Internet of Things(IoT) digital forensic investigation model: Top-down forensic approach methodology

Perumal, Sundresan; Norwawi, Norita Md; Raman, Valliappan

doi:10.1109/icdipc.2015.7323000

Cited by 87 publications

(36 citation statements)

References 17 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Several frameworks/models [65], [55] have been proposed for IoT forensics. Oriwoh et al [63] proposed the Forensics Edge Management System, which is a smart device that autonomously detects, investigates and indicates the source of security issues by monitoring the network in smart homes.…”

Section: Related Workmentioning

confidence: 99%

Fear and Logging in the Internet of Things

Wang¹,

Hassan²,

Bates³

et al. 2018

Proceedings 2018 Network and Distributed System Security Symposium

146

103

View full text Add to dashboard Cite

Abstract-As the Internet of Things (IoT) continues to proliferate, diagnosing incorrect behavior within increasinglyautomated homes becomes considerably more difficult. Devices and apps may be chained together in long sequences of triggeraction rules to the point that from an observable symptom (e.g., an unlocked door) it may be impossible to identify the distantly removed root cause (e.g., a malicious app). This is because, at present, IoT audit logs are siloed on individual devices, and hence cannot be used to reconstruct the causal relationships of complex workflows. In this work, we present ProvThings, a platform-centric approach to centralized auditing in the Internet of Things. ProvThings performs efficient automated instrumentation of IoT apps and device APIs in order to generate data provenance that provides a holistic explanation of system activities, including malicious behaviors. We prototype ProvThings for the Samsung SmartThings platform, and benchmark the efficacy of our approach against a corpus of 26 IoT attacks. Through the introduction of a selective code instrumentation optimization, we demonstrate in evaluation that ProvThings imposes just 5% overhead on physical IoT devices while enabling real time querying of system behaviors, and further consider how ProvThings can be leveraged to meet the needs of a variety of stakeholders in the IoT ecosystem.

show abstract

Section: Related Workmentioning

confidence: 99%

Fear and Logging in the Internet of Things

Wang¹,

Hassan²,

Bates³

et al. 2018

Proceedings 2018 Network and Distributed System Security Symposium

146

103

View full text Add to dashboard Cite

show abstract

“…Como tales, definen fases [6] y [7], siendo este último el más exhaustivo. De hecho, [7] compara su framework con otras soluciones para IoT-Forensics no reflejadas aquí ( [8] y [9]), ya que no definen exactamente fases.…”

Section: A Modelos Forensesunclassified

“…De hecho, [7] compara su framework con otras soluciones para IoT-Forensics no reflejadas aquí ( [8] y [9]), ya que no definen exactamente fases. En concreto, [6] define las fases: planificación (autorización y obtención de órdenes judiciales), IoT, adquisición de datos (identificación de dispositivo, zona, triage, adquisición de datos de las plataformas de acumulación, datos estructurados y no estructurados), cadena de custodia, análisis en laboratorio, resultado, prueba y defensa, consecución y almacenamiento. Dentro del modelo [7], las fases son más generales: proceso proactivo (definición del escenario IoT, identificación de las fuentes de la evidencia, planificación de la detección de incidencias, recolección potencial de evidencias, preservación digital, almacenamiento de evidencias potenciales), IoT-forense (Cloud forensics, network forensics, device level forensics), proceso reactivo (inicialización, adquisitivo, investigativo), proceso concurrente (obtener autorización, documentación, cadena de custodia, investigación física).…”

Section: A Modelos Forensesunclassified

PRoFIT: Modelo forense-IoT con integración de requisitos de privacidad

Nieto

Rı́os

López

2017

Proceedings XIII Jornadas De Ingenieria Telematica - JITEL2017

View full text Add to dashboard Cite

Resumen-La Internet de las cosas (IoT) complica sobremanera la extracción de evidencias electrónicas que pueden servir de base para una investigación forense. En entornos altamente cambiantes y con una densidad de dispositivos tan elevada, es muy difícil entender completamente el contexto de la ofensa. Es por ello que la cooperación de los individuos, aún no estando directamente implicados en la ofensa, puede ser muy relevante para el analista forense. En este artículo se propone un nuevo modelo para la IoT-Forensics, que pretende sentar las bases para la cooperación voluntaria de los individuos en las investigaciones de delitos telemáticos. Para ello, el modelo integra requisitos de privacidad de la norma ISO/IEC 29100:2011 durante todo el ciclo de vida de la investigación.Palabras Clave-forense, IoT, privacidad, seguridad, testigos digitales. I. INTRODUCCIÓNLa informática forense tradicional se basa en una serie de procesos bien establecidos que tienen como objetivo preservar la evidencia electrónica. Existen varios modelos muy similares entre sí, que describen conductas a seguir precisas y bien definidas, pero son exageradamente estáti-cos [1]. Las evidencias -discos o dispositivos de los que se extraerán evidencias electrónicas -se recaban por medio de una orden judicial al principio del proceso. Las evidencias electrónicas se obtienen conforme a su volatilidad, siendo posible que algunas de éstas se obtengan en la propia escena (p.ej. volcados de memoria). Se implementan cadenas de custodia por medio de documentos que firman los responsables autorizados a gestionar las evidencias. Esto es así con el fin de preservar la integridad de la prueba, pero no deja de ser un proceso poco flexible, concebido para escenarios muy estáticos.Sin embargo, estamos viviendo un boom de dispositivos sin parangón. Actualmente los analistas forenses se encuentran con el problema de que hay un sinfín de dispositivos para los que aún no existen herramientas o procesos bien definidos para regular su tratamiento forense [2]. No sólo los dispositivos, sino también las infraestructuras/plataformas intermedias que se usan para la comunicación entre los objetos, plantean grandes desafíos forenses. Precisamente, en 2013 surge el concepto de IoT-Forensics [3] para destacar los problemas que el paradigma IoT introduce en el ámbito forense. Tanto a nivel de adquisición de información como a nivel de cómo se gestiona esa información [4], o la problemática de la avalancha de datos que deben procesarse y correlacionarse.Pero en IoT-Forensics el problema va más allá; el usuario y sus dispositivos están demasiado conectados como para continuar obviando que el espinoso problema de la privacidad debe ser finalmente abordado. Precisamente, en este artículo definimos el modelo PRoFIT (Privacy-aware IoT-Forensic) que integra propiedades de privacidad conforme a la norma ISO/IEC 29100:2011 en las fases de un modelo forense adaptado para la IoT. Este modelo, más dinámico que sus predecesores facilitaría la cooperación voluntaria de los dispositivos de...

show abstract

“…For example, it is used in the retail industry [17], in the internet of things [18], in the fraud of identity and travel documents [19].…”

Section: Introductionmentioning

confidence: 99%

Methods and Tools of Digital Triage in Forensic Context: Survey and Future Directions

2017

View full text Add to dashboard Cite

Digital triage is the first investigative step of the forensic examination. The digital triage comes in two forms, live triage and post-mortem triage. The primary goal of the live triage is a rapid extraction of an intelligence from the potential sources. The live triage raises legitimate concerns. The post-mortem triage is conducted in the laboratory and its main goal is ranking of the seized devices for the possible existence of the relevant evidence. The digital triage has the potential to quickly identify items that are likely to contain the evidential data. Therefore, it is a solution to the problem of case backlogs. However, existing methods and tools of the digital triage have limitations, especially, in the forensic context. Nevertheless, we have no better solution for the time being. In this paper, we critically review published research works and the proposed solutions for digital triage. The review is divided into four sections as follows: live triage, post-mortem triage, mobile device triage, and triage tools. We conclude that many challenges are awaiting for the developers in creating methods and tools of digital triage in order to keep pace with the development of new technologies.

show abstract

Internet of Things(IoT) digital forensic investigation model: Top-down forensic approach methodology

Cited by 87 publications

References 17 publications

Fear and Logging in the Internet of Things

Fear and Logging in the Internet of Things

PRoFIT: Modelo forense-IoT con integración de requisitos de privacidad

Methods and Tools of Digital Triage in Forensic Context: Survey and Future Directions

Contact Info

Product

Resources

About