In un ecosistema di smart home, smart city e Industria 4.0 il futuro delle indagini digitali trova la sua evoluzione nella testimonianza dell’Internet delle cose che osserva e registra fedelmente: i dispositivi intelligenti diventano quindi testimoni della scena del crimine o del sabotaggio/danneggiamento industriale, consentendo di acquisire prove digitali grazie alle tecniche di IoT e IIoT forensics.
Comprendere il concetto di Internet of Things
Prima di parlare di IoT e IIoT forensics, però, è bene ricordare che il termine IoT non delinea precisamente una categoria di dispositivi come lo è stato per il termine smartphone. Il concetto di Internet of Things dipende molto da chi è il nostro interlocutore.
Parlare di IoT può voler dire riferisi all’automotive, alla domotica, agli assistenti virutali, perfino ai sex toys, ma anche ai più sobri sistemi di automatizzazione industriale (e, in questo caso, si parla di Industrial Internet of Things, o IIoT).
Quei dispositivi che fino a qualche anno fa erano essenzialmente dispositivi elettronici, oggi sono un mix di elettronica e software. Incominciano ad essere di attualità temi come le le smart homes, l’e-healthcare, la smart surveillance, le smart industries, le smart cities e le smart grids. Temi alla cui base troviamo dispositivi e sensori IoT, oggetti intelligenti, cioè capaci di svolgere compiti base di identificazione, localizzazione, diagnosi di stato, acquisizione di dati; e di elaborazione, magari distribuita sulla rete o nel cloud, per produrre azioni, comandi da dare ai dispositivi terminali attraverso e grazie alla rete.
Amazon Alexa: il primo caso di IoT e IIoT forensics
In una società sempre più digitale, con abitazioni “intelligenti”, la nostra presenza sarà rilevata e tracciata quasi costantemente con diversi strumenti. I cosidetti dispositivi intelligenti sono e saranno sempre più testimoni inconsapevoli di quanto accade intorno a loro registrando in locale, ma anche inviando quanto osservato nel loro cloud. Già l’anno scorso abbiamo assistito al primo caso di testimone digitale: l’assistente virtuale di Amazon, Alexa, è stato “ascoltato” in qualità di testimone di un omicidio.
In casi come questo, dove l’Internet of Tings è testimone inconsapevole, è fondamentale acquisire le prove informatiche dai dispositivi IoT, garantendone il non ripudio in sede processuale mediante l’adozione di processi e procedure che ne garantiscano autenticità e veridicità.
Potremmo, però, anche trovarci in situazioni ben diverse, dove il dispositivo viene “compromesso” da hacker, da dipendenti infedeli, da soggetti che hanno interesse ad utilizzare in maniera malevola quel dispositivo.
Si pensi al caso in cui chi vive in una casa improvvisamente perda il controllo di porte e tapparelle intelligenti. Si trovebbero ostaggio, sequestrato, da un sistema intelligente, violato da un hacker o più semplicemente dal vicino con cui da anni si è in contrasto, che è riuscito maliziosamente ad accedere e compromettere il sistema. In questo caso l’IoT non sarebbe solo testimone di un attacco subito, ma anche l’esecutore di un “sequestro”.
In un quadro come quello appena descritto dovremmo andare a rinvenire le tracce della compromissione, individaure le cause e le modalità con cui è avvenuta, e rintracciare tutti gli elementi che ci permettano di individuare chi sta controllando abusivamente l’infrastruttura di smart home, mediante l’analisi dei log ma anche mediante il monitoraggio e analisi dei flussi della rete.
IoT e IIoT forensics: uno scenario inesplorato
Ci troviamo, come informatici forensi, difronte ad uno scenario completamente inesplorato, fatto da tanti produttori, molti di più del settore del mobile, nessuno standard, e una gestione della sicurezza dei dispositivi IoT alquanto carente.
I dispositivi IoT sono progettati e pensati per svolgere una serie di comandi e funzioni base, spesso con un occhio attento al contenimento dei costi per renderli accessibili in larga scala. Quest’ultimo aspetto spesso si scontra con il tema della sicurezza del dispositivo stesso.
Una distinzione tra dispositivi IoT retail e industriali
Incominciamo a fare una prima distinzione fra quelli che sono i dispositivi IoT destinati all’utenza e quelli destinati al settore industriale.
Dispositivi IoT destinati all’utenza
Nel primo caso, quello dei prodotti retail, dobbiamo necessariamente considerare alcune caratteristiche di questo segmento di prodotti IoT:
- Abbiamo un’eterogeneità di dispositivi impressionante. Nell’IoT retail troviamo: gli assistenti virtuali, webcam, smart tv, lavatrici e frigo intelligenti, impianti di domotica con serrature e serrande pilotate, sensori di presenza, sensori di temperatura, sistemi di climatizzazione, infotainment, smartwatch, bracciali, occhiali intelligenti a realtà aumentata, actioncamm, abbigliamento sportivo smart. Non manca certo il mondo dell’automotive, le auto sono sempre più smart e popolate da dispositivi e sensori.
- Ogni produttore implementa le proprie soluzioni IoT in autonomia, non esistono standard condivisi, neanche in ambiti più ristretti, che permettano l’interconnessione,la condivisione e l’analisi dei dati.
- Si tratta di dispositivi progettati con hardware minimale che spesso non sono in grado di eseguire compiti complessi e per questo spesso trasferiscono in cloud o a un altro dispositivo di controllo la fase più impegnativa di elaborazione, affidandosi a protocolli di comunicaizone non standard e privi delle più elementari misure di sicurezza.
Dispositivi IoT destinati al settore industriale
Il settore invece dell’IoT industriale, più conosciuto dagli addetti com IIoT, Industrial Internet of Things, è certamente più maturo, di per se già strutturato in tre ambiti: smart factory, smart logistic e smart LifeCycle.
Si tratta di un settore, rispetto a quello retail, caratterizzato da un numero minore di produttori di dispositivi IIoT. Tra i più noti troviamo General Eletric, Simens, Schneider Electric, SAP, Bosh, Kuka, Fanuc, ABB, Honeywell ecc.: brand ben conosciuti e con importanti strutture tecniche.
Tuttavia, rimane irrisolto il problema degli standard: ogni produttore sviluppa le architetture e protocolli di comunicazione proprietari, non a standard aperti e spesso incompatibili con gli atri produttori.
Le componenti di un’analisi di IoT e IIoT forensics
L’analisi forense di una infrastruttura o di un dispositivo IoT, indipendentemente che si tratti di uno o più dispositivi retail o di una infrastruttura smart factory, non può non tenere conto delle tre componenti che costituiscono un sistema IoT:
- il dispositivo o sensore intelligente;
- l’infrastruttura IT,hardware e software, che permette una comunicazione tra dispositivi intelligenti e il mondo esterno, piattaforme di controllo, ma anche Firewall, IPS;
- i service provider e i servizi cloud su cui l’infrastruttura o il dispositivo IoT si appoggia.
Acquisizione delle prove digitali
L’analisi e l’acquisizione forense del dispositivo risultano certamente le fasi più critiche. La mancanza di standard di produzione e comunicazione di questi dispositivi fa sì che di volta in volta debbano essere valutate, fra le opzioni tecnicamente disponibili, le soluzioni più idonee a salvaguardare l’integrità e disponibilità dell’informazione presente sul dispositivo, garantendone al contempo l’autenticità e veridicità, e ove tecnicamente possibile, anche la ripetibilità degli accertamenti tecnici.
I dispositivi IIoT hanno interfacce per la loro programmazione, anche a basso livello, e sono spesso integrate in un sistema di controllo e gestione. Per acquisire i dati dai dispositivi si può fare uso , ove non vi sia un’altra soluzione tecnica, degli strumenti di gestione e controllo che l’infrastruttura e il produttore mettono a disposizione. Come ultima ratio, in particolare se il dispositivo risulta danneggiato si può pensare ad un dump dei dati via JTAG, o addirittura al ChipOff come ultima soluzione.
Analisi delle prove digitali
La sfida successiva è analizzare e comprendere i dati acquisiti perché mancano spesso le specifiche tecniche del software del dispositivo.
In ambito industriale i vari produttori, Simens, ABB ecc.: spesso mettono a disposizione tool di analisi dei dati dei dispositivi. Sono strumenti di grande aiuto, ma non sono da considerarsi esaustivi in quanto comunque si tratta di tool progettati per il troubleshooting, con una visione già preordinata, non necessariamente sufficienti nell’analisi di un sabotaggio o danneggiamento di una infrastruttura IIoT.
In molti casi, il produttore dei sistemi incriminati si pone come l’unico in grado di comprendere quei dati, ed è vero, ma è altrettanto vero che potrebbe celare o nascondere dolosamente proprie responsabilità.
In alcuni contesti, come nel caso in cui vi sia un errore nella produzione di migliaia di componenti, o un difetto per cui un macchinario industriale ha ucciso un dipendente o lo ha ridotto in invalidità permanente, il produttore di quel dispositivo ha tutto l’interesse a nascondere una propria responsabilità.
L’analisi dei dati da parte di un soggetto terzo, indipendente, è certamente da preferire ma oggi si scontra con la complessità della lettura e comprensione dei dati a causa della mancanza di standard.
Acquisizione e analisi delle prove digitali in ambito retail
In ambito retail, lo scenario non è certamente più semplice.
Molti di questi dispositivi non hanno una interfaccia fisica standard di programmazione e gestione a cui collegarsi, spesso sono gestiti esclusivamente da un’app sul telefono.
In altri casi, come per i sistemi più complessi quali ad esempio quelli di video sorveglianza e domotica, troviamo un computer o una centralina che ha il compito di gestire l’intera infrastruttura. Se siamo fortunati questa dispone di un software, un’interfaccia web o client server con cui estrarre tutti i dati in formati interscambiabili, ma ci potremmo trovare anche a fare i conti con un software molto limitato nelle funzionalità o che addirittura non permette alcuna esportazione.
Se non abbiamo altre opzioni, o se i dati che abbiamo estratto con questi metodi non ci sono sufficienti, ci rimangono due soluzioni.
La prima consiste nel verificare se il dispositivo ha una interfaccia JTAG a cui attingere per il dump dei dati. La seconda è una opzione distruttiva e consiste nel fare il chip off. La maggior parte dei dispositivi IoT e IIoT non implementano meccanismi di cifratura dei dati conservati, in quanto le cpu utilizzate per la loro realizzazione non sono in generale particolarmente performanti, quindi anche soluzioni come JTAG e ChipOff possono essere eseguite con successo in quanto i dati spesso non sono cifrati.
IoT e IIoT forensics: comprendere il significato dei dati estratti
Chiaramente, che si tratti di IoT o di IIoT, una volta che abbiamo effettuato la copia forense dei dati presenti sui dispositivi va affrontato il compito più complesso, ovvero comprendere il significato dei dati estratti.
Mancando standard, ogni produttore registra i dati che gli tornano utili, nel formato a lui più congeniale, si può trattare di file di log in formato testuale, come di database sqlite, ma anche di formati proprietari.
È in questa fase che diventa fondamentale il tema del know-how rispetto ai prodotti.
Quando non abbiamo uno strumento che permetta di effettuare il parsing dei dati e l’estrazione dei metadati, come avviene oggi nella computer e mobile forensics. Diventa fondamentale il tema del competenze per condurre un’analisi al fine di comprendere le relazioni fra i vari file, individuare i codici di errore e i loro significato, ricostruire la logica e le relazioni fra le tabelle di uno o più di database, individuare i metadati presenti.
IoT e IIoT foresnics: quali strumenti e conoscenze
Oggi condurre una analisi forense di un sistema o di dispositivi IoT è un po’ come tornare alle origini della Digital Forensics, quando non esistevano prodotti commerciali che aiutavano il consulente forense.
Per intraprende questo tipo di indagine è indispensabile avere una buona conoscieza dei sistemi operativi e del loro funzionamento nonché dei linguaggi come Java, PHP, Ruby che sono spesso alla base delle applicaizoni di questi dispositivi, ma è utile e importante anche avere una buona conoscenza dei protocolli di rete.
Con l’ausilio di un numero considerevole di strumenti di indagine forense tipici del mondo Unix, si riesce a dare un valore semantico ai dati estratti: estrapolare i metadati, e a stabilire relazioni funzionali fra i vari elementi acquisiti, individuare gli elementi determinati e le loro cause, riuscendo a comprendere la dinamica dei fatti.
Conclusioni
L’analisi di una infrastruttura IoT o di un dispositivo IoT non termina con l’esame del dispositivo, ma richiede per completezza e correttezza dei dati, anche l’esame forense della componente infrastrutturale: firewall, IPS, e dei service provider cloud su cui il sistema si appoggia, nonché in ultima istanza anche dello smartphone con cui tipicamente si ha il controllo dei dispositivo IoT.
Èquindi necessario un approccio multidisciplinare che includa la network forensics, la cloud forensics e la mobile forensics per avere un quadro completo.
Un dispositivo o un sistema IoT non può essere considerato un ambito a sé stante. Per propria natura è interdipendente da molti atri ambiti, a partire dalla rete e dai servizi cloud con cui scambia quasi costantemente dati per elaborarli e ricevere azioni da intraprendere.
Un’analisi forense dell’IoT quindi deve imprescindibilmente considerare oltre al dispositivo IoT, anche tutti gli altri componenti che interagiscono con il dispositivo e che potrebbero intervenire o interferire con il suo normale e regolare funzionamento.
Se oggi la digital forensics richiede oltre a strumenti tecnologici molte competenze specialistiche, il futuro della stessa in ambito IoT e IIoT richiederà competenze multi disciplinari e un approccio olistico alle problematiche: insomma, professionisti e non semplici consulenti.
@RIPRODUZIONE RISERVATA
