IoT Forensics è un ramo della scienza digitale forense che ha come obiettivo l'identificazione e l'estrapolazione di informazioni digitali da dispositivi appartenemente al campo dell'Internet delle cose (IoT ), utilizzando un processo legalmente accettabile e corretto.[1]
Overview
[modifica | modifica wikitesto]A differenza degli approcci della scienza digitale forense tradizionale, l'IoT forensics è caratterizzata da un ben più largo insieme di possibili fonti di prove forensi: rispetto alla tradizionale analisi di server, computer e smartphone, i processi di IoT forensics possono estrarre informazione dai dati scambiati in ambienti intelligenti fra cui sistemi di monitoraggio, semafori, impianti medici, dispositivi per la casa intelligente e molti altri scenari IoT [1] Le possibili fonti di prova dell'IoT forensics possono inoltre essere molto differenti per natura rispetto ai casi d'uso tradizionali: il traffico di rete, dati provenienti dal cloud, log di sistema dei dispositivi e altre informazioni possono essere raccolte e utilizzate come fonti di prova se estrapolate e processate nel modo appropriato. [2]
La IoT forensics viene identificata come combinazione di tre diversi schemi di scienza digitale forense:[3]
- Scienza forense a livello di dispositivo IoT: processo che estrapola fonti di prova da dispositivi IoT (es. dalla memoria del dispositivo).[3] Molte tipologie di dispositivi puo essere inclusa in questo processo: esempi sono sensori, impianti medici, veicoli connessi e intelligenti, videocamere intelligenti, dispositivi per la casa intelligente quali lampadine o assistenti vocali, dispositivi RFID, droni. Considerando la diversa composizione e le diverse funzionalità dei vari dispositivi, l'identificazione e raccolta di prove a livello di dispositivo è spesso ardua e non sempre possibile.[4]
- Scienza forense a livello di rete: Processo che identifica ed estrae fonti di prova dai log di rete, tracce di traffico dei dispositivi e dagli schemi di comunicazione. Rispetto alla scienza forense di rete tradizionale, nelle reti IoT includiamo nuove tipologie di rete quali ad esempio Body Area network e Personal Area Network (dispositivi Bluetooth e Zigbee)[3] Per ogni tipologia diversa di rete, bisogna applicare metodi legali appropriati per l'investigazione, utilizzanddo strumenti diversi e analizzando protocolli di rete appropriati.[5]
- Scienza forense a livello di Cloud: Processo che estrapola informazioni dal cloud utilizzato dai diversi dispositivi. I dispositivi IoT sono caratterizzati solitamente da una memoria fisica molto limitata, il che comporta che la maggior parte delle informazioni prodotte dal dispositivo sono inviate e salvate in applicazioni cloud proprietarie, che quindi possono contenere un gran numero di possibili prove forensi (ad es. attività dei dispositivi). [3] Considerando la quantità di informazioni che può essere recapitata dalle diverse entità coinvolte nei servizi di cloud, la scienza forense a livello di cloud ha un ruolo fondamentale nel dominio dell'IoT forensics: log di sistema, log di accesso, sessioni, log dei messaggi, cookies, dati di autenticazione e informazioni delle applicazioni sono solo esempi delle informazioni che possono essere raccolte per ogni dispositivo IoT a partire dalle piattaforme cloud.[4]
Processo dell'IoT forensics
[modifica | modifica wikitesto]Il processo investigativo dell'IoT forensics deve essere condotto utilizzando le linee guida traditionali per far si che le prove raccolte e analizzate possano essere ammissibili per la corte.[4] Il processo è analogo a quello della scienza digitale forense, ma incontra molte più difficoltà causate dalle particolarità dei dispositivi IoT. L'intero processo può essere suddiviso temporalmente in sei fasi: Identificazione della prova, Raccolta della prova, Preservazione e protezione della prova, Analisi della prova, Attribuzione dell'attacco, Presentazione della prova.[6] Ciascuna delle diverse fasi delle scienze forensi può introdurre svariate difficoltà quando applicate alle limitazioni dei dispositivi IoT. [1]
Identificazione e collezione delle prove
[modifica | modifica wikitesto]L'identificazione di una prova e la successiva raccolta sono le prime fasi da effettuare duarnte un processo legale. La perquisizione e il sequestro delle prove è un procedimento fondamentale in ogni esaminazione forense: nel caso particolare dell'IoT forensics, identificare la presenza di sistemi IoT non è sempre immediato considerando che i dispositivi sono generalmente di dimensioni ridotte e sono pensati per funzionare in modo passivo e autonomo.[6]
La maggior parte dell'informazione dei dispositivi IoT è generalmente inviata ai server nel cloud, essnedo note le limitate capacità fisiche della memoria degli stessi dispositvi. Ciò introduce delle difficoltà per gli investigatori che talvolta potrebbero non sapere dove l'informazione è situata, essendo distribuita fra vari server i diversi data centers.[3] Dopo il passo di identificazione, la collezione di prove dal cloud non è sempre possibile viste le diverse giurisdizioni sotto il quale i vari dati si potrebbero trovare. I diversi data centers sono infatti generalmente distribuiti fra vari paesi così da ridurre i costi e aumentare l'efficienza del servizio. Per questa ragione la figura dell'investigatore spesso deve affrontare problemi legali fra più paesi durante la raccolta da informazioni che si trovano nel cloud, il che spesso porta all'impossibilità di tale acquisizione. [5]
A livello di rete alcune delle prove possono essere raccolte dai dispositvi di rete quali router o firewall, ma la maggior parte delle potenziali fonti di prova sono nella rete sono volatili. Il traffico di rete ad esempio può essere catturato solo nel momento in cui attraversa un nodo che lo sta processando. Ci sono dispositivi e procedure apposite per catturare e salvare il traffico di rete, ma è infattibile conservare l'intero traffico visto il grande volume che occupa. La questione di privacy e i problemi legali della collezione dei dati a livello di rete sono perfino più ampi del livello di cloud, considerando che i dati che attraversano la rete potrebbero includere molte informazioni non correlate al caso legale interessato. [7]
L'attuale ricerca nell'applicazine di metodi forensi nelle reti sta lavorando sullo sviluppo di strumenti basati nei più utilizzati software di cattura e analisi del traffico di rete (tcpdump, Wireshark) per estrapolare informazioni dai dispositivi di rete (ad es. Access Point Wi-Fi) evitando di salvare il traffico di rete ma comunque conservando potenziali prove per investigazioni future. [8]
A livello di dispositivo, una volta che il dispositivo interessato è stato identificato, le prove devono essere estratte dalla sua memoria fisica. Le linee guida del processo tradizionale della scienza digitale forense suggeriscono di spegnere il dispositivo interessato per prevenire l'alterazione dei dati[1]. Considerando però che i servizi di cloud stanno sostituendo quasi del tutto lo spazio di archiviazione (ROM) dei dispositivi IoT, la maggior parte delle informazioni che si può estrarre dal dispositivo risiede nella memoria volatile (RAM). La creazione di una copia della prova della memoria volatile deve necessariamente essere fatta senza spegnere il dispositivo, il che va contro i suggerimenti del processo tradizionale e non è sempre possibile viste le limitate capacità energetiche dei dispositivi, spesso a batteria.[7]
I dispositivi disconessi inoltre potrebbero diventare permanentemente inacessibili senza appropriata riconfigurazione, che comporta una modifica dei log di sistema e la possibile perdita di informazioni da utilizzare nelle prove.[9] Per questi motivi l'approccio da seguire a livello di dispositivo è eseguire una raccolta di dati live. [10]
Nel complesso, la ricerca nel campo IoT forensics ha presentato diversi framework e vari strumenti che possano aiutare l'investigatore per l'identificazione, la collezione e l'analisi delle prove. Gran parte degli strumenti richiede però un processo preparativo (ad es. l'installazione del software) e quindi non è sempre possibile il suo utilizzo, a meno di una fase preparatoria effettuata prima dell'incidente.[3][11][12][13][14]
Protezione delle prove
[modifica | modifica wikitesto]Dopo l'identificazione e la raccolta della fonte di prova, l'investigatore deve preservare i dati raccolti e garantire la loro integrità durante l'intero processo da subito dopo la raccolta fino alla presentazione finale in tribunale.[1]
Mentre la protezione dei data utilizzando tecniche appropriate (ad es. hashing) è possibile nella scienza digitale forense tradizionale, essa rappresenta invece una sfida ardua e necessita particolare attenzione negli ambienti IoT. Le interazioni autonome fra i diversi dispositivi introduce delle difficoltà nell'identificazione della sorgente delle prove e dei confini della scena del crimine.[6]
La protezione delle prove nell'IoT Forensics richiede quindi tecniche moderne e che siano distribuite per preservare la prova ed evitare la corruzione dei dati interessati. Per questa ragione la ricerca nell'ambito di protezione dei dati si concentra sull'applicazione di soluzioni basate su blockchanin per preservare l'informazione, quindi per salvare il dato in maniera distribuita nella rete evitando quindi possibili attacchi esterni alla sua integrità.[13][15][16][17][18]
Analisi delle prove
[modifica | modifica wikitesto]Questa fase include tutti i passi di analisi necessari dagli investigatori che devono processare e collegare le prove raccolte per raggiungere un risultato per l'investigazione. Nel caso di prove in campo IoT, il volume di dati che viene solitamente raccolto nelle precedenti fasi rende quasi impossibile un'analisi end-to-end delle prove. [6] La maggioranza dei dispositivi IoT nella rete non salva inoltre alcun metatdato che includa informazioni temporali quali data di creazione o di ultima modifica. Ciò rende ancor più difficile la verifica della provenienza delle prove e assicurarsi dell'integrità dei dati raccolti.
A livello di dispositivo, per l'analisi della memoria di dispositivi, diversi strumenti possono essere utilizzati collegandosi elettronicamente al dispositivo (Memory Forensics).
A livello di rete la ricerca accademica nel particolare caso dell'IoT forensics ha presentato molti casi di applicazione di algoritmi di Intelligenza Artificiale e tecniche di Machine Learnign per analizzare la grande mole di dati che può essere estratta dalle tracce di traffico di rete dei dispositivi.[19]
Nella fase di attribuzione dell'attacco, le prove collezionate ed analizzate sono riassunte per portare al risultato finale dell'investigazione. Nella scienza digitale forense tradizionale, le fonti di prova coinvolte sono generalmente estratte da dispositivi personali che quindi conducono ad una sola persona o a un numero ridotto di sospettati. Lo stesso non può dirsi nel caso dell'IoT forensics iin cui i dati, specialmente se estratti dal cloud, possono trovarsi in server fisici utilizzati contemporaneamente da milioni di persone.[1]
Presentazione delle prove
[modifica | modifica wikitesto]L'ultima fase di ogni processo investigativo è la presentazione finale delle prove raccolte e analizzate di fronte ai giudici della corte. La presentazione delle prove in campo IoT non è semplice cosi come nei tradizionali casi, in particolare nella ricerca di una forma ben comprensibile delle prove stesse che spesso sono in forma astratta. In base al sistema legale di riferimento, potrebbe essere necessario presentare le prove di fronte ai giudici che molto probabilmente hanno una limitata se non nulla conoscienza degli argomenti sul cloud e sulla rete, spesso basati sulla propria esperienza e sulla pubblicità dei media. Questo introduce difficoltà per l'investigatore nell'organizzazione delle prove per produrre una relazione che sia facilmente comprensibile da persone non esperte del settore.[1]
IoT Forensics vs. Security
[modifica | modifica wikitesto]L'IoT Forensics non deve essere confusa con la sicurezza in IoT. L'IoT Forensics si occupa di ricercare e analizzare prove per scopi forensi: le prove non sono sempre legate ad attacchi a dispositivi IoT o alla loro sicurezza, ma possono essere provate per provare un crimine nelle scienze forensi tradizionali (ad es. una persona rilevata in una stanza da prove estratte da dispositivi IoT). Dall'altra parte, la sicurezza in IoT si occupa dei rischi legati alla presenza di dispositivi IoT e dagli attacchi che potrebbero averli come obiettivo: essa protegge i dispositivi da attacchi esterni e previene che i dispositivi possano essere sorgente di attacco per altre entità nella rete.
See also
[modifica | modifica wikitesto]References
[modifica | modifica wikitesto]- ^ a b c d e f g A Survey on the Internet of Things (IoT) Forensics: Challenges, Approaches, and Open Issues, in IEEE Communications Surveys & Tutorials, vol. 22, n. 2, 2020, pp. 1191-1221, DOI:10.1109/COMST.2019.2962586.
- ^ Internet of Things Forensics – Challenges and a Case Study, Advances in Digital Forensics XIV. DigitalForensics 2018., 2018.
- ^ a b c d e f Shams Zawoad, FAIoT: Towards Building a Forensics Aware Eco System for the Internet of Things, 2015 IEEE International Conference on Services Computing, New York City, NY, USA, IEEE, 2015, pp. 279–284.
- ^ a b c Jianwei Hou, A Survey on Digital Forensics in Internet of Things, in IEEE Internet of Things Journal, vol. 7, n. 1, 2020, pp. 1–15, DOI:10.1109/JIOT.2019.2940713.
- ^ a b (EN) Umit Karabiyik, Digital Forensics for IoT and WSNs, vol. 164, Springer International Publishing, 2019, pp. 171–207, DOI:10.1007/978-3-319-92384-0_6.
- ^ a b c d (EN) Mauro Conti, Internet of Things security and forensics: Challenges and opportunities, in Future Generation Computer Systems, vol. 78, 2018, pp. 544–546, DOI:10.1016/j.future.2017.07.060.
- ^ a b (EN) Sasa Mrdovic, IoT Forensics, Springer International Publishing, 2021, pp. 215–229, DOI:10.1007/978-3-030-10591-4_13.
- ^ Zhongli Liu, Generic network forensic data acquisition from household and small business wireless routers, in 2010 IEEE International Symposium on "A World of Wireless, Mobile and Multimedia Networks" (WoWMoM), 2010, pp. 1–6, DOI:10.1109/WOWMOM.2010.5534945.
- ^ (EN) Ibrar Yaqoob, Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges, in Future Generation Computer Systems, vol. 92, 2019, pp. 265–275, DOI:10.1016/j.future.2018.09.058.
- ^ (EN) IoT evidence acquisition--issues and challenges (PDF), in Advances in Computational Sciences and Technology, vol. 10, 2019, pp. 1285-1293.
- ^ Mahmud Hossain, Trust-IoV: A Trustworthy Forensic Investigation Framework for the Internet of Vehicles (IoV), in 2017 IEEE International Congress on Internet of Things (ICIOT), IEEE, 2017, pp. 25–32, DOI:10.1109/IEEE.ICIOT.2017.13.
- ^ Hongmei Chi, A Framework for IoT Data Acquisition and Forensics Analysis, in 2018 IEEE International Conference on Big Data (Big Data), IEEE, 2018, pp. 5142–5146, DOI:10.1109/BigData.2018.8622019.
- ^ a b Duc-Phong Le, BIFF: A Blockchain-based IoT Forensics Framework with Identity Privacy, in TENCON 2018 - 2018 IEEE Region 10 Conference, IEEE, 2018, pp. 2372–2377, DOI:10.1109/TENCON.2018.8650434.
- ^ Mahmud Hossain, FIF-IoT: A Forensic Investigation Framework for IoT Using a Public Digital Ledger, in 2018 IEEE International Congress on Internet of Things (ICIOT), IEEE, 2018, pp. 33–40, DOI:10.1109/ICIOT.2018.00012.
- ^ Sotirios Brotsis, Blockchain Solutions for Forensic Evidence Preservation in IoT Environments, in 2019 IEEE Conference on Network Softwarization (NetSoft), IEEE, 2019, pp. 110–114, DOI:10.1109/NETSOFT.2019.8806675.
- ^ Weizhi Meng, When Intrusion Detection Meets Blockchain Technology: A Review, in IEEE Access, vol. 6, 2018, pp. 10179–10188, DOI:10.1109/ACCESS.2018.2799854.
- ^ Mahmud Hossain, Probe-IoT: A public digital ledger based forensic investigation framework for IoT, in IEEE INFOCOM 2018 - IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS), IEEE, 2018, pp. 1–2, DOI:10.1109/INFCOMW.2018.8406875.
- ^ (EN) Auqib Hamid Lone, Forensic-chain: Blockchain based digital forensics chain of custody with PoC in Hyperledger Composer, in Digital Investigation, vol. 28, 2019, pp. 44–55, DOI:10.1016/j.diin.2019.01.002.
- ^ (EN) Leslie F. Sikos, Packet analysis for network forensics: A comprehensive survey, in Forensic Science International: Digital Investigation, vol. 32, 2020, p. 200892, DOI:10.1016/j.fsidi.2019.200892.