|
转自:取证者联盟,作者:奇安信集团盘古石取证团队 皮浩 1 物联网与IoT设备 物联网(Internet of Things,缩写IoT )即“万物相连的互联网”, 是互联网、传统电信网等信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络。在物联网上,每个人都可以将真实的物体连入网络,并可以查出它们的具体位置。通过物联网中心系统对设备、人员进行集中管理、控制,也可以对穿戴设备、家用设备、汽车等进行遥控、数据同步以及位置搜索等。通过收集这些零散出现的多源数据,最后可以汇聚成大数据,在市政建设、交通规划、灾害预测、疾病防控、案件调查取证等等重大社会事件中发挥越来越多的作用。 据全球知名的管理咨询公司MicKinsey预计,2018年物联网设备数量达到348亿,预计到2020年会突破500亿。到2025年,能够产生11.1万亿的经济价值——这个量级大约相当于全球经济的11%。 IoT设备遍布着日常生活的方方面面,可谓五花八门,包括智能穿戴设备(如手环、手表、眼镜、按摩器、运动监测器等)、智能家居设备(如传感器、温湿度计、门锁、门铃、摄像头、音箱、家电、卫浴、扫地机器人、WiFi路由器、电源开关、照明、闹钟、按摩椅、跑步机等)、医疗设备(如影像工作站、麻醉工作站、心脏起搏器等)、交通工具(如汽车、飞机、火车、平衡车等)、公共设施(如自助结账设备、智能贩卖机、智能仪表、智能园艺、环境检测等),以及其他专用设备(如无人机、儿童/成人玩具等)。通过特定的语音助手或统一的管理APP,在无线网络的环境下可以更大范围的联动多个设备,实现万物互联。 据统计,超过50%的IoT实施方案会提供基于云的服务,因此存储在云端数据对于传统电子数据取证将是绝好的补充。对于云端存储私人数据,不同人群褒贬不一,反对者通常认为的原因有:
赞同者通常认为的原因有:
IoT设备的安全隐患主要是因为缺少应有的防护措施,攻击者通常利用Linux系统的漏洞窃取用户数据,再加上这些设备都连接在互联网,存在着感染勒索病毒的风险。又如亚马逊Echo、小米智能音箱这样的设备由于总是在监听对话和环境音,并会收集数据上传云端,云端数据的安全性以及是否与第三方共享不得而知。 IoT设备拥有独立的硬件平台,如第一款基于ARM Soc的低成本、小尺寸且兼容32位和64位Cortex-A/Cortex-R/M的开源硬件平台96Boards,常用于智能家居设备或机器人的Intel Edison,应用于低功耗设备的ARM mbed,可搭载多种系统拥有多种用途的树莓派(Raspberry Pi)等等。 除了硬件平台,IoT设备还运行着定制化的操作系统,如开源系统Contiki、微软基于Windows 10的Windows 10 IOT、谷歌推出的基于Android的Brillo、ARM建立的mbed OS、开源的物理网操作系统RIOT、加州大学伯克利分校开发的开源系统TinyOS、Intel将WindRiver Pocket部分开源诞生的Zephyr等等。 2 IoT设备取证 概述 IoT设备如同小型计算机,在正常工作中会产生大量的系统日志和用户记录,包括但不限于操作系统日志、软硬件运行日志、连接/同步/备份记录、GPS记录、指令记录、影像和声音、身体特征数据、第三方APP记录等。 针对IoT设备机身数据进行取证,可以延用移动终端数据获取的方法。在没有系统最高权限的情况下,可以通过官方提供的API进行数据同步和媒体文件访问;在通过相应提权技术取得系统最高权限后,可以进行全盘数据提取、逻辑镜像和物理镜像;当然还可以直接通过拆解存储芯片的方式进行芯片级读取,通过Chip-off/JTAG/ISP等技术获得全芯片的物理镜像。 然而,仅仅对设备机身数据进行获取是远远不够的,与IoT设备相关的大量数据存储在对应厂商的云端服务器中。获取云端数据通常需要分析各设备的网络通讯协议,在取证计算机上模拟设备与后台通讯,通讯的前提是需要对应的账号和密码来登录,其次可能还需要通过验证码、二维码、图形码或者其他生物特征(如指纹、面部识别等)进行二次验证。由于部分厂商协议和网络数据包的加密,云端数据的取证还需要进行大量的解密工作,常用的加密算法有AES、DES、3DES、RC4、RSA等。 智能穿戴设备 智能穿戴设备是IoT设备中普及度最高的类型之一,其中以智能手环和智能手表最为常见。智能手环/手表通常具备心率监测、运动计数等基本功能,与手机进行蓝牙配对后通过相应APP进行数据管理和同步,部分功能强大的手环/手表具备GPS功能,可以实时记录运动轨迹,连接手机后还可以同步接收手机消息的推送,包括一些APP消息,这些数据很可能在手机端被删除,但在手环/手表的内部存储中仍然存在,这将成为手机机身数据取证的有效补充。 以小米手环为例,当建立连接时,数据被发送到手机上。手环在连接过程中发生的事件记录在手机上的日志文件中,以文本方式查看日志即可进行分析并找出涉案线索。 以Apple Watch为例,iPhone通过系统自带的Watch APP进行配置管理,在手机连入WiFi环境时,配对的手表自动进行数据备份,该备份存储在手机的机身中。手表相关的数据可以通过常规的iPhone取证方式(如备份解析、全盘逻辑镜像等)获得。手表数据普遍存储在Plist文件中,包括手表的基本信息(所有人、版本、区域和语言、序列号、UDID、WiFi/蓝牙MAC地址及存储容量等)、同步的手机消息等,可以通过PlistEdit Pro查看。 同样地,手机端对应的APP记录也蕴藏着大量线索,我们可以通过查看APP数据库得到,如下图我们通过盘古石手机取证分析系统对三星健康数据进行了解析,并对运动轨迹进行了时空展现。 扫地机器人 扫地机器人已经越来越多地成为家居必备装备,通常具备自动识别路线、扫地、拖地等功能,可以通过手机端APP或智能音箱语音助手进行控制和管理。刑事案件发生后,通常会在案发现场留下痕迹证据,如果嫌疑人在案发后通过扫地机器人对现场地面进行了清扫,我们就能从清扫记录中发现特定时间的清扫事件,结合耗材状态数据、历史运行路线及环境地图对比当前房间内物品摆放的变化,从而为传统刑事案件现场取证提供电子数据痕迹证据。 智能音箱 智能音箱是除了常规音箱外放功能外集成了智能语音助手功能的智能家居设备,可以通过语音助手对其进行语音控制来执行各种任务和调动其他IoT设备,由于价格亲民已被广泛使用,智能音箱通常永久在线并保持待机。其存储的指令记录与操作痕迹、案发现场特定时间的环境录音,都可能会成为是潜在的电子数据证据来源。 常见的智能音箱包括亚马逊Echo、苹果HomePod、Google Home、小米的小爱同学、阿里的天猫精灵、百度的小度等等。 以亚马逊Echo为例,Echo的电子数据主要来源包括机身、手机端APP、Alexa云端服务器、网络数据包,以及与其关联的第三方APP和设备。 通过拆解发现,Echo中包含一块4GB的闪迪闪存芯片,同时还有256MB的三星RAM、高通的WiFi和蓝牙模块和德州仪器的数位媒体处理器等元件,通常机身数据就存储在闪存芯片中。由于智能音箱没有开放与计算机进行数据通信的API,故只能通过传统的芯片读取方式进行数据获取,这里我们通常使用JTAG、ISP、Chip-off或者主板调试端口的方式来获取芯片镜像。得到的镜像通常并不加密,我们不难找到相关的日志文件来分析出WiFi、蓝牙的连接记录,通过注册信息获得用户ID等重要信息。 针对手机端APP的分析通常比较容易,可以调用Echo的APP或者语音助手包括Alexa、Kasa、Siri等,借助手机取证工具获取到全盘逻辑镜像后即可多相应APP进行数据库解析,APP记录中通常会包含与语音助手的会话指令记录。 Alexa APP数据包中包含两个最重要的数据库文件:map_data_storage.db和DataStore.db,前者会保存当前登录用户的令牌信息,当用户注销时,该数据库中的所有数据将被删除,删除的记录可以通过SQLite数据库及其日志恢复;后者则会保存待办事项、购物清单和用户ID。 当然,Echo的云端服务器中存储的数据也极其重要,通过账号密码登录验证并结合亚马逊的网络通讯协议进行云端数据下载,获取的数据通常包括从Amazon网站获取的png图像文件、包含请求和响应主体参数的json文件以及与Echo交互的wav格式录音文件。 智能门锁/摄像头/门铃 智能门锁区别于传统机械锁,是具有安全性、便利性、先进性的复合型锁具,从早期的接触式磁卡、TM卡,到目前广泛使用非机械钥匙作为用户识别ID,如:指纹识别、虹膜识别等生物特征识别类门锁。这类智能门锁通常将密码信息、生物特征数据存储在机身芯片中,通过WiFi和蓝牙进行远程控制,在手机端APP的相关日志中即能获取到所有历史开锁记录。
智能摄像头与智能门铃均具有摄像和视频存储功能,除摄像头本地内置或外置存储外,大量的历史视频数据均存储在云端服务器中,关联着账户信息、拍摄日志及门铃日志等。部分设备还能记录拍摄到的异常移动、停留或异常行为(如拆卸行为等)。 汽车 汽车已经是日常生活中的不可或缺的一部分,据不完全统计,全球每年销售2000多万辆汽车,每年行驶约2亿公里,每年平均728个小时在路上。现代汽车有着非常复杂的网络,存储着大量的用户数据,包括车载系统安装的APP数据、通过蓝牙连接过的各种设备的历史记录、汽车电子系统状况日志、GPS导航记录、位置数据等,这些数据都能够为案件的调查取证提供线索和证据。
汽车取证的通常关注点主要包括ECU、车载系统、APP和行车记录:
医疗设备 随着医疗设备智能化的推进,越来越多的医患纠纷或医疗事故归属得以通过电子数据取证的方式来解决。每个专业的医疗设备均相当于一台计算机,运行并处理着对应的专业数据,我们通过对其中的存储介质进行镜像分析,可以获得设备品牌型号等基本信息、设备配置的参数信息、诊断记录、历史记录(如留存的影像记录、麻醉记录、其他用药记录等)、生命特征监控记录等重要数据。 无人机 无人机由来已久,分类也非常广泛,在万物互联时代,我们讨论和应用最多的还是民用型智能无人机,它可以通过手机APP进行管理和操控,通常用于空中拍摄和轻型运输,当然也可能用于针对性攻击。无人机数据一般存储在飞行数据记录器(含TF卡)及手机端APP上。 飞机数据记录器中保存的数据,名称格式为FLY###.dat,其中###为按照编号排列的数字。通过对dat文件进行数据转换,可见日志文件详细记录了飞机的飞行状态及各传感器的数值记录,每个dat文件的首行,是该次飞行初始的记录,通过对Longitude和Latitude数值,可以直接找到该次飞行起飞地点的经纬度值。 针对手机端APP分析需通过手机取证工具获取手机APP数据,找到对应包名内的日志文件。如大疆的DJI Go App由于该txt格式飞行日志经过编码,需要进行格式转换,转换为可读取的txt格式后,可以看到与机身飞行数据记录器类似的日志,APP中的数据可用于机身删除或清空数据后的补充。 3 结语 随着物联网的发展,智能穿戴设备早已遍地开花、智能家居设备也日益普及、车联网正日趋发达,未来的信息会更多地存储在各种各样的IoT设备或与之对应的云空间中,它们将有可能成为与手机相关、又远胜于手机等移动终端的涉案电子数据载体和日后案件侦破的关键。因此,我们将共同致力于推动万物互联时代的电子数据取证技术的研究和发展,为打击违法犯罪、维护网络安全和社会和谐稳定贡献一份力量。 |
|
|
