SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA Seminarski rad u okviru kolegija Računalna forenzika IoT forenzika Ivana Rozić Zagreb, siječanj 2019.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Seminarski rad u okviru kolegija Računalna forenzika
IoT forenzika
Ivana Rozić
Zagreb, siječanj 2019.
2
Sadržaj
1. Uvod ............................................................................................................................................................................... 3
2. Internet stvari – moduli i karakteristike ........................................................................................................ 4
3. Sigurnosni izazovi u IoT-u .................................................................................................................................... 6
3.1. Izvori prijetnji .................................................................................................................................................. 6
3.2. Napadi u IoT-u ................................................................................................................................................. 6
4. Pristupi u IoT forenzici .......................................................................................................................................... 8
4.1. Faza predistrage .............................................................................................................................................. 8
4.2. Pristup istraživanju u stvarnom vremenu ........................................................................................... 8
5. Studija slučaja: Forenzika pametnog sata ...................................................................................................... 9
5.1. Logička akvizicija ............................................................................................................................................ 9
5.2. Manualna akvizicija .................................................................................................................................... 10
6. Zaključak ................................................................................................................................................................... 12
LITERATURA ..................................................................................................................................................................... 13
3
1. Uvod Internet stvari (eng. Internet of Things – IoT) je sustav međusobno povezanih računalnih uređaja, mehaničkih i digitalnih strojeva, objekata, životinja ili ljudi koji posjeduju svoje jedinstvene identifikatore i mogućnost komuniciranja podataka mrežom bez potrebe za međuljudskom ili čovjek-računalo interakcijom. Analize ABI Researcha pretpostavljaju da će do 2020. godine postojati više od 40 milijardi povezanih uređaja. Razumljivo je stoga da takve uređaje nalazimo u svim domenama ljudskog života od brige za zdravlje, prijevoza, pametnih kuća do pametnih gradova i mnogih drugih. IoT tehnologijama prikupljaju se, prenose i analiziraju podaci. Zbog tih akcija, IoT sigurnost i IoT privatnost postaju velikim problemom ali i velikim predmetom istraživanja. Svi uređaji koji se mogu povezati internetom potencijalno su u opasnosti od cyber napada. Podaci sa svakodnevnih osobnih stvari kao što su video kamere, hladnjaci i televizori, napadači mogu koristiti za zlonamjerne radnje. Budući da su IoT uređaji usko povezani, napadaču je dovoljno da iskoristi jednu ranjivost da bi upravljao svim podacima korisnika (imena, dob, adresa, brojevi, lokacije…). U slučaju IoT tehnologije teško je obavljati statičku digitalnu forenziku u usporedbi s drugim vrstama računalne forenzike. Potrebno je istraživanje u stvarnom vremenu (eng. real-time investigation). U sljedećim poglavljima razjasnit će se moduli i karakteristike IoT-a, sigurnosni izazovi u IoT-u uključujući izvore prijetnji i napade, pristupi u IoT forenzici te konkretna studija slučaja.
4
2. Internet stvari – moduli i karakteristike Jedan IoT gradivni blok sastoji se od pet glavnih modula: senzorski, procesni, aktivacijski, komunikacijski i energijski modul.
Senzorski modul predstavlja sposobnost praćenja stanja okoline i reagiranja na iste. Može biti kontrolirano senzoriranje ili senzoriranje na događaj. Podaci se prikupljaju i distribuiraju tj. šalju se na procesni modul za daljnju obradu. Svaki senzor posjeduje jedinstveni identifikacijski broj i fizičku adresu za identifikaciju i komunikaciju u IoT sustavu.
Procesni modul je jezgra IoT sustava koji procesira informacije primljene od senzora. Ovaj modul se kontrolira aplikacijskim softverom i zbog sigurnosti komunikacije koristi enkripciju i dekripciju podataka.
Aktivacijski modul se koristi za pobuđivanje fizičkih uređaja i signaliziranje među IoT uređajima. Procesirani podaci (rezultati) pobuđuju aktivacijski modul na izvršavanje rezultata. U ovom modulu nema komunikacijskih podataka ili računalnih akcija.
Komunikacijski modul je bitna komponenta u bilo kojem mrežnom sustavu. IoT uređaji posjeduju svoje IP adrese i lokacije. Podaci iz procesnog modula mogu se prenijeti u mrežno okruženje (Local Area Network, Wide Area Network).
Energijski modul osigurava energiju za sve module budući da svaka operacija za izvršenje zahtijeva određenu količinu energije.
Slika 1 prikazuje povezanost svih modula i IoT sustav kao cjelinu.
Slika 1 IoT sustav
5
Glavne karakteristike IoT sustava su: Postojanost – svaka fizička stvar koja može sadržavati ugradbeni sustav Svojstvenost – svaki uređaj posjeduje jedinstveni identitet koji ga opisuje; objekti
upravljaju podacima, odlučuju i samostalno djeluju Povezivanje – otvoreno umrežavanje s drugim uređajima Interaktivnost – uređaji komuniciraju i zajedno rade na velikom broju raznovrsnih
elemenata Dinamičnost – komunikacija u bilo koje vrijeme, na bilo kojem mjestu i u bilo kojem
svojstvu; dobrovoljno uključivanje ili isključivanje iz mreža Skalabilnost – povećanje količine IoT uređaja povezuje se s globalnom informacijskom
mrežom; planiranje pristupačne sheme sigurnosti kao izazovna misija Ograničenja izračuna – IoT uređaji nisu namjenjeni za izvođenje kompleksnih računskih
operacija, izračunavaju se samo pretpostavljeni podaci Ograničenja resursa – IoT uređaji imaju mali memorijski prostor i baterije ograničene
energije stoga se koriste načini rada s niskom potrošnjom i senzorima u mirovanju do pojave događaja
6
3. Sigurnosni izazovi u IoT-u IoT tehnologija je kombinacija mnogih tehnoloških zona: IoT zona, mrežna zona i zona oblaka. Ove zone mogu biti izvori IoT digitalnih dokaza. To jest, dokazi mogu biti prikupljeni iz pametnog IoT uređaja ili senzora, iz interne mreže kao što je vatrozid ili ruter ili iz vanjske mreže kao što je Cloud ili aplikacija. Na temelju tih zona, IoT ima tri aspekta u pogledu forenzike: Cloud forenzika, mrežna forenzika i razina uređaja.
3.1. Izvori prijetnji Glavni izvori prijetnji u IoT-u su:
Loš korisnik - Korisnik IoT uređaja vrši napad kojim u tajnosti pristupa nekim ograničenim pogodnostima.
Nepošten proizvođač – Proizvođač IoT uređaja iskorištava tehnologiju u svrhu prikupljanja informacija o korisnicima koje može otkriti outsiderima.
Vanjski napadač – Poznat je kao outsider koji nije dio IoT sustava i nije ovlašten. Pokušava dobiti informacije za zlonamjerne svrhe. Može uzrokovati i kvarove manipuliranjem IoT uređaja.
Loše programiranje – razvojni programer IoT aplikacije ili IoT uređaja može koristiti programske kodove za izviđanje korisničkih podataka. Ovakvi kodovi mogu dugo ostati neotkriveni.
3.2. Napadi u IoT-u Internetski napadi u IoT-u su klasificirani u nekoliko kategorija:
Ugroženo čvorište – Napadač može modificirati uređaj i obmanuti sustav. Uređaj, stoga, neće obavljati svoju pretpostavljenu funkciju. Ovakvi napadi koriste se za krađu informacija te zlouporabu softvera i hardvera IoT uređaja.
Denial of Service (DoS) – DoS se može izvesti pogrešnom uporabom uređaja, manipuliranjem njegovim softverom i aplikacijom ili ometanjem komunikacijskog kanala. Jedna vrsta ovakvog napada je jamming attack u kojem napadač blokira prijenos signala senzorskim komunikacijskim kanalom generiranjem kolizija. Kolizije uzrokuju prekid komunikacijske poruke. Ciljevi ovakvih napada su uglavnom sabotaže, gdje napadač pokušava spriječiti baznu stanicu da primi stvarna očitanja iz mreže senzora.
Distribuirani DoS – Primjerice Mirai napad. Mirai malware je dizajniran za iskorištavanje postojećih ranjivosti unutar IoT uređaja za DDoS napade. Na tržištu postoje milijuni IoT uređaja koji su pogrešno konfigurirani i pretpostavljeni za prosljeđivanje poruka putem TCP protokola. Miraijev naredbeni i kontrolni kod programiran je u Go, a njegovi botovi su napisani u C-u. Postoje dvije glavne svrhe napada: i) kompromitiranje i lokaliziranje IoT uređaja pomoću botneta. ii) Iniciranje DDoS napada prema redoslijedu daljinske naredbe i kontrole. Osim toga, Mirai također provodi opsežno IP skeniranje kako bi pronašao nezaštićene IoT uređaje. Ovim se ranjivim uređajima može jednostavno pristupiti daljinskom naredbom.
Spoofing – Napadač koristi tuđe akreditivne podatke kako bi dobio pristup nedostupnom servisu. Ovi akreditivi se mogu otkriti iz samog uređaja, prisluškivanja komunikacijskog kanala ili iz izviđanja.
Kršenje privatnosti - Napadač može prikupiti osobne podatke iz različitih izvora (meta-informacije, istraga aktivnosti…).
Buffer Overflow - Koristeći ovu vrstu napada, preljev međuspremnika omogućuje napadaču da kontrolira ili ruši procesor kako bi promijenio svoje osnovne varijable. Ako je program dovoljno povlašten, napadač može kontrolirati domaćina.
7
SQL injekcija - Metoda injekcije zlonamjernog koda koja se koristi za napad na informacijski upravljane aplikacije, manipulirajući slabostima sigurnosti u softveru aplikacije, dopuštajući napadaču da lažira identitet i mijenja podatke.
8
4. Pristupi u IoT forenzici U kontekstu IoT-a, postavljena su dva pristupa:
Spremnost IoT forenzike tijekom faze predistrage Pristup istraživanju u stvarnom vremenu
4.1. Faza predistrage Faza predistrage uključuje pripremu, akviziciju i evaluaciju. Dijeli se na spremnost upravljanja (izrada plana istraživačke strategije, priprema alata i tehnika, monitoring itd.) i tehničku spremnost. Tehnička spremnost provodi se sužavanjem liste potencijalnih dokaza/uređaja koji mogu pomoći istraživaču da identificira, prikupi i sačuva dokaze. Istraživač mora znati odgovore na pitanja:
• Što identificirati? • Što prikupiti? • Kako prepoznati potencijalne dokaze/uređaje? • Kako prikupiti potencijalne dokaze/uređaje? • Kako sačuvati dokaze?
4.2. Pristup istraživanju u stvarnom vremenu Pristup istraživanju u stvarnom vremenu sastoji se od nekoliko zadataka koji se izvode na jednoj procesorskoj platformi kako je prikazano na Slici 2.
Slika 2 Pristup istraživanju u stvarnom vremenu
9
5. Studija slučaja: Forenzika pametnog sata Pametni sat je digitalni ručni sat i nosivi računalni uređaj. Digitalni satovi su kategorizirani prema njihovim tehnologijama. Zbog kontinuiranog razvoja digitalnih satova, većina satova pokriva više od jedne tehnologije. Pametni sat se koristi kao pametni telefon i uglavnom ima slične funkcije. Između ostalog, pametni sat prikazuje datum i vrijeme, broji korake i pruža različite vrste informacija. Može prikazivati informacije poput vijesti, vremenske prognoze, informacije o letovima, prometne vijesti i primanje teksta poruke, poruke e-pošte, poruke društvenih medija, tweetove i mnoge druge. Da bi bio potpuno opremljen, pametni sat mora imati dobru povezanost kako bi omogućio komunikaciju s drugim uređajima (npr. pametnim telefonom) i nezavisni rad. U ovoj studiji slučaja istražili smo Apple Watch Series 2 sa sljedećim tehničkim specifikacijama:
- Mrežno dostupan pametni sat - Dual-core Apple S2 čip - Ugrađena punjiva litij-ionska baterija - watchOS 2.3, watchOS 3.0 nadogradiv na watchOS 3.2 - WiFi 802.11 b/g/n 2.4 GHz, Bluetooth 4.0, ugrađeni GPS, NFC čip, servisni priključak - AMOLED kapacitivni zaslon osjetljiv na dodir, Force Touch, 272x340 piksela (38 mm),
312x390 piksela (42 mm), safirni kristal ili Ion-X staklo - Senzori: akcelerometar, žiroskop, senzor rada srca, senzor ambijentalnog svjetla - Poruke: SMS, e-pošta, iPoruke - Zvuk: vibracije, zvukovi zvona, zvučnik
Forenzički pristup proveden je putem iPhonea sinkroniziranog s Apple pametnim satom, logičkom akvizicijom i manualnom akvizicijom.
5.1. Logička akvizicija Sljedeći nalazi na iPhone uređaju, povezanog s Apple pametnim satom, su rezultat višestrukih ekstrakcija. Prvi nagovještaj Apple pametnog sata nalazi se u bazi podataka com.apple.MobileBluetooth.ledevices.paired.db. Ova se baza podataka može pronaći u datotečnom sustavu iPhone uređaja na pathu /SysSharedContainerDomain- systemgroup.com.apple.bluetooth/Library/Database/. Ova baza podataka sadrži UUID, ime, adresu, LastSeenTime i LastConnectionTime. Obzirom da Apple pametni satovi nemaju zaseban datotečni sustav na iPhone uređaju, podaci s Apple pametnog sata moraju se tražiti u aplikacijskim podacima unutar iPhone uređaja. U ovom slučaju, Apple pametni sat korišten je u vrijeme rada sa sljedećim aplikacijama: Health App, Nike Plus App, Heartbeat App, Poruke, Karte. Opisani su artefakti preuzete iz nekih od tih aplikacija.
- Health App: Baza podataka healthdb.sqlite na pathu /var/mobile/Library/Health/ sadrži Apple pametni sat kao izvorni uređaj za zdravstvene podatke
- Nike Plus GPS: GPS aplikacija Nike Plus sadrži mapu com.apple.watchconnectivity. Path je /Applictions/com.nike.nikeplus-gps/Documents/inbox/. Tu se nalazi mapa naziva 71F6BCC0-56BD-4B4s-A74A-C1BA900719FB. To indicira uporabu Apple pametnog sata. Glavna baza podataka u Nike Plus GPS aplikaciji je activityStore.db na pathu /Applications/com.nike.nikeplusgps/Documents/. ActivityStore.db sadrži pregled aktivnosti, lastContiguosActivity, metrike, summaryMetrics i oznake, koji su visoko relevantni za istragu.
- GPS podaci: Dužine i širine su generirane od Nike Plus aplikacije i spremljene u tablice s pripadajućom vremenskom oznakom.
S ovim informacijama, može se kreirati mapa s GPS podacima u Google mapsu. Analiza: Za logičku akviziciju, koristili su se softver Cellebrite UFE.O i 4PC. Ovi alati pomogli su u izvedbi logičke akvizicije. U datotečnom sustavu iPhone uređaja mogle su se pronaći informacije (npr. UUID i ime) uparenog Apple pametnog sata. Pronađene su i informacije o posljednjem spajanju. Nakon preuzimanja informacija o satu, istražen je datotečni sustav u odnosu na
10
aplikacije korištene na Apple pametnom satu. Neke aplikacije sadrže informacije o uparenom Apple pametnom satu kao izvornom uređaju. Puno podataka na iPhone uređaju proizveno je i dolazi s Apple pametnog sata. Dakle, iPhone uređaj sadrži podatke o akcijama koje je korisnik ručno pokrenuo noseći Apple pametni sat. Ali podaci o otkucajima srca, broju koraka i spavanju su snimljeni za vrijeme nošenja Apple pametnog sata čak i bez ručnog pokretanja aplikacija. Svi podaci sadrže i vremenske oznake u različitim formatima. U praktičnom pristupu, GPS podaci generirani iz aplikacije Nike Plus GPS na Apple pametnom satu pronađeni su na iPhone uređaju.
5.2. Manualna akvizicija Da bi se odredilo koji su podaci pohranjeni u Apple Watch Series 2, korišteno je manualno ispitivanje u obliku manualne akvizicije putem zaslona uređaja. Ta metoda istraživanja je korištena jer nije bio moguć nikakav fizički pristup. Ova je varijanta korištena za dokazivanje da Apple pametni sat ne samo da generira podatke, već sadrži i podatke direktno na satu i može se koristiti kao samostalni uređaj. Prije uporabe Apple pametnog sata kao nezavisnog uređaja, mora biti uparen s iPhone uređajem i autenciran na istoj WiFi mreži. Nakon tog procesa, iPhone uređaj se isključuje. Potreban je samo za pisanje poruke ili e-pošte ili za telefoniranje. Za bilo koju drugu forenzičku akviziciju, nije potrebna povezanost s Apple pametnim satom.
- Poruke: Bilo je moguće pregledati sve iPoruke i tekstualne poruke koje su sinkronizirane sa Apple pametnim satom prije isključivanja iPhone uređaja. Nakon stavljanja Apple pametnog sata u zrakoplovni način rada, poruke su se idalje mogle čitati. Pokušano je pisanje diktiranih iPoruka i tekstualnih poruka izravno sa Apple pametnog sata za bilo koju osobu, s isključenim zrakoplovnim načinom rada. Bilo je moguće poslati iPoruku primatelju direktno s Apple pametnog sata. Nadalje, tekstualne poruke moguće je napisati na satu, međutim klik na gumb za slanje nije poslao poruku nego ju je spremio. Poruka je poslana tek nakon uključivanja iPhone uređaja.
- Slike: Slike su, također, sinkronizirane sa Apple pametnim satom prije isključivanja telefona. Da bi se dokazalo da su kopije slika bez sumnje na Apple pametnom satu a ne na Cloudu, Apple pametni sat je stavljen u zrakoplovni način rada. Slike su idalje bile na satu.
- Aplikacije: Pregledane su aplikacije HeartRate, HeartWatch, Aktivnost, Karte, Trening, Nike Plus Run, Twitter i Instagram. Aplikacija HeartRate sadrži samo podatke o posljednjem i trenutnom mjerenju srčanog ritma. HeartWatch aplikacija sadrži malo više podataka kao što su puls, dnevni prosjek, podaci o treningu i podaci o praćenju sna. Aplikacija za snimanje bilo koje vrste vježbe je Apple Workout. Ta aplikacija prikazuje jako malo podataka o zadnjem treningu. Sadrži samo tip, duljinu i datum treninga. Nike Plus Run također sadrži vrlo malo podataka – samo je pretrčana udaljenost zadnjeg treninga prikazana istražiteljima. Twitter i Instagram mogu se koristiti samo ako je Apple pametni sat povezan s iPhone uređajem. Ako je iPhone uređaj isključen, prikazana je indikacija da telefon nije spojen.
- E-pošta: Čitanje e-pošte na Apple pametnom satu funkcionira na isti način kao i čitanje iPoruke i SMS poruke. Kada je iPhone isključen, mailovi se mogu primiti, otvoriti i poslati jednostavno i neovisno o iPhone uređaju. Nakon stavljanja Apple pametnog sata u zrakoplovni način rada, poruke se još uvijek mogu čitati.
- Kalendar: U kalendar aplikaciji, moguće je vidjeti unose korisnika ali ograničeno na unose počevši od dana prije manualne akvizicije do sedam dana u budućnosti. Ovo je moguće i u zrakoplovnom načinu rada.
- Kontakti i telefon: Kontakti se također spremaju na Apple pametni sat neovisno o statusu iPhone uređaja. Telefon se može isključiti i sat može biti isključen iz svih mreža, ali kontakti ostaju na satu. Svi kontakti se mogu prikazati sa svim podacima spremljenim na iPhone uređaju. Aplikacija sadrži i dnevnik poziva i listu favorita. Iako je iPhone uređaj isključen i Apple pametni sat u zrakoplovnom načinu rada, istražitelj je imao mogućnost
11
pregledati i preslušati sve govorne poruke. Osim toga, prikazuju se porijeklo telefonskog broja te datum i vrijeme dolazne govorne pošte.
Analiza: Budući da fizički pristup Apple pametnom satu nije dostupan, manualna akvizicija u formi istrage putem zaslona je trenutno jedini način da bi se vidjelo što se sprema i pohranjuje na Apple pametnom satu. Istraživanje pokazuje da se Apple pametni sat može koristiti kao samostalan uređaj, neovisan o iPhone uređaju. Mnogi artefakti, važni za istražitelje, pronađeni su na Apple pametnom satu. To uključuje iPoruke, tekstualne poruke, slike, podatke o vježbanju, podatke o otkucajima srca, podatke o pretraživanju karti, e-mailove, unose u kalendar, kontakte, dnevnik poziva i govornu poštu. Da bi manualna akvizicija bila moguća, pametni sat mora biti otključan. Ako je Apple pametni sat zaključan PIN kodom, nema načina za otključavanje sata osim unošenjem ispravnog PIN koda.
12
6. Zaključak U okviru seminarskog rada predstavljen je koncept Interneta stvari te su prikazani modeli i karakteristike IoT sustava. Analizom izvora i vrsta napada uočava se veliki broj ranjivosti ove tehnologije što pokazuje da je IoT još uvijek “mlada“ tehnologija. Svaki korisnik IoT-a uskoro će vjerojatno imati stotine povezanih uređaja i stoga je potrebno osigurati odgovarajuće zaštitne mjere. Kroz studiju slučaja primjećuje se da se postojeći digitalni forenzički alati mogu koristiti u nekim fazama u cijelom IoT procesu, ali još uvijek nedostaje općeniti i učinkoviti IoT forenzički model ili proces koji bi mogao pomoći istražiteljima da se nose s tim izazovima današnjice.
13
LITERATURA [1] Digital Evidence Challenges in the Internet of Things: R.C.Hegarty , D.J.Lamb, A.Attwood;
https://www.researchgate.net/publication/288660566_Digital_evidence_challenges_in_the_internet_of_things
[2] IoT Forensic: Bridging the Challenges in Digital Forensic and the Internet of Things: Nurul Huda Nik Zulkipli, Ahmed Alenezim, Gary B. Wills; https://www.researchgate.net/publication/316867894_IoT_Forensic_Bridging_the_Challenges_in_Digital_Forensic_and_the_Internet_of_Things
[3] Internet of Things (IOT); https://internetofthingsagenda.techtarget.com/definition/Internet-of-Things-IoT
[4] Internet of Things forensic: challenges and case study: Saad Alabdulsalam, Kevin Schaefer, Tahar Kechadi, Nhien-An LeKhac; https://arxiv.org/ftp/arxiv/papers/1801/1801.10391.pdf
Related Documents
