IoT forensics na przykładzie analizy SmartTV

IoT Forensics, czyli informatyka śledcza z wykorzystaniem analizy sprzętów IoT to coraz częściej pojawiający się temat w naszych sprawach. W końcu internet rzeczy (IoT) ma ogromne możliwości, ale także poważne problemy z bezpieczeństwem i prywatnością. Chociaż od dawna przeprowadza się badania dowodów cyfrowych wszelakich urządzeń elektronicznych, badania kryminalistyczne w zakresie IoT są stosunkowo nowe i nie zostały jeszcze dokładnie zgłębione.

Kiedy Kevin Ashton w 1999 roku zaproponował termin IoT (ang. Internet of Things), czyli koncepcję, wedle której jednoznacznie identyfikowalne przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem np. sieci komputerowej, zapewne nie spodziewał się, że progres technologiczny nastąpi tak szybko i przyniesie za sobą tyle problemów, zwłaszcza tych związanych z poczuciem bezpieczeństwa. Czy w związku z tym, dzisiejsi forensicowi specjaliści mają jakieś możliwości, aby badać nośniki cyfrowe pochodzące z wszelakiej maści urządzeń skategoryzowanych jako IoT? Spróbujmy się temu przyjrzeć.

Podstawowym celem Internetu Rzeczy jest stworzenie inteligentnych przestrzeni tj. inteligentnych miast, transportu, produktów, budynków, systemów energetycznych, systemów zdrowia czy innych związanych z życiem codziennym.

W każdej z przestrzeni znajdują się przedmioty, które do niej należą. Samochody (zwłaszcza te określane jako bezzałogowe), drony (którymi steruje cyfrowe AI), oświetlenie miejskie, inteligentne domy, czujniki zbierające informacje o stanie zdrowia, telewizory, lodówki czy nawet kosze na śmieci w formie określanej jako ‘smart’… Wszystkie te i inne przedmioty już istnieją i lada moment zacznie się ich ekspansja. Bo dlaczego lodówka nie miałaby sama zamówić produktów, których zaczyna w niej brakować? Dlaczego kosz na śmieci nie mógłby sam informować domowników, że jego pojemność jest bliska wyczerpania? A telewizory, które same dobierają odpowiednie transmisje dla osoby, która właśnie je ogląda? Świat jest dzisiaj cyfrowy i z dnia na dzień nasze życie też siłą rzeczy staje się coraz bardziej cyfrowe. Z naszego punktu widzenia, czyli specjalistów informatyki śledczej, wszystko to określane jako smart, bezzałogowe, czy sterowane sztuczną inteligencją musi być postrzegane nie tylko w sposób użytkowy, ale przede wszystkim jako cyfrowe dane. Dane, które prędzej czy później mogą pojawić się jako dowody elektroniczne. Tych ‘zer i jedynek’ będzie przybywać, a my musimy sobie z tym poradzić. Bo skoro – na przykład – było włamanie do inteligentnego domu, to zapewne czujniki zarejestrowały odpowiednie informacje. Dlaczego nie mielibyśmy się w takim razie nimi posłużyć i pomóc rozwiązać taką sprawę?

IoT Forensics – przechowywanie danych

Na chwilę obecną, dane z urządzeń IoT gromadzone są głównie w pamięciach typu flash (najczęściej są to kości eMMC), dołączanych kart pamięci lub zasobach sieciowych (jeśli urządzenie nie posiada własnego magazynu pamięci). Najprostszą sprawą jest taka, w której urządzenie IoT korzysta z karty pamięci.

IoT Forensics - pliki

Wówczas odczyt takiej karty i analiza odczytanych danych rozwiązuje problem. W przypadku pamięci eMMC sprawa jest nieco bardziej skomplikowana. Na szczęście ten rodzaj pamięci flash ma możliwość odczytu ISP i potrzebuje pięciu podłączonych linii sygnałowych: Vss, Vdd, Clock, Command & Data0. Odpowiednie połączenie do układu daje nam możliwość pozyskania całej zawartości kości pamięci. Spróbujmy zatem prześledzić taki proces na przykładzie zabezpieczenia pamięci telewizora typu smart. Zdjęcie na rys. 1 przedstawia płytę główną takiego telewizora. Można zauważyć podobieństwa do płyt głównych umieszczanych w smartfonach. Odnajdujemy na płycie procesor, kość pamięci i dodatkowe układy sterujące odpowiednimi funkcjami. Dla nas najważniejsza jest oczywiście kość pamięci. Takową najczęściej musimy z płyty głównej wyciągnąć (metodą Chip-Off) i nawiązać z nią połączenie. Wynikiem poprawnego połączenia będzie pełny dump pamięci do pliku binarnego (.BIN). Następnie zaczyna się proces analizy takiej pamięci.

Systemy plików na pamięciach eMMC zostały opracowane dla systemów wbudowanych korzystających z pamięci flash. Ten typ pamięci flash wykorzystuje dane wejściowe/wyjściowe oparte na blokach, co wymaga precyzyjnego mapowania, zmiany układu i usuwania pamięci. Jest również kompatybilny z systemami operacyjnymi opartymi na systemie Linux. Zwykle systemy plików na układach eMMC są personalizowane przez producenta telewizora. W przypadku telewizorów smart jednym z systemów plików jest Squash FS. To oparty na systemie Linux system plików tylko do odczytu, opracowany z myślą o systemach wbudowanych. Podstawowym atrybutem Squash FS jest to, że kompresuje katalogi, pliki i węzły indeksu. Partycjonowanie tego systemu wygląda jak na rysunku nr 2.

IoT Forensics

Inteligentne telewizory zwykle przechowują większość danych w plikach XML. Informacje takie jak adres RL producenta, opis modelu, nazwa, numer, URL modelu, numer seryjny itp. Ta informacja staje się bardzo ważna podczas badania urządzenia i potwierdzania informacji o samym urządzeniu. Telewizory smart na ogół mają zaimplementowaną łączność sieciową, która umożliwia użytkownikom dostęp do Internetu i pobieranie aplikacji. Biorąc pod uwagę nasz punkt widzenia, czyli forensicowca, zdobywanie informacji o sieci jest bardzo cenne. Znajdziemy tam takie dane jak: nazwa urządzenia w sieci, numery portów, adresy IP, czy też sparowane urządzenia wraz z adresem MAC.

Zainstalowane aplikacje również są cennym źródłem danych. Wszelkie aplikacje społecznościowe, typu Facebook czy Twitter, zapisują dane w formie plików cache, które następnie możemy poddać szczegółowej analizie. Aktywność preinstalowanej przeglądarki internetowej gromadzona jest w formie pliku bazy danych SQLite. Poddając analizie bazę danych otrzymujemy dostęp do wszystkich odwiedzonych witryn internetowych. Jak widać na powyższym, IoT Forensics, czyli analiza danych pochodzących z urządzeń IoT jest możliwa. Wymaga jednak precyzyjnego podejścia do tematu – umiejętnego odczytu zawartości pamięci takich urządzeń oraz wnikliwej (często manualnej) analizie odczytanych danych. Kwestia informatyki śledczej w stosunku do Internetu Rzeczy na pewno przyniesie sporo wyzwań i zapewne zmieni w jakiś sposób podejście do tematu materiału dowodowego. IoT to zjawisko, które przynosi (bądź przyniesie) wszystkim sporo dobrego w codziennym życiu, ale także wzbudza co raz częściej pewnego rodzaju niepokój, płynący z postępu technologicznego i zmieniającego się w związku z tym naszego świata.