Digital forensics on fog-based IoT devices

Abstract

Den konstante økningen av nye enheter som blir koblet til internett resulterer i ekstreme mengder data som blir lagret og håndtert i en sky. Alle disse enhetene som logger aktivitet over hele verden, skaper utfordringer for etterforskere hvor digitalt bevis kan bli oversett eller vanskelig å innhente. \textit{Fog computing} er en teknologi som vanligvis er satt i sammenheng med en sky, hvor det har vært vanskelig å lage forsvarlige metoder for å samle bevis uten å påvirke dens integritet. Enheter plassert i denne typen \textit{edge computing}-miljøer kan inneholde viktig data relatert til kriminell aktivitet. Det er derfor viktig at etterforskere klarer å innhente og analysere denne typen data i en etterforskningsprosess.

I denne oppgaven har det blitt eksperimentert med fog nettverk i ulike scenarier, hvor eksisterende etterforskningsmetoder for IoT enheter plassert i en fog har blitt evaluert. Disse eksperimentene har blitt utført i et simulert fog-miljø, hvor det var mulig å se hvordan den dynamiske bevegelsen av tjenester påvirker lokasjonen av mulig bevis, og hvordan nodene i nettverkene lagrer data. Fra eksperimentene var det mulig å observere denne dynamiske plasseringen av tjenester mellom noder i nettverkene i de ulike scenariene. Resultatene viser at når størrelsen på nettverket øker, så minker antallet plasseringer av tjenester på hver node. Mengden data med kort levetid i fog nettverk blir et problem når prosessen av å lokalisere mulige kilder for bevis tar tid. Lokasjonen av data i nettverket kan fort endre seg mellom hendelsestidspunktet og starten på en etterforskningsprosess.

Resultatene av simuleringen ble videre diskutert i sammenheng med nyere etterforskningsmetoder relatert til fog computing. Rammeverk utviklet for etterforskning i en fog er i hovedsak proaktive løsninger som fokuserer på beredskap, hvor moduler implementeres på fog-nodene før en hendelse inntreffer. Det finnes ulike rammeverk for IoT-etterforskning, men disse dekker ikke fog computing. Oppdagelse av avvik i nettverkstrafikken kan forhindre enkelte typer digital kriminalitet, men det er ikke alltid mulig å implementere slike metoder i et fog nettverk. Det er derfor nødvendig med mer forskning for å sikre at alle relevante bevis i fog nettverk kan bli samlet inn på en forsvarlig måte som opprettholder bevisets integritet.

With the rapid, constant growth of new devices connected to the Internet, more data is stored and handled in the Cloud. With all these devices logging activity worldwide, law enforcement faces challenges where possible evidence can be overlooked or hard to collect. Fog computing is a specific technology that usually works in relation to a cloud, where it has been hard to create forensically sound methods for collecting evidence. Devices placed in this type of edge-computing environment can contain important data related to criminal activity which is essential for forensic investigators to analyze.

This thesis experiments with fog networks in different scenarios and evaluates existing digital forensic frameworks for IoT devices placed in a fog. The experiments are performed in a simulated fog environment where it is possible to see how the dynamic service movement can affect the evidence location and how the nodes can store data.

There was a dynamic movement of services across nodes in the network in all of the different scenarios. The results show that when the scale of the network increases, the number of service placements on each node decreases. The amounts of highly volatile data in fog networks become an issue when the process of locating the possible sources of evidence takes time. The initial location of data is likely to change between the time of the incident and the time of the investigation.

The simulation results were further discussed in the context of state-of-the-art forensics related to fog computing. Frameworks developed for fog forensics are mainly proactive solutions that focus on digital forensic readiness, where modules are implemented on the fog nodes prior to an incident. While there exist some specific frameworks for IoT forensics, they do not cover the topic of fog computing. Detecting abnormalities in the network traffic can prevent some types of cybercrime, but it is not feasible to implement in all fog networks. More research is necessary to ensure that all relevant evidence in fog networks is collected in a forensically sound manner.