Análise Forense de Dispositivos IoT e Dados




Grupo de Estudos em Direito e Tecnologia da Universidade Federal de Minas Gerais – DTEC - UFMG


Data: 05/10/2021

Relatores: Adriana Miranda de Vasconcelos e Paloma de A. Diesel



Análise Forense de Dispositivos IoT e Dados


A Internet das Coisas (IoT) é uma tecnologia emergente que permite que pequenos dispositivos (coisas) realizem tarefas como objetos inteligentes. A interconexão entre esses dispositivos (coisas) são facilitados por diferentes tipos de mídias/redes. A comunicação entre os dispositivos ocorre, geralmente, por meio de leitura dos dados de um sensor. (LUTTA, SEDKY, JAYAWICKRAMA e BASTAKI, 2021).


Para o Grupo de Estudos DTEC, conforme ata da Reunião do dia 14 de setembro de 2021, a IoT visa oferecer bens e serviços atendendo a uma demanda para bens ou serviços; opera em rede com utilização de qualquer protocolo; utiliza-se de sensores, os quais irão capturar os estímulos, e por meio de uma programação prévia a ação será iniciada, tendo por característica a substituição da ação humana, ou seja, as “coisas” irão operar numa rede, e, por meio de uma programação prévia, a oferta/demanda de bens e serviços será realizada.

Por meio dos conceitos acima, tem-se a adoção dos seguintes elementos para a definição de Iot:



Autores

Elementos

Lutta, Sedky, Jayawickrama E Bastaki

(2021)

● Tecnologia para realização de tarefas

● Interconexão entre dispositivos por tipos de mídias/redes

● Utilização de sensores

Grupo de Estudos DTec – UFMG (2021)

● Tecnologia para oferecer bens ou

serviços

● Operação por meio de rede que

utiliza qualquer protocolo

● Utilização de sensores por meio de

programação prévia

● Substituição da ação humana


Conforme o quadro comparativo, nota-se que o conceito elaborado pelo Grupo de Estudos apresenta uma definição mais minuciosa que é capaz de melhor caracterizar a internet das coisas.


Quanto ao conceito de Iot forense, essa, na visão de Lutta et al (2021), pode ser compreendida como o processo de aplicação da análise forense digital em uma configuração que contém dispositivos IoT. Já para Chi, Aderibigbe e Granville (2018), a forense em Iot é o processo de execução de procedimentos forenses digitais no paradigma da IoT. Com isso, tem-se que a Iot forense é o procedimento utilizado pelos peritos judiciais para a análise de dispositivos inteligentes.


Ressalte-se que não há um procedimento regulamentado para a análise de dispositivos que utilizam Iot. Em razão disso, Dias (2019) assevera a possibilidade de utilizar as mesmas etapas da computação forense digital para a perícia judicial em Iot.


O processo de análise forense digital também denominado de computação forense é realizado considerando as seguintes etapas:


• Identificação: é a primeira etapa da CF. Reconhecer a presença de uma evidência, onde e como ela está armazenada é vital na determinação de quais processos devem ser empregados para facilitar a sua recuperação (MCKEMMISH, 1999). Outra função dessa etapa é a emissão de um instrumento legal para estabelecer a busca e apreensão das evidências, indicando o que será apreendido. Ao executar a busca e apreensão, as evidências serão identificadas, documentadas e apreendidas (COSTA, 2011). Nesta etapa, o

investigador identifica as evidências do crime ou incidentes.


• Preservação: nesta etapa, se dá a manipulação das evidências por meio de coleta, documentação de custódia, embalagem, transporte e remessa para a perícia (COSTA,2011). A equipe judicial, responsável pela perícia, começa a coletar evidências físicas e digitais na cena do crime. Tudo ficará registrado nesta etapa e todas as evidências serão coletadas usando técnicas padronizadas. Nesta fase, durante a coleta de dados, o investigador necessita preservar os dados, sua confidencialidade e integridade.


• Análise: nesta fase, a equipe de investigação examina os dados coletados para encontrar o padrão potencial que pode levar ao crime e o suspeito. Depois disso, os investigadores analisam a correlação entre os padrões encontrados e suspeito para determinar o fato.


• Apresentação: O investigador prepara o relatório do resultado para apresentá-lo no tribunal para processar litígio. É a conclusão da perícia, a qual será apresentada no processo, ou seja, é a materialização da prova por meio do laudo pericial.Destaca-se que, pelos ensinamentos de Dias ( 2019) “a análise da perícia digital tradicional não se aplica igualmente à Iot forense, vez que a perícia digital tradicional lida principalmente com fontes de evidências, como computadores, dispositivos móveis, servidores e gateways, enquanto as fontes de evidência para IoT forensics incluem eletrodomésticos, atuadores, dispositivos médicos e uma infinidade de outros dispositivos inteligentes. De uma perspectiva legal, jurisdicional e questões de propriedade são essencialmente semelhantes, mas, de uma perspectiva técnica, há são muitas áreas que requerem mais pesquisa e desenvolvimento”.


Como bem exemplifica Dias (2019), na Tabela 1, tem-se a representação das etapas da computação forense tradicional aplicadas à Iot forense, vejamos:


Tabela 1. Seções da computação forense em IdC (Internet das Coisas).


Etapas

Computação Forense

Forense em idC

Identificação

Celulares, disco rígidos, redes, etc

Sensores, televisão, ou geladeiras inteligentes, drones, etc

Preservação

equipamentos ou softwares (FTK, EnCase, etc) que bloqueiam a escrita

Hardware e software proprietários entre dispositivos,

Análise

Com base nas teorias e nos princípios da tecnologia da informação

Dependem da natureza física e mecânica das coisas.

Apresntação

Demonstrações em computadores ou telefones celulares

Demonstrações experimentais com as coisas que estavam envolvidas

Fonte: Adaptado de Liu (2015)


A Iot forense consiste na realização de perícias que podem ser em nuvem, perícia em rede e em nível de dispositivo. A respeito da perícia forense digital, Zawoad e Hansan (2015) afirmam que:


● Perícia na nuvem: como a maioria dos dispositivos de Iot tem baixo armazenamento e capacidade computacional, os dados gerados pelos dispositivos Iot e pelas redes Iot são armazenados e processados na nuvem.


● Perícia de rede: a origem de diferentes ataques pode ser identificada pelas informações que trafegam na rede. Existem diferentes tipos de redes: Rede de Área Corporal (BAN), Rede de Área Pessoal (PAN), Redes de Área Residencial/Hospitalar (HAN), Redes de Área Local (LAN) e Redes de Área Ampla (WAN).


● Perícia em nível de dispositivo: um investigador pode precisar coletar dados da memória local dos dispositivos IdC. Quando uma peça crucial de evidência precisa ser coletada dos dispositivos, ela envolve a perícia em nível do dispositivo.


Tem-se como possíveis modelos para a Forense em Iot:


• Modelo de Iot com conhecimento forense – FAIot: Zia, Liu e Han (2017) afirmam que o modelo FAIoT contém dois módulos: preservação segura de provas e proveniência segura. O primeiro monitora todos os dispositivos registrados e mantém o repositório de evidências. O segundo preserva o acesso às evidências para garantir sua integridade.


• Forensic State Acquisition from Internet of Things (FSAIoT): Meffert, Clark, Baggili e Breitinger (2017) ponderam que o modelo FSAIoT contém um controlador centralizado Forensic State Acquisition Controller (FSAC) e três métodos de coleta de estado, cujo estado se refere ao estado atual de um dispositivo de IoT (Ex: porta aberta ou fechada). Os métodos são: controlador para o dispositivo IoT, controlador para a nuvem e controlador para o controlador.


• Forensics Edge Management System (FEMS): Edge Management System (FEMS), Zia, Liu e Han (2017) explicam que no modelo FEMS, as duas principais funções são: serviços de segurança e forense. O primeiro inclui monitoramento de rede, detecção e prevenção de invasão, registro de dados e ferramentas de segurança. O segundo consiste em funções forenses como compressão de dados, análise, diferenciação, criação de cronograma, escalonamento de incidentes, preparação e apresentação de relatórios.


• Privacy-aware IoT-Forensics (PRoFIT): Nieto, Rios e Lopez (2018) afirmam que neste modelo considera-se uma série de princípios de privacidade que são aplicados em todo o ciclo de vida dos dados pessoais, a fim de permitir que os cidadãos mantenham o controle das informações confidenciais armazenadas em seus dispositivos de IoT enquanto colaboram com uma investigação.


• IoT Forensic Model: Li, Choo, Sun, Buchanan e Cao (2015) esclarecem que, a princípio, tem uma classificação rígida, onde os papéis da IoT são classificados em: IoT como um alvo, IoT como uma ferramenta e IoT como uma testemunha. Em seguida, cada dispositivo relacionado e os aplicativos complementares são examinados usando o processo das quatro etapas da Computação Forense. Além disso, todos os artefatos forenses adquiridos são armazenados em um repositório de evidências criptografado.


Considerando as peculiaridades da Iot forense, tem-se os seguintes desafios a serem enfrentados nessa área:


● Grande incerteza da originalidade dos dados, armazenamento de mecanismos e os atributos associados aos dados;


● Luta para garantir e manter uma cadeia de custódia por causa dos dados serem altamente voláteis;


● Treinamento dos investigadores forenses para coletar dados em nuvens;


● Necessidade de ter ferramentas forenses digitais que sejam capazes de lidar com grandes volumes de dados;


● Complexidades jurídicas à jurisdição e serviços transfronteiriço – necessidade de acordo de cooperação para mútua assistência jurídica com o fim de permitir a aquisição de dados de diferentes territórios.


Considerando que um dos desafios na Iot forense é a cadeia de custódia, o Grupo discutiu a viabilidade da utilização do blockchain e smartc contracts para solucionar esse desafio, tendo sido questionado se é viável a utilização de um modelo de arquitetura para o desenvolvimento de objetos integrados a smart contracts aplicados numa plataforma blockchain que permita a formação de uma cadeia de custódia digital?


Nesta discussão, levantaram-se a questão do alto custo em se manter o blockchain, a necessidade de aumentar a memória dos dispositivos inteligentes para armazenagem de dados e a viabilidade disso para uma eventual perícia.


Foi proposta a utilização de outras saídas para a guarda das informações como o modelo de autenticação de transação e os NFTs (Non-fungible tokens), para verificar a propriedade e utilização dos dispositivos Iot. Considerando os custos relativos ao esforço computacional necessário para funcionamento do proof of work em blockchains, ponderou-se sobre a viabilidade da substituição deste pelo mecanismo de consenso proof-of-stake. Tal mecanismo não exige o esforço computacional observado em seu predecessor, reduzindo os custos de validação das transações em blockchain. Sugeriu-se também a criação de consórcios entre os fabricantes de dispositivos IoT para o gerenciamento de blockchains

privados, com os custos internalizados na cadeia de produção.


Questionou-se muito sobre a necessidade de aumentar a segurança dos dispositivos Iot ao invés de criar blockchain como bloco de dados em razão do alto custo desse, visto que o número de invasões a esses dispositivos e a demanda em realizar perícias não seria tão alta a ponto de necessitar armazenar todos os dados gerados no dispositivo Iot.


O Grupo entendeu que se faz necessário criar mecanismos para atualizar os softwares gerando maior segurança e privacidade dos dados, tendo que conscientizar o usuário e o fabricante dos dispositivos em Iot da importância dessa atualização.



Referências


DIAS, Marco Antonio Andrade. Internet das Coisas: novos desafios na análise forense. Parcerias Estratégias. Brasília, DF, v. 24, n. 48, p. 33-54, jan-jun, 2019. Disponível em: http://seer.cgee.org.br/index.php/parcerias_estrategicas/article/view/915. Acesso em: 03 out. 2021


JANARTHNAN, T.; BAGHERI, M.; ZARGARI, S. - IoT Forensics - An Overview of the Current Issues and Challenges LI, Shancang; CHOO, Kim-Kuwang Raymond; SUN, Qindong; BUCHANAN, Willian J.; CAO, Jiuxin. IoT Forensics: Amazon Echo as a use case. IEEE Internet of Things Journal v. 14, n. 8, p. 1-17. 2015. Disponível em: http://eprints.uwe.ac.uk/40122/1/iotfR2.pdf


LUTTA, Pantaleon, SEDKY, Mohamed, HASSAN, Mohamed, JAYAWICKRAM, Uchitha, BASTAKI, Benhur Bakhtiari - The complexity of internet of things forensics A state-of-the-art

Review MEFFERT, Chistopher; CLARK, Devon; BAGGILI, Ibrahim; BREITINGER, Frank. Forensic state acquisition from internet of things (FSAIoT): a general framework and practical

approach for IoT forensics through IoT device state acquisition. In: ARES ‘17 INTERNATIONAL CONFERENCE ON AVAILABILITY, RELIABILITY AND SECURITY, 12., Reggio Calabria, Italy — aug 29-sep 01, 2017. Proceedings ... Article n. 56. Disponível em: https://dl.acm.org/citation.cfm?id=3104053


NIETO, Ana; RIOS, Ruben; LOPEZ, Javier. IoT - Forensics meets privacy: towards copperative digital investigation. Sensors, v. 18, n. 2, p. 492. 2018. Disponível em: https://www.mdpi.com/1424-8220/18/2/492.


PETRONI, Benedito Cristiano Ap.; GONÇALVES, Rodrigo Franco. Smart Contracts baseados em blockchain na cadeia de custódia digital: uma proposta de arquitetura. The Tenth International Conference on FORENSIC COMPUTER SCIENCE and CYBER LAW. São Paulo. Outubro, 2018. Disponível em: http://icofcs.org/2018/ICoFCS-2018-003.pdf. Acesso em: 03 out. 2021


SARMENTO, Augusto Conzaga; et. al. - Applying Big Data Analytics in DDos Forensics - Challenges and Opportunities ZAWOAD, Shams; HASAN Ragib. FAIoT: Towards building a forensics aware eco system for the internet of things. In: IEEE INTERNATIONAL CONFERENCE ON SERVICES COMPUTING (SCC). New York, NY, USA, 27 jun-2 jul 2015. Proceedings... 2015. Disponível em: https://ieeexplore.ieee.org/document/7207364. Acesso em: 01 out. 2021


ZIA, Tanveer A.; LIU, Peng; HAN Weile. Application-specific digital forensics investigative model in internet of things (IoT ). In: ARES ‘17 INTERNATIONAL CONFERENCE ON AVAILABILITY, RELIABILITY AND SECURITY, 12., Reggio Calabria, Italy — aug 29-sep 01, 2017. Proceedings ... 2017. Disponível em: https://pennstate.pure.elsevier.com/en/publications/application-specific-digital-forensics-investigative-model-in-int