Iot forensics

Abstract

The doctoral dissertation entitled “Internet of Things Forensics” focuses on the digital investigation (a.k.a. forensic analysis/examination/investigation) of a wide variety of devices that belong to the Internet of Things (IoT) realm. This dissertation was primarily motivated by the observation that the IoT landscape is crowded with numerous active manufacturers with a diverse range of products. This heterogeneity complicates a comprehensive forensic analysis of the data stored within these devices, particularly when they are involved in criminal activity. Many reasons contribute to this complexity. To begin with, each IoT device could store its data in a single location (e.g., a mobile companion app, cloud, etc.) or across multiple places. Secondly, the forensic software that an investigator has access to may not efficiently parse or not even access the data recorded by each IoT device. It is therefore evident that digital forensic examiners investigating a crime involving IoT products need to know where each IoT device saves its data, how to correctly interpret this information, avoiding misinterpretation, and be aware of the available tools that can assist with this assignment. Considering the current number of IoT devices, accomplishing this task is almost impossible. As a consequence, forensic studies of IoT devices are invaluable. Their findings can serve as a reference for any investigator working on a case with similar appliances, or for digital forensic software companies seeking to update their products to better decode this information. Therefore, this doctoral dissertation aims to shed light on selected IoT devices from a Digital Forensics perspective. To achieve this goal, forensic analysis of several IoT devices was carried out. The examined appliances were manufactured by leading companies in the IoT market and mainly fall under the categories of Security Systems and Closed-Circuit Television Surveillance Systems. During the course of this dissertation, new open-source digital forensic software was developed and existing software was updated based on the findings from the conducted research. By fulfilling the aforementioned goal, the intention is to aid investigators worldwide in their pursuit of justice and to assist digital forensic software companies in enhancing their products.

Η διδακτορική διατριβή με θέμα «Ψηφιακή Εγκληματολογία στο Διαδίκτυο των Πραγμάτων» επικεντρώνεται στην εγκληματολογική εξέταση πλήθους συσκευών που ανήκουν στον ψηφιακό «κόσμο» του Διαδικτύου των Πραγμάτων (ΔτΠ). Κίνητρο για την παρούσα διατριβή, αποτέλεσε πρωτίστως η παρατήρηση ότι στο ΔτΠ δραστηριοποιούνται πάρα πολλοί κατασκευαστές, με πλήθος διαφορετικών προϊόντων ο καθένας. Το γεγονός αυτό, καθιστά εξαιρετικά δύσκολη την αποτελεσματική ψηφιακή διερεύνηση των ανωτέρω συσκευών, σε περίπτωση που αυτές εμπλακούν με οποιοδήποτε τρόπο σε κάποιο έγκλημα. Η δυσκολία αυτή οφείλεται σε πολλούς παράγοντες. Αρχικά, κάθε τέτοια συσκευή δύναται να αποθηκεύει τα δεδομένα της είτε σε ένα μέρος (π.χ. στη συνοδευτική εφαρμογή του τηλεφώνου, στο νέφος, κ.ά.) ή τμηματικά σε περισσότερα από ένα μέρη. Έπειτα, τα εγκληματολογικά λογισμικά που οι ερευνητές ψηφιακής εγκληματολογίας έχουν στη διάθεση τους, δυσκολεύονται να υποστηρίξουν την ανάλυση των δεδομένων των προϊόντων κάθε κατασκευαστή. Τέλος, οι ερευνητές που αναλαμβάνουν τη διερεύνηση ενός εγκλήματος στο οποίο εμπλέκονται συσκευές του ΔτΠ, χρειάζεται να γνωρίζουν που αποθηκεύονται τα δεδομένα των συσκευών που εξετάζουν, πώς να τα ερμηνεύσουν, πώς να μην τα παρερμηνεύσουν, καθώς επίσης πρέπει να γνωρίζουν και ποια λογισμικά μπορούν να τους βοηθήσουν στο έργο τους. Εάν αναλογιστεί κανείς το μέγεθος που έχει σήμερα το ΔτΠ, αντιλαμβάνεται ότι κάτι τέτοιο είναι πρακτικά αδύνατο. Γι’ αυτό το λόγο, οι εγκληματολογικές μελέτες συσκευών του ΔτΠ είναι εξαιρετικής σημασίας, τα αποτελέσματα των οποίων μπορούν να χρησιμοποιηθούν ως σημείοαναφοράς είτε από τους ερευνητές που εξετάζουν μία υπόθεση με παρόμοιες συσκευές είτε από τις εταιρείες ανάπτυξης εγκληματολογικών λογισμικών που επιδιώκουν την ενημέρωση των προϊόντων τους, ώστε να αποκωδικοποιούν σωστά αυτά τα δεδομένα. Επομένως, στόχος της παρούσας διατριβής αποτελεί η «χαρτογράφηση» ενός μέρους του ΔτΠ, υπό το πρίσμα της επιστήμης της Ψηφιακής Εγκληματολογίας. Για την επίτευξη του στόχου αυτού, πραγματοποιήθηκε εγκληματολογική εξέταση συσκευών του ΔτΠ που κατασκευάζονται από εταιρείες ηγέτες στον χώρο και οι οποίες ανήκουν ως επί το πλείστον στις ακόλουθες κατηγορίες προϊόντων: συστήματα ασφαλείας και συστήματα παρακολούθησης. Στο πλαίσιο της παρούσας διατριβής, αναπτύχθηκαν νέα εγκληματολογικά λογισμικά ανοιχτού κώδικα και ενημερώθηκαν ήδη υπάρχοντα με βάση τα ευρήματα της διενεργηθείσας έρευνας. Η εκπλήρωση του εν λόγω στόχου αποσκοπεί στην υποβοήθηση της αποστολής των ερευνητών ψηφιακής εγκληματολογίας ανά τον κόσμο να υπηρετούν τη δικαιοσύνη και των εταιρειών εγκληματολογικών λογισμικών να βελτιώνουν τα προϊόντα τους.