতে পারেন। AWS-এ EC2 instance-এর জন্য EBS volume snapshot তৈরি করে সেটি একটি বিশ্লেষণ-উপযোগী instance-এ attach করা যায়।

PaaS (Platform as a Service): এখানে অপারেটিং সিস্টেম বা হার্ডওয়্যারে অ্যাক্সেস নেই। কেবল অ্যাপ্লিকেশন লগ এবং প্ল্যাটফর্ম-প্রদত্ত diagnostic ডেটা পাওয়া যায়। Azure App Service-এর ক্ষেত্রে Application Insights বা Kudu console থেকে লগ সংগ্রহ করতে হয়।

SaaS (Software as a Service): এই মডেলে ইনভেস্টিগেটর প্রায় পুরোপুরি CSP-এর উপর নির্ভরশীল। Microsoft 365 বা Google Workspace-এর ক্ষেত্রে Unified Audit Log বা Admin Audit Log-ই প্রমাণের প্রধান উৎস।

এই কারণেই বলা হয়, ক্লাউডে ফরেনসিক্সের সফলতা অনেকাংশে নির্ভর করে আপনি কী ধরনের সার্ভিস ব্যবহার করছেন এবং Shared Responsibility Model অনুসারে আপনার দায়িত্ব কতটুকু তার উপর।

একজন Cloud Forensics বিশেষজ্ঞ যখন তদন্ত শুরু করেন, তখন তাকে বিভিন্ন স্তর থেকে প্রমাণ সংগ্রহ করতে হয়। প্রতিটি উৎসের নিজস্ব গুরুত্ব ও সীমাবদ্ধতা আছে।

Control Plane Logs: এগুলো হলো API call-এর রেকর্ড। AWS CloudTrail, Azure Activity Log এবং GCP Cloud Audit Logs এই বিভাগে পড়ে। কে কখন কোন অ্যাকশন নিয়েছে, কোন IP থেকে এসেছে, কোন রিসোর্সে পরিবর্তন এনেছে—সব তথ্য এখানে পাওয়া যায়। ক্রেডেনশিয়াল চুরি বা privilege escalation তদন্তে এগুলো অমূল্য।

Data Plane Logs: S3 access logs, VPC Flow Logs, DNS query logs—এসব ডেটা ট্রাফিক এবং ফাইল অ্যাক্সেসের প্যাটার্ন বুঝতে সাহায্য করে। তবে এই লগগুলো ডিফল্টভাবে enabled থাকে না, ফলে আগে থেকেই কনফিগার করা না থাকলে তদন্তকারীকে শূন্য হাতে ফিরতে হয়।

Compute Instance Artifacts: ভার্চুয়াল মেশিনের snapshot থেকে ফাইল সিস্টেম, registry hive, browser history, এবং deleted files উদ্ধার করা যায়। AWS EC2-এর ক্ষেত্রে EBS snapshot তৈরি করে সেটি একটি forensic workstation-এ mount করে SANS SIFT বা Autopsy-এর মতো টুল দিয়ে বিশ্লেষণ করা সম্ভব।

Container ও Serverless Artifacts: Kubernetes pod log, Lambda invocation log, এবং container runtime log আধুনিক ক্লাউড-নেটিভ অ্যাপ্লিকেশন তদন্তের অপরিহার্য অংশ। তবে এদের ephemeral প্রকৃতির কারণে real-time log shipping ছাড়া প্রমাণ সংরক্ষণ কঠিন।

Identity Provider Logs: Azure AD sign-in logs, Okta system logs, বা AWS IAM Access Analyzer থেকে authentication ও authorization-এর সম্পূর্ণ চিত্র পাওয়া যায়। MFA bypass বা session token theft-এর তদন্তে এগুলো গুরুত্বপূর্ণ।

ক্লাউডে প্রমাণ সংগ্রহের সময় Chain of Custody বজায় রাখা অপরিহার্য। প্রতিটি প্রমাণের জন্য SHA-256 hash তৈরি করে সংরক্ষণ করতে হয়, যাতে পরবর্তীতে অখণ্ডতা প্রমাণ করা যায়।

AWS পরিবেশের জন্য: EC2 instance-এর forensic image নিতে প্রথমে EBS volume-এর snapshot তৈরি করতে হয়। তারপর সেই snapshot থেকে একটি নতুন volume তৈরি করে isolated forensic VPC-এর একটি analysis instance-এ attach করতে হয়। dd বা dc3dd কমান্ড দিয়ে raw image তৈরি করে S3-এর Object Lock-enabled bucket-এ সংরক্ষণ করা ভালো অভ্যাস। CloudTrail logs CloudTrail Lake-এ query করা যায় SQL-এর মতো ভাষায়।

Azure পরিবেশের জন্য: Azure VM-এর জন্য managed disk-এর snapshot নিয়ে সেটি Azure Storage-এ export করতে হয়। Azure CLI-এর az snapshot create কমান্ড ব্যবহার করা হয়। Microsoft Sentinel SIEM হিসেবে ব্যবহার করলে KQL (Kusto Query Language) দিয়ে দ্রুত বিশ্লেষণ সম্ভব।

GCP পরিবেশের জন্য: Compute Engine-এর persistent disk থেকে snapshot তৈরি করে Cloud Storage-এ export করা যায়। GCP-এর Cloud Logging এবং Cloud Asset Inventory ফরেনসিক বিশ্লেষণে সহায়ক।

জনপ্রিয় ওপেন-সোর্স টুলগুলোর মধ্যে রয়েছে GRR Rapid Response, Velociraptor, Cloud Custodian, এবং Magnet AXIOM Cyber। কমার্শিয়াল সলিউশনের মধ্যে EnCase Forensic এবং Cellebrite-এর সিরিজ উল্লেখযোগ্য।

২০১৯ সালের Capital One ব্রিচ Cloud Forensics-এর একটি ক্লাসিক উদাহরণ। একজন প্রাক্তন AWS কর্মচারী একটি misconfigured Web Application Firewall-এর সুযোগ নিয়ে SSRF (Server-Side Request Forgery) আক্রমণের মাধ্যমে EC2 instance-এর metadata service থেকে temporary IAM credentials সংগ্রহ করেন এবং সেগুলো ব্যবহার করে S3 bucket থেকে প্রায় ১০ কোটি মানুষের তথ্য চুরি করেন। তদন্তে CloudTrail logs বিশ্লেষণ করে দেখা যায়, IAM role-টি অস্বাভাবিকভাবে S3 ListBucket এবং GetObject API call করছিল। GuardDuty-এর alerts এই অস্বাভাবিকতা ধরতে সাহায্য করেছিল।

আরেকটি উল্লেখযোগ্য কেস হলো 2023 সালের Microsoft Storm-0558 ইনসিডেন্ট, যেখানে একটি চীনা থ্রেট অ্যাক্টর Microsoft-এর consumer key চুরি করে Outlook Web Access-এ অননুমোদিত প্রবেশ করেছিল। এই ঘটনার তদন্তে Microsoft-কে Purview Audit লগের scope সম্প্রসারিত করতে হয়েছিল, কারণ অনেক ভুক্তভোগী প্রতিষ্ঠানের কাছে প্রয়োজনীয় লগ সংরক্ষিত ছিল না।

বাংলাদেশের প্রেক্ষাপটেও আমরা দেখেছি, ই-কমার্স ও ফিনটেক প্রতিষ্ঠানগুলো ক্লাউডে স্থানান্তর হওয়ার পর misconfigured S3 bucket থেকে কাস্টমার ডেটা ফাঁস হওয়ার ঘটনা ঘটেছে। এসব ক্ষেত্রে CloudTrail বা equivalent logging না থাকায় তদন্ত প্রায়ই অসম্পূর্ণ থেকে যায়।

Cloud Forensics-এর সবচেয়ে বড় মাথাব্যথা হলো আইনি জটিলতা। GDPR, CLOUD Act, এবং বিভিন্ন দেশের ডেটা সার্বভৌমত্ব আইন তদন্তকারীর কাজ কঠিন করে তোলে। উদাহরণস্বরূপ, একটি বাংলাদেশি প্রতিষ্ঠানের ডেটা যদি আয়ারল্যান্ডের একটি AWS data center-এ থাকে, তবে সেই ডেটা অ্যাক্সেস করতে EU আইন প্রযোজ্য হতে পারে।

আদালতে প্রমাণ গ্রহণযোগ্য হতে হলে তা admissibility-এর শর্ত পূরণ করতে হবে। এর জন্য Chain of Custody, write-blocker ব্যবহার, এবং hash verification বাধ্যতামূলক। ক্লাউডে যেহেতু আপনি সরাসরি স্টোরেজে হাত দিচ্ছেন না, সেক্ষেত্রে CSP-প্রদত্ত API-এর মাধ্যমে সংগৃহীত প্রমাণ যথাযথভাবে নথিভুক্ত করতে হবে।

Service Level Agreement (SLA)-এ অনেক সময় বলা থাকে কতদিন পর্যন্ত CSP লগ সংরক্ষণ করবে। AWS CloudTrail-এর Management Events ডিফল্টভাবে ৯০ দিন রাখে, যা ফরেনসিক্সের জন্য যথেষ্ট নয়। তাই CloudTrail Lake বা S3-তে দীর্ঘমেয়াদী সংরক্ষণের ব্যবস্থা করা জরুরি।

প্রকৃত হামলার পরে নয়, বরং আগেই প্রস্তুতি নিলে Cloud Forensics অনেক বেশি কার্যকর হয়। নিচের অভ্যাসগুলো প্রতিটি প্রতিষ্ঠানের গ্রহণ করা উচিত।

Comprehensive Logging Enable করুন: CloudTrail Management Events এবং Data Events উভয়ই enable করুন। VPC Flow Logs, S3 access logs, এবং DNS query logs চালু রাখুন। লগ সংরক্ষণের জন্য একটি আলাদা, immutable bucket ব্যবহার করুন যাতে attacker সেগুলো মুছতে না পারে।

Centralized SIEM ব্যবহার করুন: Splunk, Microsoft Sentinel, বা Elastic Security-এর মতো SIEM-এ সব ক্লাউড লগ এগ্রিগেট করুন। এতে real-time correlation এবং threat hunting সহজ হয়।

Incident Response Playbook তৈরি করুন: ক্লাউড-নির্দিষ্ট IR playbook তৈরি করুন যাতে কোন আক্রমণে কোন স্নাপশট নিতে হবে, কোন API call করতে হবে—সব পূর্বনির্ধারিত থাকে। NIST SP 800-61 অনুসরণ করে playbook তৈরি করা যায়।

Tabletop Exercise করুন: নিয়মিত simulation exercise-এর মাধ্যমে আপনার টিমের প্রস্তুতি যাচাই করুন। বছরে অন্তত দুইবার এই অনুশীলন করা উচিত।

Forensic Readiness Architecture: AWS-এ একটি ডেডিকেটেড forensic account তৈরি করুন যেখানে snapshot গুলো cross-account replication-এর মাধ্যমে সংরক্ষিত হবে। এতে আক্রমণকারী মূল account-এ অ্যাক্সেস পেলেও forensic ডেটা সুরক্ষিত থাকবে।

Least Privilege Principle: IAM role এবং user-দের ন্যূনতম প্রয়োজনীয় permission দিন। অতিরিক্ত privilege থাকলে attacker সহজেই lateral movement করতে পারে এবং প্রমাণ মুছে দিতে পারে।

Cloud Forensics ক্ষেত্রটি দ্রুত বিবর্তিত হচ্ছে। AI-driven anomaly detection, automated evidence collection, এবং blockchain-based chain of custody-এর মতো প্রযুক্তি ভবিষ্যতে এই ক্ষেত্রকে আরও শক্তিশালী করবে। তবে একই সাথে attacker-রাও AI ব্যবহার করে আরও sophisticated আক্রমণ চালাবে। তাই প্রতিনিয়ত শেখা এবং নতুন কৌশল রপ্ত করা ছাড়া বিকল্প নেই।

Cloud-Native Forensics নামক একটি নতুন ধারণার আবির্ভাব হয়েছে, যেখানে eBPF, Kubernetes audit logs, এবং service mesh telemetry ব্যবহার করে container ও serverless পরিবেশে গভীর দৃশ্যমানতা নিশ্চিত করা হয়। Falco, Tetragon, এবং Tracee-এর মতো টুল এই দিকটিকে এগিয়ে নিচ্ছে।