A adoção de arquiteturas em nuvem aumenta a cada dia, e proporcionalmente aumenta também o número de casos em que esse tipo de tecnologia é usada para fins ilícitos. Infelizmente, devido à natureza volátil da nuvem, a tarefa de coletar evidências para análise forense nesse ambiente tem esbarrado em desafios práticos e legais. Mais precisamente, a prática herdada da forense tradicional para coleta de evidências, por meio da qual se isola a cena do crime e coletam-se todas as evidências, foi traduzida para a forense digital como a cópia bit a bit da mídia que se deseja investigar. Tal prática leva à coleta de grandes volumes de informação para análise, impactando negativamente o tempo de investigação. Além disso, duas características das soluções em nuvem dificultam a obtenção de evidências forensicamente confiáveis, além de atrapalhar o processo de análise de incidentes de modo geral. A primeira é que o compartilhamento de recursos físicos entre vários usuários impede a sua remoção para análise, uma vez que isso violaria a privacidade de indivíduos não envolvidos na investigação. A segunda é que a localização do recurso físico em uma região geográfica diferente daquela onde o crime foi cometido pode impedir a coleta de evidências caso não haja acordos de cooperação estabelecidos. Estes aspectos, se não forem levados em consideração, podem colocar em dúvida a credibilidade das evidências e diminuir a chance de serem aceitas em um processo legal. Este trabalho analisa propostas na literatura voltadas a resolver tais desafios na coleta evidências na nuvem, discutindo suas limitações. Propõe-se, então, uma solução que cobre coleta, transporte e armazenamento da evidência, visando suplantar as limitações existentes no estado da arte. A solução proposta, denominada Dizang , provê uma forma de correlacionar evidências e sua origem virtual, permitindo transportar e armazenar tais dados sem afetar sua credibilidade. Para tal, é proposto um mecanismo de identificação única do gerador da evidência, permitindo então preservar a relação evidência-origem mesmo que esta última não exista mais no ambiente sob investigação. Em resumo, Dizang tem como focos (1) a reprodutibilidade do processo de coleta, (2) o estabelecimento de um vínculo entre a evidência coletada e sua origem, (3) a preservação da jurisdição e da privacidade de usuários não envolvidos na investigação e (4) a garantia de custódia da evidência.

The adoption of cloud architectures is increasing day by day, and proportionally increases the number of cases in which this technology is used for illicit purposes. Unfortunately, due to the volatile nature of the cloud, the task of collecting evidences for forensic analysis in this environment has run into practical and legal challenges. The practice inherited from the traditional forensics, through which the crime scene is isolated and all the evidence is collected, was carried to digital forensics as the bitwise copy of the media to be investigated. Such practice leads to the collection of large volumes of information for analysis, negatively impacting the investigation time. In addition, two characteristics of cloud solutions make it difficult to obtain forensically reliable evidence and disrupt the overall incident analysis process. The first is that the sharing of physical resources among multiple users prevents their removal for analysis as this would violate the privacy of individuals not involved in the investigation. The second is that the location of the physical resource in a different geographic region from where the crime was committed may prevent the collection of evidence if no cooperation agreements are in place. These aspects, if not taken into consideration, may undermine the credibility of the evidence and decrease the likelihood of their acceptance in a legal process. This work, analyzes proposals found in the literature aimed at solving such challenges, discussing its limitations. It proposes a solution that covers collection-gathering, transportation and storage of evidence, aiming at overcoming existing limitations in the state of art. The proposed solution, called Dizang , provides a way of correlating evidence and its virtual origin, allowing the transport and storage of such data without affecting its credibility. For this, it proposes a mechanism to identify uniquely the source of the evidence, in order to preserve the relationship evidence-source even though the latter does not exist in the system under investigation. In summary, Dizang focuses on (1) the reproducibility of the collection process, (2) the establishment of a link between the evidence collected and its origin, (3) the preservation of jurisdiction and privacy of users not involved in the investigation and (4) the evidence's chain of custody.