IoT Forensics: проблемы и подходы сочинение пример

ООО "Сочинения-Про"

Ежедневно 8:00–20:00

Санкт-Петербург

Ленинский проспект, 140Ж

magbo system

Сочинение на тему IoT Forensics: проблемы и подходы

Огромное количество данных, которые собирают миллиарды IoT-устройств, может содержать ценные доказательства с мест преступлений, эти доказательства могут быть использованы в суде для улучшения того, кто-то виновен или нет, и его важность не меньше, чем вещественные доказательства, независимо от того, Важность, сбор и анализ доказательств из среды IoT сталкиваются со многими юридическими и техническими проблемами, в этом документе мы попытаемся обобщить наиболее важные проблемы, связанные с криминалистикой IoT, помимо общих подходов, которые были разработаны для решения этих проблем.

Сегодня миллиарды интеллектуальных устройств IoT подключены к Интернету, и к 2020 году прогнозируется 20 миллиардов устройств [1]. Эти интеллектуальные устройства для самостоятельного принятия решений собирают огромное количество человеческих и системных действий, чтобы принимать решения и делать нашу жизнь проще и продуктивнее.

А поскольку IoT регистрирует практически все, что нас окружает, это делает собранную информацию и устройства сами по себе очень ценными источниками для специалистов-криминалистов.

Цифровая криминалистика – это наука, которая заинтересована в сборе доказательств с цифровых устройств и их анализе таким образом, который является юридически допустимым в суде. В последние годы она развивалась для охвата новых технологий и устройств, таких как ПК, маршрутизаторы, коммутаторы, и многие другие устройства, но когда дело доходит до IoT, природа технологий, которые используются в IoT, таких как RFID, старшие поколения, облачные вычисления, мобильность, проприетарные протоколы и другие, делают традиционные методы и инструменты DFI недостаточными для проведения криминалистических операций.

В этой статье мы попытаемся охватить наиболее известные проблемы в области криминалистики IoT и подходы, которые были предложены для решения этих проблем, и, наконец, мы предлагаем подход для решения проблем, которые не были рассмотрены, раздел 2 это общий обзор архитектуры IoT, в разделе 3 обсуждаются проблемы IoT, в разделе 4 рассматриваются известные подходы к экспертизе IoT, а в разделе 5 предлагается предлагаемый подход.

IoT Architecture.

Базовая схема любой системы IoT (1) состоит из следующего компонента:

I. Датчики: – основная функция датчиков в IoT заключается в мониторинге среды IoT, например, температуры в «умном доме» или активности человека в носимых интеллектуальных устройствах, и на основе сенсорного режима датчик начинает собирать измерения и информация, эта собранная информация от одного или нескольких датчиков обычно не будет полезна в аналоговой форме, поэтому существует необходимость ее обработки и анализа.

II. Local ProcessingLocal Storage: – после того, как данные получены от датчиков, микроконтроллеры и встроенные платы используются для обработки данных и их локального хранения, очень важным аспектом этих устройств является то, что они имеют ограниченную единицу хранения, особенно в устройствах Smart Home и носимых смарт-устройствах. устройства,

III. Сеть и Интернет: – собранные данные передаются через шлюзы поставщику услуг IoT, протоколы могут использоваться на этом уровне (MQTT, CoAp, AMQP… и т. д.).

IV.IoT Cloud: – данные в конечном итоге сохраняются на серверах поставщика услуг IoT, поставщик IoT может обрабатывать данные и обычно предоставляет пользователю веб-интерфейс для доступа к данным после обработки и анализа.

IoT Forensics Challenges

Цифровая криминалистика включает четыре этапа идентификации, сохранения, анализа и представления доказательств [2], в этом разделе мы обсудим проблемы, связанные с каждым этапом в отдельности.

Проблемы криминалистической идентификации IoT

На первом этапе любого цифрового судебного расследования требуется, чтобы следователь определил местонахождение доказательства, его формат и способ его хранения. Ответьте на эти вопросы, чтобы дать возможность следователю составить надлежащий план для остальной части расследования, Ниже перечислены проблемы, связанные с этими вопросами в расследовании IoT:

я. Из-за дизайна и функционального характера инфраструктуры IoT доказательства могут быть где угодно, в основном мы можем разделить расположение доказательств на два местоположения, первое – это устройства IoT и / или поставщик IoT-облака, а в некоторых особых случаях доказательства могут быть в IoT другого устройства или облачные, когда датчик обнаруживает движение в доме соседа, затем собирает и измеряет это движение, в первом сценарии, когда доказательства, обнаруженные в устройствах IoT, могут быть сотнями датчиков и управляющих устройств, что делает его трудным и трудоемким для следователей идентифицировать все доказательства [3], и в некоторых случаях доказательства могут быть невидимыми, например, когда датчики встроены в организм человека или когда данные считываются датчиками, принадлежащими другим сторонам (мобильность IoT), второй сценарий, если доказательства находятся в облаке, где доказательства могут быть распределены по нескольким местоположениям и нескольким серверам [4], что создает новые проблемы для исследователя, как найти и собрать эти доказательства.

ii. Сгенерированные данные из устройств IoT представлены во многих стандартных, нестандартных и смешанных форматах, источником данных будут один или несколько датчиков, что вынуждает исследователя работать с несколькими форматами данных, поступающих из разных источников. [5], кроме того, и во время передачи данных с устройств IoT в облако данные могли многократно обрабатываться несколькими устройствами, и в разных форматах некоторые из них могли бы быть частными и дублироваться.

iii. Как правило, устройства IoT имеют ограниченное пространство хранения, что означает, что данные не будут храниться там в течение длительного времени, вместо того, чтобы эти данные передавались в облачную службу с использованием протокола, подобного (HTTPS, XMAPP, CoAP, MQTT, AMQP) [6] для При дополнительном анализе и длительном хранении могут возникнуть следующие проблемы:

1-доказательства могут быть перезаписаны в устройствах IoT, если соединение между устройствами IoT и облачной службой было потеряно в течение длительного времени [3].

2-Доказательства, хранящиеся в облаке, могут находиться в разных странах, что означает разные законы и процедуры, применяемые в DFI [7], даже если между участвующими странами существуют соглашения о времени между выдачей традиционного ордера и началом расследование может быть достаточно продолжительным, чтобы повредить, перезаписать или изменить последовательность доказательств.

3-доказательства, хранящиеся на локальных устройствах IoT или в облаке, могут быть зашифрованы [8].

Проблемы криминалистики по сохранению IoT

Собранные доказательства с места преступления должны сохранять его первоначальное состояние и целостность без каких-либо изменений, это хорошо известный факт в цифровом расследовании, и когда дело доходит до судов, процедуры важнее факта, поэтому любые изменения в фактах могут сделать их в судах это неприемлемо, в традиционной криминалистике это делается с использованием блокировщика записи, хэш-функции, криминалистического изображения и т. д. В домене IoT сохранение доказательств сложнее и сопряжено с большими трудностями: –

1-датчики играют жизненно важную роль в операциях IoT, и известно, что датчики являются очень чувствительными устройствами, которые делают их восприимчивыми к ложноотрицательным и ложноположительным результатам, что, в свою очередь, может привести к сомнению доказательств в суде.

2 – После отправки данных в облако провайдера IoT данные подлежат дальнейшему анализу и изменениям, что означает, что первоначальное состояние доказательств, полученных на месте преступления, изменилось.

IoT анализ криминалистических проблем

Как только следователь определит местонахождение доказательства, его формат и схему хранения, следующим шагом будет извлечение доказательств из анализа местоположения и их интерпретация.

1-Большинство современных программ для цифровой криминалистики не предназначены для извлечения данных из устройств IoT

2-Некоторые устройства IoT поставляются с проприетарной файловой системой и программным обеспечением, которые усложняют извлечение данных и их анализ. [-X]

Криминалистическая экспертиза презентации IoT заключительной фазой цифрового расследования является представление собранных доказательств и результатов в суде, проблема на этом этапе заключается в разнообразии устройств IoT, в то время как в традиционной криминалистике источники доказательств и доказательств Относительно ясно для большинства членов жюри, но когда дело доходит до IoT, гетерогенная и сложная среда IoT может быть трудной для понимания

IoT Digital Forensics Framework

1-2-3 зоны и ближайшие лучшие вещи

Объединение всех проблем криминалистической экспертизы IoT показывает, что расследование IoT включает облачные вычисления, мобильную криминалистику, RFID, виртуализацию и сетевую экспертизу, что делает процесс расследования IoT в некотором роде запутанным, поскольку исследование большого количества устройств и различных типов форматов тратить время и ресурсы впустую, поэтому важно сделать место преступления как можно более четким и гарантировать, что судебно-медицинские эксперты могут сосредоточиться на каждой области места преступления, исходя из ее функциональной природы. Предлагаемый подход делит место преступления на три зоны: Внутренняя сеть, Средняя, ​​Внешняя сеть Рисунок ().

1-Внутренняя зона: – эта зона содержит все устройства IoT, которые существуют на месте преступления, следователь должен определить, какие устройства связаны с преступлением, и начать их расследование.

2-средняя зона: – эта зона содержит все устройства, отвечающие за поддержку связи между внутренней зоной и внешней зоной, такие устройства, как брандмауэр, IDS / IPS, должны изучить и ценные доказательства, такие как журналы и события.

3-Внешняя зона: – эта зона содержит все оборудование, программное обеспечение и услуги, которые находятся за пределами места преступления, такие как облачный сервис IoT, интернет-провайдер и мобильная сеть.

Несмотря на то, что этот подход полезен для того, чтобы сделать процесс расследования более простым и эффективным, поскольку он дает возможность исследовать все зоны параллельно или определить наиболее важную зону и интенсифицировать расследование, он не обеспечивает решения для расследования IoT, такие как работа с конфиденциальными данными. форматы или судебные вопросы.

Next-Best-Thing:

Этот подход может использоваться бок о бок с подходом 1-2-3, предполагая, что объект IoT содержит доказательства, которые были удалены с места преступления или к ним невозможно получить доступ, поэтому в таких ситуациях следователь может поищите следующий доступный источник, связанный с доказательствами, решив, какой следующий лучший источник является предметом дальнейших исследований.

FAIoT

Предложенный подход предполагает использование безопасного хранилища, в котором будут храниться свидетельства, связанные с IoT, свидетельства делятся на три типа: свидетельства устройств, сетевые свидетельства, облачные свидетельства, которые сделают процесс идентификации и анализа свидетельств более легким. Этот подход содержит три модели модуля безопасных доказательств, безопасного происхождения и доступа к доказательствам через модуль API, модуль первой модели безопасных доказательств будет отслеживать все зарегистрированные устройства IoT, собирать и сохранять доказательства в хранилище, доказательства хранятся на основе своего устройства IoT который позволяет хранить доказательства с нескольких устройств, этот модуль использует асимметричное шифрование, чтобы обеспечить доступ к доказательствам только уполномоченным лицам, Hadoop используется для хранилища, вторая модель используется для сохранения доступа к доказательствам, последняя модель предоставляет следователям и правоохранительным органам доступ к доказательствам через API только для чтения, которые позволяют им извлекать доказательства.

FSAIoT в своей статье «Изучение состояния судебной экспертизы из Интернета вещей», Мефферт создал общую структуру, которая делает место преступления более понятным благодаря получению состояния устройств IoT, предлагаемый подход предполагает наличие контроллера, который используется для контроля и управления устройствами IoT Помимо способности получать данные от устройств IoT, но не изменять характеристики устройства, контроллер имеет функции целостности и способен записывать данные при изменении состояния устройства IoT, контроллер поставляется в трех режимном контроллере на устройство, контроллер на Облако, контроллер к контроллеру, автор заявил, что у этого подхода есть пара ограничений, таких как работа с удаленными и историческими данными, и не существует подхода к физическому обману, который требуется в некоторых случаях.

Предварительное расследование и подход в режиме реального времени

В этом подходе предлагалось две фазы, чтобы убедиться, что все доказательства получены и сохранены принятым способом, чтобы следователи могли беспрепятственно извлекать доказательства. Первая фаза – это стадия предварительного расследования, которая имеет две стороны, первая – от с точки зрения управления, а во-вторых, с технической точки зрения, с точки зрения руководства обсуждаются процедуры, которые могли бы способствовать расследованию IoT с точки зрения управления, например, подготовка планов и определение помощи, необходимой следователям, техническая перспектива – как взаимодействовать с инцидентом и узко. объем доказательств и устройств, включенных в расследование, отвечая на следующие вопросы, что / как идентифицировать?, что / как собрать? кого сохранить? на втором этапе осуществляется мониторинг устройств IoT в режиме реального времени, и если обнаруживаются какие-либо ненормальные действия, то автоматически начинается сбор данных, идентифицированных на этапе предварительного расследования.

Хотя подходы, упомянутые в разделах (4.2, 4.3, 4.4), кажутся эффективными и решают некоторые из упомянутых проблем, они больше подходят для крупной и средней IoT-инфраструктуры, их может быть сложно реализовать в небольшой IoT-инфраструктуре, такой как «умный дом», потому что относительной сложности развертывания.

Методология судебной экспертизы сверху вниз [12]

Эта модель предназначена для заполнения пробела, существующего в текущих моделях, начатого с авторизации, планирования и ордера, после завершения трех основных этапов исследователь начнет обнаруживать инфраструктуру IoT, определять и захватывать заинтересованные устройства IoT из выбранных Зона Рисунок (), то следователь может завершить традиционные процедуры судебной экспертизы, такие как цепочка поставок, анализ …

Зарегистрируйся, чтобы продолжить изучение работы

    Поделиться сочинением
    Ещё сочинения
    Нет времени делать работу? Закажите!

    Отправляя форму, вы соглашаетесь с политикой конфиденциальности и обработкой ваших персональных данных.