| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2025:ip54375 [2026/01/25 18:50]
Ivan Pavelić |
racfor_wiki:seminari2025:ip54375 [2026/01/25 21:33] (trenutno)
Ivan Pavelić |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| Računalna forenzika bavi se prikupljanjem, analizom i interpretacijom digitalnih dokaza na način koji omogućuje njihovu uporabu u istražnim i sudskim postupcima [3]. Tradicionalno se fokusirala na osobna računala i mobilne uređaje, no s razvojem tehnologije pojavljuju se novi izvori digitalnih podataka. | Računalna forenzika bavi se prikupljanjem, analizom i interpretacijom digitalnih dokaza na način koji omogućuje njihovu uporabu u istražnim i sudskim postupcima [3]. U praksi to znači da se podaci moraju prikupiti tako da se kasnije može objasniti odakle potječu, kako su prikupljeni i da tijekom obrade nisu neovlašteno mijenjani. Takav pristup posebno je važan kada se dokazi koriste u postupcima u kojima se očekuje provjerljivost i ponovljivost analize [3]. |
| |
| Jedan od takvih izvora su pametni kućni uređaji koji se sve češće koriste u svakodnevnom životu. Ovi uređaji kontinuirano prikupljaju i pohranjuju podatke o ponašanju korisnika i događajima u prostoru, što ih čini potencijalno vrlo vrijednima u forenzičkim istragama [4]. | S razvojem tehnologije izvori digitalnih tragova više nisu samo računala i mobiteli. Pametni kućni uređaji danas bilježe velik broj događaja: ulaske i izlaske, snimanja, aktivacije senzora, promjene postavki, pa čak i obrasce svakodnevnog ponašanja korisnika. Zbog toga se u digitalnim istragama sve češće razmatra i tzv. IoT forenzika, odnosno analiza tragova koji nastaju u mreži pametnih uređaja [1]. U širem kontekstu sigurnosti, i smjernice za IoT sigurnost naglašavaju da su pametni uređaji relevantni i kao izvor rizika i kao izvor podataka o incidentima [4]. |
| |
| ===== Internet stvari i pametni kućni sustavi ===== | ===== Internet stvari i pametni kućni sustavi ===== |
| |
| Internet stvari (IoT) označava mrežu fizičkih uređaja koji su povezani s internetom i međusobno komuniciraju bez stalne ljudske interakcije [5]. U kontekstu pametne kuće, to uključuje uređaje poput pametnih žarulja, sigurnosnih kamera, pametnih brava, senzora pokreta i glasovnih asistenata. | **Internet stvari (IoT)** označava mrežu fizičkih uređaja koji su povezani s internetom i razmjenjuju podatke, često automatski i bez stalne ljudske interakcije [5]. U pametnoj kući to se vidi kroz uređaje koji “surađuju”: kamera detektira pokret, šalje obavijest aplikaciji, a pametna rasvjeta se automatski uključuje. Važno je razumjeti da se u takvom sustavu podaci ne nalaze na jednom mjestu, nego su raspodijeljeni između uređaja, kućnog rutera, mobilne aplikacije i cloud servisa proizvođača [1]. |
| |
| Pametni kućni sustavi omogućuju automatizaciju i daljinsko upravljanje uređajima, najčešće putem mobilnih aplikacija ili web sučelja. Podaci koje ti sustavi prikupljaju često se pohranjuju lokalno na uređaju, ali i na udaljenim poslužiteljima proizvođača, odnosno u oblaku [6]. Ta distribuirana pohrana podataka predstavlja dodatni izazov za forenzičku analizu. | ==== Tipična arhitektura pametne kuće ==== |
| | |
| | Tipična pametna kuća ima više slojeva. Na najnižoj razini su uređaji (senzori, kamere, brave). Iznad njih često postoji “hub” ili kontroler (npr. kućni gateway) koji povezuje uređaje i prevodi protokole, a zatim mobilna aplikacija i korisnički račun. Konačno, cloud servis omogućuje udaljeni pristup, pohranu povijesti događaja i analitiku [1]. Upravo ta veza s oblakom znači da forenzički tragovi mogu postojati i lokalno i udaljeno, što se mora uzeti u obzir kod planiranja prikupljanja dokaza [3]. |
| | |
| | {{:racfor_wiki:seminari2025:ip54375:iot_slika1.jpg?400|}} |
| | |
| | Slika 1. Primjer IoT pametne kuće i glavnih komponenti sustava |
| | |
| | ==== Komunikacija i protokoli ==== |
| | |
| | Uređaji komuniciraju putem različitih tehnologija, primjerice Wi-Fi, Bluetooth, Zigbee ili Z-Wave. Neki sustavi koriste standardne protokole, a neki vlasnička rješenja. U forenzičkom smislu to je važno jer vrsta komunikacije utječe na to gdje se tragovi mogu pronaći: **u logovima rutera, u mrežnim paketima, na samom uređaju ili u aplikaciji** [6]. Također, postoje situacije gdje mrežni promet može biti jedini realan izvor informacija ako se uređaju ne može pristupiti izravno [6]. |
| |
| ===== Digitalni artefakti u pametnim kućnim uređajima ===== | ===== Digitalni artefakti u pametnim kućnim uređajima ===== |
| |
| Digitalni artefakti su podaci koji nastaju kao posljedica korištenja uređaja ili sustava. U pametnim kućnim uređajima oni se najčešće pojavljuju u obliku zapisa događaja, vremenskih oznaka i korisničkih postavki [7]. | Digitalni artefakti su tragovi koji nastaju radom sustava: **zapisi događaja, vremenske oznake, metapodaci, stanje postavki i podaci povezani s korisničkim računom** [1]. U pametnoj kući to često izgleda kao “povijest aktivnosti” u aplikaciji, ali iza toga mogu biti zasebni logovi na uređaju i zapisi u oblaku. Artefakti su korisni jer omogućuju rekonstrukciju radnji: kada je kamera detektirala pokret, kada je brava otključana, kada je netko promijenio postavke alarma ili kada je uređaj izgubio vezu s mrežom [7]. |
| |
| Primjeri digitalnih artefakata uključuju: | ==== Zapisi događaja i vremenske oznake ==== |
| |
| * zapise o otključavanju i zaključavanju pametnih brava | U praksi su najvrjedniji artefakti oni koji imaju jasnu vremensku oznaku. Međutim, kod IoT uređaja treba biti oprezan jer vrijeme na uređaju može biti netočno ili može ovisiti o sinkronizaciji s internetom. Ako uređaj izgubi mrežu, može nastaviti bilježiti događaje s pogrešnim vremenom. Zbog toga je u analizi važno usporediti više izvora (npr. uređaj + aplikacija + cloud) kako bi se dobila pouzdanija vremenska linija [8]. |
| * snimke i zapise detekcije pokreta s nadzornih kamera | |
| * podatke o temperaturi i promjenama postavki termostata | |
| * zapise o aktivaciji ili deaktivaciji uređaja | |
| * podatke povezane s korisničkim računima | |
| |
| Analizom ovih podataka moguće je rekonstruirati slijed događaja i utvrditi aktivnosti korisnika u određenom vremenskom razdoblju [8]. | ==== Metapodaci i kontekst ==== |
| | |
| | Osim samih događaja, važan je i kontekst: ID uređaja, verzija firmwarea, naziv Wi-Fi mreže, korisnički račun, lokacija (ako se bilježi) i povezanost s drugim uređajima. Takvi podaci mogu objasniti “tko je što kontrolirao” i “kojim putem”. U literaturi se naglašava da su IoT tragovi često fragmentirani, pa se vrijednost dokaza povećava kad se metapodaci povežu u jednu cjelinu [7]. |
| |
| ===== Metode forenzičkog prikupljanja podataka iz IoT uređaja ===== | ===== Metode forenzičkog prikupljanja podataka iz IoT uređaja ===== |
| |
| Forenzičko prikupljanje podataka iz IoT uređaja razlikuje se od klasičnih metoda korištenih kod osobnih računala. IoT uređaji često imaju ograničenu memoriju, zatvorene operacijske sustave i vlasničke protokole [9]. | **Forenzičko prikupljanje podataka iz IoT uređaja** razlikuje se od klasičnih metoda na računalima jer IoT uređaji često imaju ograničenu memoriju, zatvorene sustave i nisu dizajnirani za jednostavno izvlačenje podataka [6]. Zbog toga se prikupljanje obično planira kao kombinacija pristupa, ovisno o uređaju i slučaju. Općenito, forenzička praksa naglašava da treba jasno dokumentirati što je prikupljeno, kojim postupkom i kako je dokaz očuvan (npr. hash vrijednosti, zapisnici o preuzimanju) [3]. |
| |
| Najčešće korištene metode uključuju: | {{:racfor_wiki:seminari2025:ip54375:iot_slika2.png?400|}} |
| |
| * prikupljanje podataka iz interne memorije uređaja | Slika 2. Visokorangirani pregled modela digitalne forenzičke spremnosti za IoT (SIoTDFR) |
| * analizu zapisnika (logova) koje uređaj generira | |
| * presretanje i analizu mrežnog prometa | |
| * korištenje sigurnosnih kopija i sinkroniziranih podataka | |
| |
| Tijekom prikupljanja podataka važno je očuvati njihov integritet kako bi ostali valjani kao digitalni dokazi [3]. | ==== Prikupljanje s uređaja i lokalne pohrane ==== |
| | |
| | Ako je moguće pristupiti uređaju, može se pokušati prikupiti lokalne logove ili konfiguracijske datoteke. Kod nekih uređaja to je izvedivo preko korisničkog sučelja, kod drugih je potrebna naprednija metoda (npr. servisni portovi ili kopiranje memorije). U stvarnom radu **često je problem što dio podataka postoji samo kratko vrijeme zbog ograničenog prostora ili kružnog zapisivanja logova** [6]. Zato je kod incidenta važno reagirati brzo i minimalno mijenjati stanje uređaja prije prikupljanja [3]. |
| | |
| | ==== Mrežno prikupljanje i analiza prometa ==== |
| | |
| | Kada izravan pristup uređaju nije moguć ili nije dovoljan, analiza mrežnog prometa može dati dodatne tragove: kada je uređaj komunicirao s cloudom, koje usluge koristi i kada je poslao određene podatke. Iako promet može biti šifriran, i dalje se mogu dobiti korisne informacije iz metapodataka (npr. odredišta, vrijeme, veličina prijenosa) [6]. Takav pristup je posebno koristan u pametnim kućama gdje više uređaja dijeli istu mrežnu infrastrukturu i gdje ruter može imati vlastite logove [6]. |
| | |
| | ==== Očuvanje integriteta dokaza ==== |
| | |
| | Neovisno o metodi, ključna je dosljednost: bilježenje vremena prikupljanja, alata i postavki, izrada kontrolnih vrijednosti (hash) gdje je moguće te vođenje evidencije o tome tko je imao pristup dokazima [3]. To olakšava kasniju provjeru i smanjuje rizik da se dokaz ospori zbog nejasnog postupanja. |
| |
| ===== Forenzička analiza podataka iz oblaka i mobilnih aplikacija ===== | ===== Forenzička analiza podataka iz oblaka i mobilnih aplikacija ===== |
| |
| Velik dio podataka pametnih kućnih sustava pohranjuje se u oblaku, gdje su dostupni putem korisničkih računa. Pristup tim podacima često se ostvaruje analizom mobilnih aplikacija koje se koriste za upravljanje pametnim uređajima [10]. | U pametnoj kući cloud i mobilna aplikacija često sadrže najčitljiviji i najkompletniji prikaz aktivnosti. Cloud servis može držati povijest događaja dulje od samog uređaja, a aplikacija često prikazuje “timeline” koji korisnik vidi. Zbog toga se u praksi analiza često počinje od aplikacije i korisničkog računa, a zatim se nalazi uspoređuju s lokalnim tragovima na uređajima [1]. Općenito, pristupi digitalnim dokazima u incidentima i istragama naglašavaju važnost spajanja različitih izvora kako bi se potvrdili nalazi [3]. |
| |
| Mobilne aplikacije mogu sadržavati povijest aktivnosti, vremenske zapise, obavijesti i podatke o lokaciji korisnika. Ovi podaci često pružaju širi kontekst i mogu nadopuniti podatke prikupljene iz samih IoT uređaja [11]. | ==== Podaci u mobilnoj aplikaciji ==== |
| | |
| | Mobilna aplikacija može sadržavati lokalne baze podataka, cache, zapise o prijavi, obavijesti te informacije o povezanim uređajima. Ovisno o aplikaciji, dio podataka može ostati na telefonu i nakon brisanja povijesti u sučelju. U digitalnim istragama to je važan izvor jer telefon često ima dodatne podatke o korisniku i vremenu korištenja [2]. Smjernice za mobilnu forenziku naglašavaju da se podaci trebaju prikupljati metodama koje minimalno mijenjaju sadržaj uređaja i da se analiza radi na kopiji kad god je moguće [2]. |
| | |
| | ==== Podaci u oblaku i korisničkom računu ==== |
| | |
| | Cloud dio obično sadrži povijest događaja, konfiguracije, popis uređaja, logove o pristupu i ponekad snimke (npr. video isječke). Međutim, pristup tim podacima je često ograničen autentikacijom i politikama pružatelja usluge. U nekim slučajevima potrebna je službena suradnja ili pravni postupak, a pri tumačenju podataka treba razumjeti što je stvarno generirao uređaj, a što je naknadno obrađeno u oblaku [1]. |
| |
| ===== Izazovi i ograničenja IoT forenzike ===== | ===== Izazovi i ograničenja IoT forenzike ===== |
| |
| IoT forenzika suočava se s brojnim tehničkim i organizacijskim izazovima. Ne postoji jedinstveni standard za pohranu i obradu podataka, a proizvođači često koriste vlasnička rješenja [6]. | **IoT forenzika je zahtjevna jer sustavi nisu ujednačeni,** a uređaji se brzo mijenjaju. Literatura često ističe da je najveći problem heterogenost: različiti proizvođači, različiti formati zapisa, različita pravila čuvanja podataka i različite razine sigurnosti [6]. Dodatno, mnogo tragova je “kratkog vijeka”, pa se ključni zapisi mogu izgubiti prije nego što istraga započne [6]. |
| |
| Najčešći izazovi uključuju: | {{:racfor_wiki:seminari2025:ip54375:iot_slika3.jpg?400|}} |
| |
| * snažnu enkripciju podataka | Slika 3. NIST IoT Guidelines – ključne tehničke aktivnosti za sigurnost IoT uređaja |
| * kratko vrijeme pohrane zapisnika | |
| * ovisnost o cloud servisima | |
| * otežan fizički pristup uređajima | |
| |
| Zbog navedenih ograničenja, forenzička analiza IoT sustava često zahtijeva kombinaciju više različitih metoda i izvora podataka [9]. | ==== Enkripcija i ograničen pristup ==== |
| | |
| | Sve češće se koriste šifrirane komunikacije i šifrirana lokalna pohrana. To je dobro za sigurnost korisnika, ali otežava istrage. Ponekad je moguće zaključivati na temelju metapodataka, ali to je ograničeno i treba biti oprezan u interpretaciji [6]. U nekim slučajevima uređaj ili aplikacija mogu implementirati mehanizme koji onemogućuju izvlačenje podataka bez službenih ključeva ili pristupa računu [6]. |
| | |
| | ==== Fragmentirani tragovi i rekonstrukcija događaja ==== |
| | |
| | Dok kod klasičnog računala mnogi tragovi postoje na jednom disku, u pametnoj kući tragovi su raspodijeljeni: dio je na uređaju, dio u aplikaciji, dio u oblaku, a dio u mrežnoj infrastrukturi. Zbog toga rekonstrukcija događaja često znači “spajanje slagalice” i uspoređivanje više izvora kako bi se izbjegle pogrešne pretpostavke [8]. U tom smislu, radovi o IoT dokazima naglašavaju potrebu za jasnim okvirima i postupcima koji pomažu povezati tragove u koherentnu vremensku liniju [8]. |
| |
| ===== Pravni i etički aspekti forenzičke analize pametnih uređaja ===== | ===== Pravni i etički aspekti forenzičke analize pametnih uređaja ===== |
| |
| Podaci koje pametni kućni uređaji prikupljaju često su osobne i osjetljive prirode, zbog čega je zaštita privatnosti iznimno važna [12]. Forenzička analiza mora se provoditi u skladu s važećim zakonima i uz odgovarajuću pravnu osnovu. | Pametni kućni uređaji prikupljaju podatke koji mogu biti vrlo osobni: navike, prisutnost u domu, audio/video zapise i druge osjetljive informacije. Zbog toga se obrada tih podataka mora temeljiti na jasnoj pravnoj osnovi i provoditi uz mjere koje smanjuju nepotrebno zadiranje u privatnost [11]. **U europskom kontekstu, GDPR naglašava načela kao što su ograničenje svrhe, minimizacija podataka i sigurnost obrade, što je posebno važno kad se analiziraju podaci iz privatnog prostora** [10]. |
| | |
| | ==== Zakonitost i proporcionalnost ==== |
| | |
| | U praksi to znači da se trebaju prikupljati samo oni podaci koji su relevantni za konkretnu svrhu istrage. Ako se, primjerice, istražuje određeni vremenski interval, nema opravdanja prikupljati mjesece povijesti aktivnosti. Takav pristup smanjuje rizik povrede privatnosti i olakšava obranu postupka prikupljanja dokaza [10]. |
| | |
| | ==== Dokumentiranje postupka ==== |
| |
| Nepravilno prikupljanje ili obrada podataka može dovesti do povrede prava korisnika i nevažećih dokaza. Stoga je nužno dokumentirati svaki korak forenzičkog postupka i osigurati transparentnost rada [3]. | Osim zakonitosti, važna je i transparentnost postupka: što je uzeto, kada, kojim alatom i od koga. Smjernice za forenzičke postupke u incidentima naglašavaju da kvalitetna dokumentacija pomaže u kasnijoj provjeri i interpretaciji rezultata [3]. To je posebno važno kod IoT-a jer se podaci mogu mijenjati sinkronizacijom i automatizacijom, pa bez dokumentacije nije jasno u kojem stanju je sustav bio u trenutku prikupljanja [3]. |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| Pametni kućni uređaji postaju sve značajniji izvor digitalnih dokaza u području računalne forenzike. Njihovi zapisi mogu pružiti vrijedne informacije o događajima i ponašanju korisnika u određenom prostoru i vremenu. | Pametni kućni uređaji postaju sve značajniji izvor digitalnih dokaza u području računalne forenzike. Njihovi zapisi mogu pružiti informacije o događajima u prostoru i vremenu, a kombinacija lokalnih tragova, podataka iz mobilne aplikacije i cloud zapisa često omogućuje detaljniju rekonstrukciju incidenta [1]. Međutim, upravo ta raspodijeljenost podataka čini analizu složenijom i zahtjeva pažljivo planiranje prikupljanja te provjeru nalaza kroz više izvora [3]. |
| |
| Iako IoT forenzika nudi velik potencijal, ona je i dalje relativno novo i zahtjevno područje. Daljnji razvoj tehnologije zahtijevat će prilagodbu forenzičkih metoda, razvoj standarda i jasno definirane pravne okvire. | IoT forenzika je područje koje se brzo razvija i suočava se s izazovima poput enkripcije, heterogenosti uređaja i kratkog zadržavanja logova [6]. Uz tehničke izazove, jednako su važni pravni i etički aspekti, osobito u pogledu privatnosti u kućnom okruženju [10]. Daljnji razvoj standarda, alata i postupaka, s jasnim pravnim okvirima, bit će ključan kako bi se IoT tragovi mogli pouzdano koristiti kao digitalni dokazi [8]. |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] NIST SP 800-86 – Forenzičke tehnike u incident responseu (PDF): https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf | [1] Guide to Integrating Forensic Techniques into Incident Response (NIST SP 800-86) (PDF): https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf |
| |
| [2] NIST SP 800-101r1 – Smjernice za mobilnu forenziku (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-101r1.pdf | [2] Guidelines on Mobile Device Forensics (NIST SP 800-101 Rev. 1) (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-101r1.pdf |
| |
| [3] NIST SP 800-61r2 – Incident Handling Guide (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf | [3] Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2) (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf |
| |
| [4] ENISA – Guidelines for Securing the Internet of Things (PDF): https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Guidelines%20for%20Securing%20the%20Internet%20of%20Things.pdf | [4] Guidelines for Securing the Internet of Things (ENISA) (PDF): https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Guidelines%20for%20Securing%20the%20Internet%20of%20Things.pdf |
| |
| [5] DFRWS 2019 – IoT forensic challenges and opportunities (PDF): https://www.dfrws.org/wp-content/uploads/2021/05/2019_EU_paper-iot_forensic_challenges_and_opportunities_for_digital_traces.pdf | [5] IoT forensic challenges and opportunities for digital traces (DFRWS Europe 2019) (PDF): https://www.dfrws.org/wp-content/uploads/2021/05/2019_EU_paper-iot_forensic_challenges_and_opportunities_for_digital_traces.pdf |
| |
| [6] arXiv – IoT Forensic: digital investigation framework (PDF): https://arxiv.org/pdf/1909.02815 | [6] IoT Forensic: digital investigation framework (arXiv) (PDF): https://arxiv.org/pdf/1909.02815 |
| |
| [7] Sensors 2024 – IoT Forensics: Current Perspectives and Future Directions (PDF): https://www.open-access.bcu.ac.uk/16360/1/sensors-24-05210.pdf | [7] IoT Forensics: Current Perspectives and Future Directions (Sensors) (PDF): https://www.open-access.bcu.ac.uk/16360/1/sensors-24-05210.pdf |
| |
| [8] NIST IR 8425 – IoT Core Baseline za consumer IoT (PDF): https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8425.pdf | [8] Profile of the IoT Core Baseline for Consumer IoT Products (NIST IR 8425) (PDF): https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8425.pdf |
| |
| [9] IBM – What is the Internet of Things?: https://www.ibm.com/topics/internet-of-things | [9] What is the Internet of Things (IoT)?: https://www.ibm.com/topics/internet-of-things |
| |
| [10] EUR-Lex – GDPR službeni tekst (HR): https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=hr | [10] Uredba (EU) 2016/679 (Opća uredba o zaštiti podataka): https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=hr |
| |
| [11] Europol – SIRIUS EU Digital Evidence Situation Report 2024 (PDF): https://www.europol.europa.eu/cms/sites/default/files/documents/SIRIUS_E_Evidence_Situation_Report_2024.pdf | [11] SIRIUS EU Digital Evidence Situation Report 2024 (Europol) (PDF): https://www.europol.europa.eu/cms/sites/default/files/documents/SIRIUS_E_Evidence_Situation_Report_2024.pdf |
