Kryminalistyka IoT

Część serii poświęconej
kryminalistyce
Fizjologiczny Antropologia Biologia Analiza wzoru plamy krwi Stomatologia Fenotypowanie DNA profilowanie DNA Entomologia Epidemiologia Limnologia Medycyna Palinologia Patologia Podologia Toksykologia
Społeczny Psychiatria Psychologia Psychoterapia Praca społeczna
Kryminalistyka Rachunkowość Identyfikacja ciała Chemia Kolorymetria Kryminalistyka wyborcza Rekonstrukcja twarzy Analiza odcisków palców Badanie broni palnej Dowód obuwia Sztuki kryminalistyczne Profilowy Analiza odcisków rękawiczek Analiza odcisków dłoni Badanie zakwestionowanego dokumentu Dopasowanie żyły Geofizyka sądowa Geologia sądowa
Kryminalistyka cyfrowa Egzaminy komputerowe Analiza danych Badanie bazy danych Analiza złośliwego oprogramowania Urządzenia mobilne Analiza sieci Fotografia Analiza wideo Analiza dźwięku
Pokrewne dyscypliny Inżynieria elektryczna Inżynieria Dochodzenie w sprawie pożaru Wykrywanie przyspieszacza ognia Fraktografia Językoznawstwo Inżynieria materiałowa Inżynieria polimerów Statystyka Rekonstrukcja kolizji drogowej
Powiązane artykuły Miejsce zbrodni Efekt CSI Syndrom Perry'ego Masona Kalendarz pyłkowy Znak poślizgu Śledź dowody Wykorzystanie DNA w entomologii sądowej
Zarys Kategoria

IoT Forensics to dziedzina kryminalistyki cyfrowej , której celem jest identyfikacja i wydobywanie informacji cyfrowych z urządzeń należących do dziedziny Internetu rzeczy , przy użyciu rozsądnego i prawnie akceptowalnego procesu.

Przegląd

W odróżnieniu od tradycyjnych metod kryminalistyki cyfrowej , kryminalistyka IoT charakteryzuje się szerszym zakresem potencjalnych źródeł dowodów: w odniesieniu do tradycyjnej analizy serwerów , komputerów i smartfonów procesy kryminalistyczne IoT mogą wydobywać informacje z inteligentnych danych środowiskowych, w tym systemów monitorowania, ruchu światła, implanty medyczne, inteligentne urządzenia domowe i inne scenariusze IoT .

Ponadto potencjalne źródło dowodów w kryminalistyce IoT może mieć bardzo różny charakter w odniesieniu do typowych przypadków zastosowania kryminalistyki cyfrowej : ruch sieciowy, dane w chmurze , dzienniki urządzeń i więcej informacji można wyodrębnić i wykorzystać jako źródło dowodów, jeśli zostaną pomyślnie wyodrębnione i przetworzone w właściwa droga.

Kryminalistykę IoT można zidentyfikować jako połączenie trzech oddzielnych schematów kryminalistyki cyfrowej :

1. IoT Device Level forensics: Proces wydobywania dowodów z urządzeń IoT (tj. w pamięci urządzenia). W procesie tym można uwzględnić wiele urządzeń: na przykład czujniki , implanty zdrowotne, inteligentne liczniki , inteligentne urządzenia domowe, inteligentne kamery , pojazdy sieciowe , RFID i drony . Ponieważ urządzenia różnią się pod względem sprzętu i funkcjonalności, identyfikacja i pozyskiwanie dowodów na poziomie urządzenia jest często trudne i nie zawsze wykonalne.
2. Kryminalistyka sieci : Proces identyfikacji i wydobywania dowodów z dziennika sieci, śladów ruchu urządzeń i wzorców komunikacji. W stosunku do tradycyjnych badań sieciowych, dział IoT Network forensics obejmuje dodatkowe modele sieciowe, takie jak np. Body area network czy Personal area network (tj. urządzenia Bluetooth lub ZigBee ). Dla każdego rodzaju sieci muszą istnieć odpowiednie metody kryminalistyczne do badań, obejmujące różne narzędzia i odpowiednią protokołów sieciowych .
3. Cloud forensics: Proces ekstrapolacji informacji w chmurze używanej przez urządzenia. Ponieważ IoT mają zwykle ograniczoną pamięć, większość informacji jest przechowywana w zastrzeżonych aplikacjach w chmurze , które mogą zawierać ogromną liczbę potencjalnych dowodów (tj. aktywności urządzeń). Biorąc pod uwagę ilość informacji, które można odzyskać z różnych podmiotów zaangażowanych w chmurę , Cloud forensics odgrywa ważną rolę w domenie IoT Forensics: logi systemowe, logi dostępu, logi czatów, sesje, pliki cookie, uwierzytelnianie użytkowników i dane aplikacji to przykłady informacji, które można pobrać z usług w chmurze związanych z każdym urządzeniem IoT.

Proces kryminalistyczny IoT

Proces dochodzeniowy IoT forensic powinien być prowadzony zgodnie ze standardowymi wytycznymi, aby zebrany materiał dowodowy mógł zostać dopuszczony przez sąd. Proces ten jest analogiczny do procesu kryminalistyki cyfrowej , ale napotyka wyzwania spowodowane specyfiką urządzeń IoT. Cały proces można czasowo podzielić na sześć różnych faz: identyfikacja dowodów, gromadzenie dowodów, przechowywanie dowodów, analiza dowodów, przypisywanie ataków i braków, prezentacja dowodów. Każda z różnych faz procesu kryminalistycznego może wiązać się z kilkoma wyzwaniami w odniesieniu do ograniczeń urządzeń IoT.

Identyfikacja i gromadzenie dowodów

Identyfikacja dowodów i ich późniejsze gromadzenie to pierwsze fazy dla śledczych podczas procesów kryminalistycznych. Przeszukanie i zajęcie jest ważnym etapem każdego badania kryminalistycznego: w szczególnym przypadku kryminalistyki IoT wykrycie obecności systemów IoT nie zawsze jest natychmiastowe, biorąc pod uwagę, że urządzenia te mają zwykle małe wymiary i są zaprojektowane do pracy pasywnej i autonomicznej.

Większość informacji o urządzeniach IoT jest zwykle wysyłana do serwerów w chmurze, biorąc pod uwagę bardzo ograniczoną pamięć fizyczną samego urządzenia. Stanowi to nowe wyzwanie dla śledczych, którzy czasami nie mogą nawet wiedzieć, gdzie znajdują się dane, ponieważ są one rozproszone na wielu serwerach w wielu centrach danych. Ponadto po etapie identyfikacji gromadzenie dowodów w chmurze nie zawsze jest wykonalne, biorąc pod uwagę różne jurysdykcje, w których dane mogą się znajdować. Lokalizacje centrów danych dostawców usług chmurowych są zwykle rozproszone w celu obniżenia kosztów i zwiększenia wydajności usług. Z tego powodu śledczy często napotykają problemy związane z wieloma jurysdykcjami podczas gromadzenia danych, gdy informacje są przechowywane w chmurze.

W przypadku kryminalistyki sieciowej niektóre dowody można zebrać z urządzeń sieciowych, takich jak routery lub zapory ogniowe , ale większość potencjalnych źródeł dowodów sieciowych istnieje tylko w locie. Na przykład ruch sieciowy może być przechwytywany tylko w czasie, gdy przechodzi przez urządzenie, które go przetwarza. Istnieją urządzenia i procedury przechowywania ruchu sieciowego w postaci nieprzetworzonych danych, ale przechwytywanie i zapisywanie wszystkich danych sieciowych jest niepraktyczne ze względu na ich objętość. Kwestia prywatności i kwestie prawne pozyskiwania danych w kryminalistyce sieciowej jest nawet większy niż w przypadku cloud forensics, ponieważ dane sieciowe mogą zawierać wiele informacji niezwiązanych z danym przypadkiem prawnym. Bieżące badania IoT network forensics pracują nad rozwojem narzędzi opartych na najpopularniejszych programach ruchu sieciowego (np. tcpdump , Wireshark ) do wydobywania informacji z urządzeń sieciowych ( tj . pełny ruch nadal utrzymuje potencjalne dowody do dochodzenia kryminalistycznego.

Na poziomie urządzenia, po zidentyfikowaniu danego urządzenia IoT, dowody powinny zostać wyodrębnione z jego pamięci fizycznej. Tradycyjne wytyczne dotyczące procesów cyfrowej kryminalistyki sugerują wyłączenie urządzeń dowodowych, aby zapobiec zmianie danych. Biorąc pod uwagę w chmurze , które prawie zastępują pamięć ( ROM ) urządzeń IoT , większość informacji fizycznych znajduje się jednak w pamięci ulotnej, takiej jak pamięć RAM . Tworzenie kopii dowodowej takiej pamięci musi odbywać się bez wyłączania urządzenia, co jest sprzeczne z najlepszymi tradycyjnymi praktykami i nie zawsze jest wykonalne, ponieważ większość urządzeń ma ograniczone możliwości energetyczne. Co więcej, odłączone urządzenia IoT mogą stać się niedostępne i wymagać odpowiedniej rekonfiguracji przed użyciem, stąd modyfikacja informacji w logach systemowych, powodująca utratę potencjalnych dowodów. Z tych powodów podejściem, które należy zastosować, gdy mamy do czynienia z kryminalistyką na poziomie urządzeń IoT, jest przeprowadzanie akwizycji danych kryminalistycznych na żywo. ^{[ potrzebne źródło ]}

Najnowsze badania w zakresie kryminalistyki IoT przedstawiają kilka ram i przydatnych narzędzi, które mogą być wykorzystane przez śledczego do identyfikacji i gromadzenia dowodów. Znaczna część istniejących narzędzi wymaga jednak proaktywnego procesu (tj. instalacji oprogramowania), a zatem nie zawsze nadaje się do prowadzenia dochodzeń kryminalistycznych, chyba że zostały one skonfigurowane przed popełnieniem przestępstwa.

Ochrona dowodów

Po identyfikacji dowodów i ich późniejszym zebraniu, śledczy powinien zabezpieczyć zebrane dane i zagwarantować ich integralność podczas całego procesu od momentu zebrania do ostatecznej prezentacji.

Chociaż zachowanie danych przy użyciu odpowiednich technik (tj. haszowania) jest wykonalne w tradycyjnej kryminalistyce cyfrowej, stanowi trudne wyzwanie i wymaga szczególnej uwagi w środowiskach IoT. Autonomiczne interakcje między różnymi urządzeniami stanowią wyzwanie dla określenia zakresu kompromisu i granic miejsca zbrodni.

Ochrona dowodów kryminalistycznych IoT wymaga nowoczesnych i rozproszonych technik w celu zachowania i uniknięcia uszkodzenia zebranych dowodów. Z tego powodu obecne badania skupiają się na zastosowaniu odpowiednich rozwiązań blockchain do fazy zachowania dowodów, tak aby przechowywać dowody w rozproszonych węzłach w sieci, unikając ewentualnych ataków na ich integralność.

Analiza dowodów i atrybucja ataków

Ta faza obejmuje wszystkie etapy analizy wymagane przez śledczych, które powinny przetworzyć i połączyć wszystkie zebrane dowody w celu osiągnięcia wyniku dochodzenia. W przypadku IoT duża ilość danych, które są zwykle gromadzone w fazie pozyskiwania, prawie uniemożliwia kompleksową analizę dowodów. Ponadto większość IoT w sieci nie przechowuje żadnych metadanych, w tym informacji czasowych, takich jak czas utworzenia lub modyfikacji. To jeszcze bardziej utrudnia weryfikację pochodzenia i zapewnienie integralności gromadzonych danych.

W szczególnym przypadku analizy pamięci fizycznej urządzenia IoT można użyć kilku narzędzi, łącząc się elektronicznie z urządzeniami (patrz Analiza śledcza pamięci ).

Trendy w obecnych badaniach w dziedzinie Network forensics, w szczególnym przypadku IoT forensics, obejmują zastosowanie technik sztucznej inteligencji i uczenia maszynowego do radzenia sobie z ogromną ilością danych, które można wyodrębnić ze śladów ruchu sieciowego urządzeń.

W fazie przypisywania ataku i deficytu zebrane i przeanalizowane dowody są podsumowywane, co prowadzi do ostatecznego wyniku dochodzenia. W tradycyjnej cyfrowej kryminalistyce zaangażowane źródło dowodów jest zwykle wydobywane z urządzeń osobistych, co prowadzi do ograniczonej liczby podejrzanych. To samo nie dotyczy dowodów kryminalistycznych IoT, które, jeśli ponadto zostaną wyodrębnione z chmury, mogą znajdować się na serwerach fizycznych, do których dostęp ma wielu użytkowników w tym samym czasie.

Prezentacja dowodów

Ostatnim etapem każdego procesu dochodzenia kryminalistycznego jest ostateczna prezentacja zebranych i przeanalizowanych dowodów przed sądem przysięgłych. Prezentacja dowodów kryminalistycznych IoT nie jest tak prosta, jak w przypadku tradycyjnych spraw kryminalistycznych, w szczególności w celu znalezienia odpowiedniej czytelnej dla człowieka reprezentacji samych dowodów, która zwykle ma abstrakcyjne formy. W zależności od systemów prawnych może być konieczne przedstawienie zebranych dowodów przed ławnikami na sali sądowej, najprawdopodobniej posiadającymi bardzo ograniczoną wiedzę z zakresu kryminalistyki sieci/chmury, często opartą na osobistych doświadczeniach z IoT urządzenia. Wprowadza to wyzwania dla prowadzącego dochodzenie, organizującego dowody w celu sporządzenia raportu dowodowego, który będzie łatwo zrozumiały dla osób niebędących ekspertami. Badacz powinien ponadto zwrócić szczególną uwagę na fazę przetwarzania, zwłaszcza podczas korzystania z funkcji analitycznych, ponieważ procedura może zmodyfikować strukturę danych i zmienić ich znaczenie, a tym samym unieważnić cały proces. ^{[ potrzebne źródło ]}

Analiza śledcza IoT a bezpieczeństwo

Kryminalistyki IoT nie należy mylić z bezpieczeństwem IoT . IoT forensics zajmuje się znajdowaniem dowodów do celów kryminalistycznych: dowody nie zawsze są związane z atakami na urządzenia IoT lub ich bezpieczeństwem, ale mogą być wykorzystane do udowodnienia/obalenia tradycyjnego przestępstwa kryminalistycznego (tj. osoby wykrytej w pokoju z dowodów urządzeń IoT ). Z drugiej strony bezpieczeństwo IoT zajmuje się zagrożeniami związanymi z obecnością urządzeń IoT i atakami, które mogą być na nie wymierzone: chroni urządzenia przed atakami zewnętrznymi i uniemożliwia urządzeniom przeprowadzanie ataków na inne podmioty.

Zobacz też

• Kryminalistyka cyfrowa
• Dowody cyfrowe
• Kryminalistyka pamięci