Please use this identifier to cite or link to this item: http://dx.doi.org/10.25673/35364
Title: Computer forensics in cyber-physical systems : applying existing forensic knowledge and procedures from classical IT to automation and automotive
Author(s): Altschaffel, Robert
Referee(s): Dittmann, Jana
Granting Institution: Otto-von-Guericke-Universität Magdeburg, Fakultät für Informatik
Issue Date: 2020
Extent: xvi, 316 Seiten
Type: HochschulschriftLook up in the Integrated Authority File of the German National Library
Type: PhDThesis
Exam Date: 2020
Language: English
URN: urn:nbn:de:gbv:ma9:1-1981185920-355742
Subjects: Computersicherheit
Betriebliche Information und Kommunikation
Abstract: This thesis contributes to the topic of computer forensics in the domains of Industrial Control Systems (ICS) and Automotive IT. Computer forensics in classical IT systems, consisting of potentially networked Desktop Com-puters (from here on referred to as Desktop IT ), is a well-researched topic. However, computer forensics in the Industrial Control Systems (ICS) and Automotive IT is still an emerging field. This thesis investigates the potential application of methods, procedures and processes from the field of computer forensics in the Desktop IT domain to the ICS and automotive domains (in short referred to as investigated domains). This is necessary due to an increasing amount of known attacks against ICS and Automotive IT systems. This thesis describes and completes the adaptation of concepts, methods, procedures and processes from the field of computer forensics in Desktop IT to these domains. These concepts, methods, procedures and processes are based on a forensic process model to which the author of this thesis contributed. The iteration of this forensic process model published in [KDV15] provides the foundation for the considerations during the scope of this thesis. In order to apply and adapt methods, procedures and processes from the field of computer forensics in Desktop IT to these domains, an understanding of the goals of the computer forensic process is necessary. As forensic science can be applied to achieve different aims in varying contexts, which carry different implications for the forensic process (for example in terms of admissibility of evidence to court, adherence to restrictions or simply in the nature of the evidence useful to investigate a given suspicion) these Investigative Contexts are formalized within this thesis. A survey on forensic procedures and methods in the classical IT domain identifies the various aspects required for a process model to perform forensic investigations into computer systems. This survey is used as a foundation to establish eight Forensic Process Model Criteria for a comprehensive forensic process model during this thesis. These criteria are used during the exploration of the [KDV15] forensic process model and serve as a backdrop for a discussion of various aspects of this model. After a discussion on how this forensic process model addresses the various criteria, the model is then enhanced and adapted to handle the specifics of Desktop IT as well as the investigated domains. The main approach is a thorough and systematic analysis of the three domains (Desktop IT, Industrial Control Systems and Automotive IT) in order to identify which properties influence the computer forensic process in light of the given aspects. This is achieved by analyzing the employed components, the employed communication architectures and the scenarios in which these are employed. Analyzing known attack scenarios in the respective domains provides additional input. In order to improve the understanding of potential forensic traces in the ICS and Automotive IT domains a forensic-driven view on the employed components is established. The analysis of these domains leads to the identification of 29 Impact Factors from the ICS domain and 25 Impact Factors from the Automotive IT domain which influence the forensic process in these domains. These Impact Factors are used to describe the similarity and differences between the domains discussed in this thesis. The ICS and Automotive IT share many of these influences on the forensic process while they differ greatly from the Desktop IT domain. While specific tools and methods differ, the aspects of the [KDV15]-model for the forensic process can, in general, be applied to the ICS and Automotive IT domains. The [KDV15]-model consists of Investigation Steps, Data Types and Classes of Methods. The investigation and alteration of these aspects in the light of the investigated domains is presented within this thesis. These alterations amount to five major adaptations of the forensic process as described in [KDV15]. Firstly, for the Investigation Steps, the emphasis of various phases of the forensic process shifts. Since the components employed in the investigated domains have very limited resources, the Strategic preparation (SP) phase is essential to enable a meaningful amount of forensic traces which can be used to further a forensic investigation. Secondly, the overall structure of the forensic process is slightly altered. Thirdly, most of the Data Types require a clearer definition in order to fulfill their role in supporting the forensic process by attaching methods for gathering or analyzing various types of data. Fourthly, one new data type is introduced. Finally, the Classes of Methods are redefined in order to improve the forensic process within the investigated domains. This altered process model is put to the test in a complex case study in the ICS domain. The main contribution of this thesis is the transfer of knowledge from the classical IT domain to the ICS and Automotive IT domains. This increases the maturity of computer forensics in these two distinct domains. This thesis discusses the forensic traces available in these different domains based on scientific and comprehensive analysis of the given domains. In addition, the methods available to acquire and investigate these traces are shown. Some of the methods and tools currently missing to increase the maturity of computer forensics in these domains are identified. The research is supported by a notable number of relevant publications and industrial research.
Diese Arbeit beschäftigt sich mit dem Gebiet der Computerforensik in den Bereichen In-dustrieller Steuernetzwerke (ICS) und Automotiver IT. Computerforensik in klassischen IT-Systemen, bestehend aus potenziell vernetzten Desktop-Computern (von nun an als Desktop IT bezeichnet), ist ein umfangreich erforschtes Feld. Die Computerforensik in den Bereichen Industrieller Steuernetzwerke (ICS) und Automotive IT ist jedoch noch ein erst entstehendes Forschungsfeld. Diese Arbeit untersucht die mögliche Übertragung von Methoden, Verfahren und Prozessen aus dem Bereich der Computerforensik im Anwendungsgebiet der Desktop-IT auf die Anwendungsgebiete Industrieller Steuernetzwerke (ICS) und Automotive IT (kurz als untersuchte Domänen bezeichnet). Dies ist aufgrund einer zunehmenden Anzahl bekan-nter Angriffe auf Industrielle Steuernetzwerke (ICS) und Automotive IT erforderlich. Diese Arbeit beschreibt und vervollständigt die Anpassung von Konzepten, Methoden, Verfahren und Prozessen aus dem Anwendungsgebiet der Computerforensik in der Desktop-IT an die untersuchten Domänen. Diese Konzepte, Methoden, Verfahren und Prozesse basieren auf einem forensischen Prozessmodell, zu dem der Autor dieser Arbeit beigetragen hat. Die in [KDV15] veröffentlichte Iteration dieses forensischen Prozessmodells bildet die Grundlage für die überlegungen im Rahmen dieser Arbeit. Um Methoden, Verfahren und Prozesse aus der Computerforensik aus dem Anwendungsge-biet der Desktop-IT auf diese Bereiche anwenden und anpassen zu können, ist ein Verständ-nis der Ziele der computerforensischen Untersuchung erforderlich. Forensische Untersuchun-gen können angewendet werden, um unterschiedliche Ziele in unterschiedlichen Kontexten zu erreichen. Dies hat unterschiedliche Auswirkungen auf den forensischen Prozess, beispiel-sweise in Bezug auf die Zulässigkeit von Beweismitteln vor Gericht oder die Einhaltung von Beschränkungen bei der Erhebung und dem Umgang mit Beweismitteln oder einfach nur in Bezug auf die Art der Beweismittel welche für einen bestimmten Sachverhalt nützlich er-scheinen. Diese Arbeit formalisiert diesen Umstand in Form von zwei Investigativen Kontexten (Investigative Contexts). Eine Studie verschiedener forensische Prozessmodelle aus dem Bereich der Desktop-IT wird verwendet um, gemeinsam mit dem den verschiedenen zuvor erwähnten Aspekten, zu ergrün-den welche Eigenschaften für ein umfassendes forensisches Prozessmodel wünschenswert sind. Diese Eigenschaften werden in Form von acht Kriterien für forensische Prozessmodelle ( textit Forensic Process Model Criteria) formalisiert. Diese Kriterien werden bei der Untersuchung des forensischen Prozessmodells aus [KDV15] verwendet und dienen als Hintergrund für die Diskussion verschiedener Aspekte dieses Modells. Nach einer Diskussion darüber, wie dieses forensische Prozessmodell die verschiedenen Kriterien berücksichtigt, wird das Modell erweit-ert und an die Besonderheiten der untersuchten Domänen angepasst. Das Ziel ist dabei, dass das Modell sowohl der Computerforensik in der Desktop-IT als auch in den untersuchten Domänen dienlich ist. Der Hauptansatz hierfür ist eine gründliche und systematische Analyse der drei Anwendungs-gebiete (Desktop-IT, Industrielle Steuernetzwerke und Automotive IT), um festzustellen, welche Eigenschaften dieser Domänen Einfluss auf den computerforensischen Prozess haben. Dies wird erreicht, indem die verwendeten Komponenten, die verwendeten Kommunikation-sarchitekturen und die Szenarien, in denen diese verwendet werden, analysiert werden. Die Analyse bekannter Angriffsszenarien in den jeweiligen Domänen rundet diese Untersuchung ab. Um das Verständnis potenzieller forensischer Spuren in den untersuchten Domänen zu verbessern, wird eine forensisch gesteuerte Sicht auf die verwendeten Komponenten eingeführt und verwendet. Diese Domänenanalyse führt zur Identifizierung von 29 Einflussfaktoren (Impact Factors) aus der Domäne Industrieller Steuernetze sowie 25 Einflussfaktoren aus der Domäne Automotive IT. Diese Einflussfaktoren sind Eigenschaften, die den forensischen Prozess in diesen Domänen beeinflussen. Weiterhin werden sie verwendet um die ähnlichkeiten respektive Unterschiede zwischen den in dieser Arbeit diskutierten Domänen zu beschreiben. Industrielle Steuernet-zwerke und Automotive IT teilen viele dieser Einflussfaktoren. Die überschneidungen mit der Desktop-IT Domäne sind geringer, was einen starken Unterschied zeigt. Während sich bestimmte Werkzeuge und Methoden unterscheiden, können die Aspekte des [KDV15]-Modells für den forensischen Prozess im Allgemeinen auf die untersuchten Domänen angewendet werden. Das [KDV15] -Modell besteht aus Untersuchungsschritten (Investigation Steps), Datenarten (Data Types und Methodenklassen (Classes of Methods). Die überar-beitung dieser Aspekte im Licht der untersuchten Domänen wird in dieser Arbeit betrachtet. Bei den Untersuchungsschritten verschiebt sich der Schwerpunkt zwischen den Phasen. Da die in den untersuchten Domänen verwendeten Komponenten nur über sehr begrenzte Ressourcen verfügen, ist die Phase Strategische Vorbereitung (Strategic Preparation) unerlässlich, um eine sinnvolle Menge forensischer Spuren zu erlangen. Darüber hinaus ist die Gesamtstruktur des forensischen Prozesses geringfügig verändert. Für die Datentypen ist eine klare Neudefinition der meisten von ihnen notwendig um ihre Rolle im forensischen Prozess zu erfüllen. Zusätzlich wird ein neuer Datentyp eingeführt. Zusätzlich werden die Methodenklassen neu definiert, um den forensischen Prozess innerhalb der untersuchten Domänen zu verbessern. Dieses veränderte Prozessmodell wird in einem komplexen Szenario aus der Domäne indus-trieller Steuernetze angewendet und somit evaluiert. Der Hauptbeitrag dieser Arbeit ist der Wissenstransfer vor der Desktop IT zu den unter-suchten Domänen. Dies erhöht den Reifegrad der Computerforensik in diesen beiden An-wendungsfeldern. In dieser Arbeit werden die in diesen verschiedenen Bereichen verfügbaren forensischen Spuren auf der Grundlage einer wissenschaftlichen und umfassenden Analyse der jeweiligen Bereiche erörtert. Darüber hinaus werden die verfügbaren Methoden zum Erfassen und Untersuchen dieser Spuren aufgezeigt. Auf fehlende Methoden und Werkzeuge wird hingewiesen, um die Schritte zu identifizieren, die erforderlich sind, um die Reife der Com-puterforensik in diesen Bereichen anzuheben. Dafür werden einige unterstützende Konzepte eingeführt. Die Forschung wird durch eine Anzahl relevanter Veröffentlichungen und industrielle Forschung unterstützt.
URI: https://opendata.uni-halle.de//handle/1981185920/35574
http://dx.doi.org/10.25673/35364
Open Access: Open access publication
License: (CC BY-SA 4.0) Creative Commons Attribution ShareAlike 4.0(CC BY-SA 4.0) Creative Commons Attribution ShareAlike 4.0
Appears in Collections:Fakultät für Informatik

Files in This Item:
File Description SizeFormat 
Altschaffel_Robert_Dissertation_2020.pdfDissertation2.69 MBAdobe PDFThumbnail
View/Open