L’Internet of Things, le smart city, le smart factory sono il futuro che sta diventando realtà. Oggetti intelligenti che possono diventare testimoni ma anche protagonisti di illeciti e reati. Poter condurre indagini forensi su questi dispositivi sarà determinante per risolvere casi giudiziari sia civili che penali
IoT significa automotive, domotica della casa, assistenti virtuali, perfino sex toys, ma anche i più sobri sistemi di automatizzazione industriale. Smart home, e-healthcare, smart surveillance, smart industry, smart city e smart grid, sono temi di grande attualità e si basano su dispositivi e sensori IoT. In una società sempre più digitale, con abitazioni “intelligenti”, la nostra presenza sarà rilevata e tracciata con diversi strumenti. I dispositivi IoT sono testimoni inconsapevoli di quanto accade intorno a loro registrandolo in locale e in cloud. L’anno scorso, il primo caso di testimone digitale, quando Alexa, l’assistente virtuale di Amazon, è stato “ascoltato” in qualità di testimone di un omicidio.
L’analisi di questi dispositivi rappresenta uno scenario completamente inesplorato: tanti produttori, nessuno standard, e una gestione della sicurezza dei dispositivi IoT carente. L’analisi forense di una infrastruttura o di un dispositivo IoT non può non tenere conto delle tre componenti che costituiscono un sistema IoT: 1) il dispositivo o sensore intelligente; 2) l’infrastruttura IT, hardware e software, che permette una comunicazione tra dispositivi intelligenti e il mondo esterno, piattaforme di controllo, ma anche firewall, IPS; 3) I service provider e i servizi cloud su cui l’infrastruttura o il dispositivo IoT si appoggia.
La mancanza di standard fa sì che nell’acquisizione forense dei dati, di volta in volta debbano essere valutate, fra le opzioni tecnicamente disponibili, le soluzioni più idonee a salvaguardare l’integrità e disponibilità dell’informazione presente sul dispositivo, garantendone al contempo l’autenticità e veridicità e, ove tecnicamente possibile, anche la ripetibilità degli accertamenti. Molti di questi dispositivi non hanno una interfaccia fisica standard, ma sono gestiti direttamente da una app. Nei sistemi più complessi, possiamo avere un sistema di gestione con una sua console, chiaramente se non abbiamo altre opzioni, ci rimangono le due soluzioni estreme: l’interfaccia JTAG e il chip-off.
A causa della mancanza di standard, diventa fondamentale il tema del know-how per dare un valore ai dati. E’ un po’ tornare alle origini della digital forensics, quando era indispensabile avere una buona conoscenza dei sistemi operativi e del loro funzionamento nonché dei linguaggi di programmazione, oltre a una buona padronanza di tutti quegli strumenti della scienza digitale forense presenti sulle piattaforme Unix per estrapolare i metadati, effettuare ricerche, stabilire relazioni funzionali fra i vari elementi acquisiti al fine di individuare e comprendere la dinamica dei fatti registrata dal dispositivo.
L’analisi di un dispositivo IoT non termina con l’esame del dispositivo stesso, ma richiede per completezza e correttezza dei dati, anche l’esame forense della componente infrastrutturale: firewall, IPS, e dei service provider cloud su cui il sistema si appoggia, nonché in ultima istanza anche dello smartphone con cui tipicamente si ha il controllo dei dispositivi IoT. Per avere un quadro completo, è necessario un approccio multidisciplinare che includa la network forensics, la cloud forensics e la mobile forensics. Un dispositivo o un sistema IoT per propria natura è interdipendente da molti altri ambiti, a partire dalla rete e dai servizi cloud con cui scambia quasi costantemente dati per elaborarli e ricevere azioni da intraprendere. Un’analisi forense deve imprescindibilmente considerare oltre al dispositivo IoT, anche tutti i componenti che interagiscono con il dispositivo e che potrebbero intervenire o interferire con il suo funzionamento. Se oggi la digital forensics richiede strumenti tecnologici e competenze specialistiche, il futuro della scienza digitale forense in ambito IoT e IIoT richiederà competenze multi disciplinari e un approccio olistico alle problematiche, con il coinvolgimento di veri professionisti delle indagini digitali e non semplici consulenti IT.
di Alessandro Fiorenzi membro del Comitato Scientifico di CLUSIT