Forenzička analiza artefakata pametnih kućnih uređaja (IoT)

Razvojem pametnih kućnih sustava (Internet of Things – IoT) poput pametnih brava, termostata, kamera i glasovnih asistenata pojavljuju se novi izazovi u području računalne forenzike. Ovaj rad istražuje koje se vrste digitalnih artefakata mogu prikupiti iz pametnih kućnih uređaja i povezanih mobilnih aplikacija te kako se ti podaci mogu koristiti u forenzičkim istragama [1]. Poseban naglasak stavlja se na lokalne zapise događaja, podatke pohranjene u oblaku, mrežni promet te sinkronizaciju između IoT uređaja i korisničkih računa [2]. Analiziraju se metode prikupljanja i očuvanja dokaza uzimajući u obzir ograničene resurse uređaja, vlasničke protokole i pitanja privatnosti. Cilj rada je prikazati potencijal IoT forenzike u rekonstrukciji događaja te identificirati glavne tehničke i pravne izazove s kojima se susreću forenzički istražitelji.

Keywords: računalna forenzika; IoT; pametna kuća; digitalni artefakti; forenzička analiza

Računalna forenzika bavi se prikupljanjem, analizom i interpretacijom digitalnih dokaza na način koji omogućuje njihovu uporabu u istražnim i sudskim postupcima [3]. U praksi to znači da se podaci moraju prikupiti tako da se kasnije može objasniti odakle potječu, kako su prikupljeni i da tijekom obrade nisu neovlašteno mijenjani. Takav pristup posebno je važan kada se dokazi koriste u postupcima u kojima se očekuje provjerljivost i ponovljivost analize [3].

S razvojem tehnologije izvori digitalnih tragova više nisu samo računala i mobiteli. Pametni kućni uređaji danas bilježe velik broj događaja: ulaske i izlaske, snimanja, aktivacije senzora, promjene postavki, pa čak i obrasce svakodnevnog ponašanja korisnika. Zbog toga se u digitalnim istragama sve češće razmatra i tzv. IoT forenzika, odnosno analiza tragova koji nastaju u mreži pametnih uređaja [1]. U širem kontekstu sigurnosti, i smjernice za IoT sigurnost naglašavaju da su pametni uređaji relevantni i kao izvor rizika i kao izvor podataka o incidentima [4].

Internet stvari (IoT) označava mrežu fizičkih uređaja koji su povezani s internetom i razmjenjuju podatke, često automatski i bez stalne ljudske interakcije [5]. U pametnoj kući to se vidi kroz uređaje koji “surađuju”: kamera detektira pokret, šalje obavijest aplikaciji, a pametna rasvjeta se automatski uključuje. Važno je razumjeti da se u takvom sustavu podaci ne nalaze na jednom mjestu, nego su raspodijeljeni između uređaja, kućnog rutera, mobilne aplikacije i cloud servisa proizvođača [1].

Tipična pametna kuća ima više slojeva. Na najnižoj razini su uređaji (senzori, kamere, brave). Iznad njih često postoji “hub” ili kontroler (npr. kućni gateway) koji povezuje uređaje i prevodi protokole, a zatim mobilna aplikacija i korisnički račun. Konačno, cloud servis omogućuje udaljeni pristup, pohranu povijesti događaja i analitiku [1]. Upravo ta veza s oblakom znači da forenzički tragovi mogu postojati i lokalno i udaljeno, što se mora uzeti u obzir kod planiranja prikupljanja dokaza [3].

Slika 1. Primjer IoT pametne kuće i glavnih komponenti sustava

Uređaji komuniciraju putem različitih tehnologija, primjerice Wi-Fi, Bluetooth, Zigbee ili Z-Wave. Neki sustavi koriste standardne protokole, a neki vlasnička rješenja. U forenzičkom smislu to je važno jer vrsta komunikacije utječe na to gdje se tragovi mogu pronaći: u logovima rutera, u mrežnim paketima, na samom uređaju ili u aplikaciji [6]. Također, postoje situacije gdje mrežni promet može biti jedini realan izvor informacija ako se uređaju ne može pristupiti izravno [6].

Digitalni artefakti su tragovi koji nastaju radom sustava: zapisi događaja, vremenske oznake, metapodaci, stanje postavki i podaci povezani s korisničkim računom [1]. U pametnoj kući to često izgleda kao “povijest aktivnosti” u aplikaciji, ali iza toga mogu biti zasebni logovi na uređaju i zapisi u oblaku. Artefakti su korisni jer omogućuju rekonstrukciju radnji: kada je kamera detektirala pokret, kada je brava otključana, kada je netko promijenio postavke alarma ili kada je uređaj izgubio vezu s mrežom [7].

U praksi su najvrjedniji artefakti oni koji imaju jasnu vremensku oznaku. Međutim, kod IoT uređaja treba biti oprezan jer vrijeme na uređaju može biti netočno ili može ovisiti o sinkronizaciji s internetom. Ako uređaj izgubi mrežu, može nastaviti bilježiti događaje s pogrešnim vremenom. Zbog toga je u analizi važno usporediti više izvora (npr. uređaj + aplikacija + cloud) kako bi se dobila pouzdanija vremenska linija [8].

Osim samih događaja, važan je i kontekst: ID uređaja, verzija firmwarea, naziv Wi-Fi mreže, korisnički račun, lokacija (ako se bilježi) i povezanost s drugim uređajima. Takvi podaci mogu objasniti “tko je što kontrolirao” i “kojim putem”. U literaturi se naglašava da su IoT tragovi često fragmentirani, pa se vrijednost dokaza povećava kad se metapodaci povežu u jednu cjelinu [7].

Forenzičko prikupljanje podataka iz IoT uređaja razlikuje se od klasičnih metoda na računalima jer IoT uređaji često imaju ograničenu memoriju, zatvorene sustave i nisu dizajnirani za jednostavno izvlačenje podataka [6]. Zbog toga se prikupljanje obično planira kao kombinacija pristupa, ovisno o uređaju i slučaju. Općenito, forenzička praksa naglašava da treba jasno dokumentirati što je prikupljeno, kojim postupkom i kako je dokaz očuvan (npr. hash vrijednosti, zapisnici o preuzimanju) [3].

Slika 2. Visokorangirani pregled modela digitalne forenzičke spremnosti za IoT (SIoTDFR)

Ako je moguće pristupiti uređaju, može se pokušati prikupiti lokalne logove ili konfiguracijske datoteke. Kod nekih uređaja to je izvedivo preko korisničkog sučelja, kod drugih je potrebna naprednija metoda (npr. servisni portovi ili kopiranje memorije). U stvarnom radu često je problem što dio podataka postoji samo kratko vrijeme zbog ograničenog prostora ili kružnog zapisivanja logova [6]. Zato je kod incidenta važno reagirati brzo i minimalno mijenjati stanje uređaja prije prikupljanja [3].

Kada izravan pristup uređaju nije moguć ili nije dovoljan, analiza mrežnog prometa može dati dodatne tragove: kada je uređaj komunicirao s cloudom, koje usluge koristi i kada je poslao određene podatke. Iako promet može biti šifriran, i dalje se mogu dobiti korisne informacije iz metapodataka (npr. odredišta, vrijeme, veličina prijenosa) [6]. Takav pristup je posebno koristan u pametnim kućama gdje više uređaja dijeli istu mrežnu infrastrukturu i gdje ruter može imati vlastite logove [6].

Neovisno o metodi, ključna je dosljednost: bilježenje vremena prikupljanja, alata i postavki, izrada kontrolnih vrijednosti (hash) gdje je moguće te vođenje evidencije o tome tko je imao pristup dokazima [3]. To olakšava kasniju provjeru i smanjuje rizik da se dokaz ospori zbog nejasnog postupanja.

U pametnoj kući cloud i mobilna aplikacija često sadrže najčitljiviji i najkompletniji prikaz aktivnosti. Cloud servis može držati povijest događaja dulje od samog uređaja, a aplikacija često prikazuje “timeline” koji korisnik vidi. Zbog toga se u praksi analiza često počinje od aplikacije i korisničkog računa, a zatim se nalazi uspoređuju s lokalnim tragovima na uređajima [1]. Općenito, pristupi digitalnim dokazima u incidentima i istragama naglašavaju važnost spajanja različitih izvora kako bi se potvrdili nalazi [3].

Mobilna aplikacija može sadržavati lokalne baze podataka, cache, zapise o prijavi, obavijesti te informacije o povezanim uređajima. Ovisno o aplikaciji, dio podataka može ostati na telefonu i nakon brisanja povijesti u sučelju. U digitalnim istragama to je važan izvor jer telefon često ima dodatne podatke o korisniku i vremenu korištenja [2]. Smjernice za mobilnu forenziku naglašavaju da se podaci trebaju prikupljati metodama koje minimalno mijenjaju sadržaj uređaja i da se analiza radi na kopiji kad god je moguće [2].

Cloud dio obično sadrži povijest događaja, konfiguracije, popis uređaja, logove o pristupu i ponekad snimke (npr. video isječke). Međutim, pristup tim podacima je često ograničen autentikacijom i politikama pružatelja usluge. U nekim slučajevima potrebna je službena suradnja ili pravni postupak, a pri tumačenju podataka treba razumjeti što je stvarno generirao uređaj, a što je naknadno obrađeno u oblaku [1].

IoT forenzika je zahtjevna jer sustavi nisu ujednačeni, a uređaji se brzo mijenjaju. Literatura često ističe da je najveći problem heterogenost: različiti proizvođači, različiti formati zapisa, različita pravila čuvanja podataka i različite razine sigurnosti [6]. Dodatno, mnogo tragova je “kratkog vijeka”, pa se ključni zapisi mogu izgubiti prije nego što istraga započne [6].

Slika 3. NIST IoT Guidelines – ključne tehničke aktivnosti za sigurnost IoT uređaja

Sve češće se koriste šifrirane komunikacije i šifrirana lokalna pohrana. To je dobro za sigurnost korisnika, ali otežava istrage. Ponekad je moguće zaključivati na temelju metapodataka, ali to je ograničeno i treba biti oprezan u interpretaciji [6]. U nekim slučajevima uređaj ili aplikacija mogu implementirati mehanizme koji onemogućuju izvlačenje podataka bez službenih ključeva ili pristupa računu [6].

Dok kod klasičnog računala mnogi tragovi postoje na jednom disku, u pametnoj kući tragovi su raspodijeljeni: dio je na uređaju, dio u aplikaciji, dio u oblaku, a dio u mrežnoj infrastrukturi. Zbog toga rekonstrukcija događaja često znači “spajanje slagalice” i uspoređivanje više izvora kako bi se izbjegle pogrešne pretpostavke [8]. U tom smislu, radovi o IoT dokazima naglašavaju potrebu za jasnim okvirima i postupcima koji pomažu povezati tragove u koherentnu vremensku liniju [8].

Pametni kućni uređaji prikupljaju podatke koji mogu biti vrlo osobni: navike, prisutnost u domu, audio/video zapise i druge osjetljive informacije. Zbog toga se obrada tih podataka mora temeljiti na jasnoj pravnoj osnovi i provoditi uz mjere koje smanjuju nepotrebno zadiranje u privatnost [11]. U europskom kontekstu, GDPR naglašava načela kao što su ograničenje svrhe, minimizacija podataka i sigurnost obrade, što je posebno važno kad se analiziraju podaci iz privatnog prostora [10].

U praksi to znači da se trebaju prikupljati samo oni podaci koji su relevantni za konkretnu svrhu istrage. Ako se, primjerice, istražuje određeni vremenski interval, nema opravdanja prikupljati mjesece povijesti aktivnosti. Takav pristup smanjuje rizik povrede privatnosti i olakšava obranu postupka prikupljanja dokaza [10].

Osim zakonitosti, važna je i transparentnost postupka: što je uzeto, kada, kojim alatom i od koga. Smjernice za forenzičke postupke u incidentima naglašavaju da kvalitetna dokumentacija pomaže u kasnijoj provjeri i interpretaciji rezultata [3]. To je posebno važno kod IoT-a jer se podaci mogu mijenjati sinkronizacijom i automatizacijom, pa bez dokumentacije nije jasno u kojem stanju je sustav bio u trenutku prikupljanja [3].

Pametni kućni uređaji postaju sve značajniji izvor digitalnih dokaza u području računalne forenzike. Njihovi zapisi mogu pružiti informacije o događajima u prostoru i vremenu, a kombinacija lokalnih tragova, podataka iz mobilne aplikacije i cloud zapisa često omogućuje detaljniju rekonstrukciju incidenta [1]. Međutim, upravo ta raspodijeljenost podataka čini analizu složenijom i zahtjeva pažljivo planiranje prikupljanja te provjeru nalaza kroz više izvora [3].

IoT forenzika je područje koje se brzo razvija i suočava se s izazovima poput enkripcije, heterogenosti uređaja i kratkog zadržavanja logova [6]. Uz tehničke izazove, jednako su važni pravni i etički aspekti, osobito u pogledu privatnosti u kućnom okruženju [10]. Daljnji razvoj standarda, alata i postupaka, s jasnim pravnim okvirima, bit će ključan kako bi se IoT tragovi mogli pouzdano koristiti kao digitalni dokazi [8].

[1] Guide to Integrating Forensic Techniques into Incident Response (NIST SP 800-86) (PDF): https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf

[2] Guidelines on Mobile Device Forensics (NIST SP 800-101 Rev. 1) (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-101r1.pdf

[3] Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2) (PDF): https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

[4] Guidelines for Securing the Internet of Things (ENISA) (PDF): https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Guidelines%20for%20Securing%20the%20Internet%20of%20Things.pdf

[5] IoT forensic challenges and opportunities for digital traces (DFRWS Europe 2019) (PDF): https://www.dfrws.org/wp-content/uploads/2021/05/2019_EU_paper-iot_forensic_challenges_and_opportunities_for_digital_traces.pdf

[6] IoT Forensic: digital investigation framework (arXiv) (PDF): https://arxiv.org/pdf/1909.02815

[7] IoT Forensics: Current Perspectives and Future Directions (Sensors) (PDF): https://www.open-access.bcu.ac.uk/16360/1/sensors-24-05210.pdf

[8] Profile of the IoT Core Baseline for Consumer IoT Products (NIST IR 8425) (PDF): https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8425.pdf

[9] What is the Internet of Things (IoT)?: https://www.ibm.com/topics/internet-of-things

[10] Uredba (EU) 2016/679 (Opća uredba o zaštiti podataka): https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=hr

[11] SIRIUS EU Digital Evidence Situation Report 2024 (Europol) (PDF): https://www.europol.europa.eu/cms/sites/default/files/documents/SIRIUS_E_Evidence_Situation_Report_2024.pdf