Digitalna forenzika vozila je grana forenzike koja istražuje i analizira podatke iz sustava vozila s ciljem pružanja dokaza u prometnim nesrećama i kriminalnim djelima. U sklopu ovog seminara napravljen je pregled arhitekture mreže modernog automobila te uređaja koji služe kao glavni izvori podatka. Uz to, opisan je generalizirani proces digitalne forenzike vozila te klasifikacija forenzički značajnih podataka.

Ključne riječi: automobilska industrija, forenzika vozila, forenzika infotainment sustava, CAN, arhitektura mreže automobila

Digitalna forenzika vozila grana je forenzike koja se bavi sakupljanjem i analizom raznih vrsta podataka iz sustava vozila. Svrha ove grane forenzike je pružiti dokaze u istragama prometnih nesreća i kriminalnih djela. Tipični moderni automobili sadrže preko 100 milijuna linija izvornog koda, što značajno povećava površinu iskoristivu za kibernetičke napade (engl. attack surface), koji su sve češća metoda krađe osobnih vozila [2][3]. Uz kibernetičke napade, sve su češće i nesreće uzrokovane neispravnim radom autonomnih vozila, čiji se uzrok može utvrditi samo iz dovoljne količine vjerodostojnih podatka [4].

Komunikacija između sustava modernog automobila te automobila s okolinom vrši se kroz nekoliko komunikacijskih protokola s različitim svojstvima prikladnima za domenu primjene (slika 1).

Slika 1: Apstrakcija arhitekture mreže automobila [5]  

Među najstarijim od tih protokola je Controller Area Network protokol, skraćeno CAN protokol. CAN protokol koristi se za komunikaciju između elektroničkih upravljačkih jedinica (engl. Electronic control units, ECUs) spojenih na istu CAN sabirnicu u stvarnom vremenu. ECU-ovi na temelju ove komunikacije i vlastitog firmwarea upravljaju sustavom upravljanja baterijom, prijenosom, klimom, zračnim jastucima te naposljetku upravljaju i kretnjama vozila. Senzorima i aktuatorima ECU-ovi upravljaju putem SPI, I2C, UART, LIN i drugih protokola svojstvenima ugradbenim računalnim sustavima. Međuovisni ECU-ovi su povezani na istu sabirnicu, a komunikacija između sabirnica odvija se preko gateway ECU-a [5].

Uz CAN protokol, za komunikaciju između upravljačkih jedinica sve češće se koristi i Ethernet protokol, u varijanti prilagođenoj za vozila pod imenom automotive Ethernet.

Telematički i infotainment sustavi (engl. Telematics and Infotainment system), negdje i engl. Head unit, obavlja funkcije navigacije, reprodukcije multimedija, engl. Over-The-Air ažuriranja sustava automobila, upravljanja klimom te prikaza grafičkog korisničkog sučelja (engl. Graphical user interface, GUI) na ekranu upravljačke ploče automobila. Infotainment sustavi najčešće pokreću neku vrstu operacijskog sustava zasnovanog na Android, Linux, QNX, ili Windows operacijskim sustavima te su time najviše nalik uobičajenim osobnim računalima [6]. Iz tog razloga su na njih primjenjive uobičajene metode ditalne forenzike osobnih računala. Razmjena podataka između infotainment sustava prema ostatku automobila vrši se putem gateway ECU-a, a prema vanjskom svijetu putem mobilne mreže, Wi-fi-a, Bluetootha, USB uređaja te CD/DVD-a i kazeta.

Mobilna mreža koristi se za preuzimanje Over-The-Air ažuriranja i pristup servisima proizvođača, primjerice za udaljeno upravljanje značajkama vozila putem mobilne aplikacije. Uz to, mobilnu mrežu koriste i infotainment aplikacije kojima je potreban pristup internetu. U iste svrhe može se koristiti i Wi-fi, ali neki modeli automobila imaju i sposobnost stvaranja Wi-fi pristupnih točaka kako bi pružili vezu prema mobilnom internetu putnicima.

Bluetooth se u automobilima najčešće koristi za povezivanje pametnog telefona vozača s infotainment sustavom u svrhu reprodukcije multimedija, telefoniranja ili povezivanja sa značajkama Apple CarPlay ili Android Auto.

Iz predočene arhitekture modernog automobila može se zaključiti da svi moderni automobili pa tako i ostala vozila stvaraju, procesiraju i pohranjuju velike količine podataka koji se mogu obraditi i koristiti kao digitalni dokazi u forenzičkoj istrazi [7].

U [8] forenzički značajni podaci dijele se u 5 klasa:

• Firmware
• Komunikacijski podaci
  • ECU-ECU komunikacija
  • komunikacija prema backend servisima (engl. Vehicle-to-Backend)
  • komunikacija prema prometnoj infrastrukturi i drugim vozilima
• Korisnički podaci
• Podaci funkcionalne sigurnosti (engl. Safety-related Data)
• Sigurnosni podaci

Prema ovim klasama možemo podijeliti i neke česte izvore podataka (Tablica 1).

Tablica 1: Klase forenzički značajnih podataka 

Od prethodno navedenih izvora, uređaji za snimanje podataka o događajima (engl. Event Data Recorders) su jedini specifično napravljeni za forenziku, specifično forenziku sudara. Poznati su i kao “crne kutije” u avionima, ali u automobilima sakupljaju znatno manju količinu informacija [8]. Prema standardu SAE J1698 sakupljaju se podaci o:

• Tempomatu
• Kontrolama vozača
• Poziciji sjedala
• Broju sati konstantnog rada vozila
• Statusnim LED-icama
• Geografskoj dužini i širini vozila
• Aktivaciji zračnih jastuka (SRS)
• Temperaturi zraka
• Odometru
• VIN broju

Europska komisija i Europsko vijeće donijeli su 2019. uredbu 2019/2144 prema kojoj od 6. srpnja 2022. svi novi modeli vozila moraju sadržavati uređaj za snimanje podataka o događajima kojima se [9, 10]:

“… pohranjuje niz ključnih anonimiziranih podataka o vozilu, zajedno sa zahtjevima za raspon, točnost i rezoluciju podataka te njihovo prikupljanje, pohranu i mogućnost naknadnog preuzimanja, u kratkom vremenskom okviru prije, tijekom i neposredno nakon sudara (primjerice, izazvanog aktiviranjem zračnog jastuka) važan je korak prema dobivanju točnijih, detaljnih podataka o nesrećama.”

Kako bi se forenzika automobila provodila efikasno potrebno je definirati njen generalizirani proces. Takav generalizirani proces mora biti primjenjiv na širok spektar vozila te ga je moguće opisati kroz četiri faze [11]:

A) Forenzička priprema

Sastoji se od evaluacije isplativosti forenzičke istrage popisivanjem potencijalnih izvora podataka, sučelja i metoda komunikacije te dostupnih primjenjivih forenzičkih alata.

B) Prikupljanje podataka

Faza prikupljanja podataka uključuje određivanje modela i serije vozila, određivanje relevantnih izvora podataka prema fokusu istrage, odabir odgovarajućih sučelja i metoda komunikacije, postavljanje i testiranje metoda prikupljanja podataka na sličnim sustavima te na kraju umnožavanje i pohranu relevantnih podataka iz komponenti unutar vozila na način koji jamči njihov integritet.

C) Analiza podataka

U ovoj fazi duplicirani podaci se filtrirani i analizirani kako bi se došlo do odgovora na pitanja koja su postavljena u sklopu istrage. Stvaraju se vremenske crte događaja i popisi dokaza relevantnih za istragu.

D) Dokumentiranje

Uključuje stvaranje dobro strukturiranog i sveobuhvatnog izvješća s ispisima alata, uspješnim i neuspješnim provedenim postupcima te odgovorima na pitanja postavljena u sklopu istrage.

S obzirom na sve češće kibernetičke napade na moderne automobile, digitalna forenzika vozila postaje ključna za otkrivanje njihovih uzroka. Prikupljanje i analiza podataka pohranjenih u sustavima vozila mogu pružiti istražiteljima digitalne dokaze važne za ishod istrage. Sigurno će biti potrebe za pristupačnim forenzičkim alatima kao i odgovarajućim forenzičkim metodama te metodologijama koje će omogućiti jednostavniju i efikasniju digitalnu forenziku vozila.

[1] SalvationDATA. (2021). “What is Digital Vehicle Forensics?”, Pristupljeno 15. siječnja 2024. https://www.salvationdata.com/knowledge/what-is-digital-vehicle-forensics/

[2] K Tindell. (2023). Canis Automotive Labs CTO Blog. “CAN Injection: keyless car theft.”, Pristupljeno 15. siječnja 2024. https://kentindell.github.io/2023/04/03/can-injection/

[3] David Zax. (2012). MIT Technology Review. “Many Cars Have a Hundred Million Lines of Code.”, Pristupljeno 16. siječnja 2024. https://www.technologyreview.com/2012/12/03/181350/many-cars-have-a-hundred-million-lines-of-code/.

[4] Strandberg, K., Nowdehi, N., & Olovsson, T. (2022). A systematic literature review on automotive digital forensics: Challenges, technical solutions and data collection. IEEE Transactions on Intelligent Vehicles.

[5] Huq, N., Gibson, C., & Vosseler, R. (2020). Driving security into connected cars: threat model and recommendations. Trend Micro.

[6] Encora. (2023). Insight. “Guide to Automotive Infotainment Systems”, Pristupljeno 16. siječnja 2024. https://www.encora.com/insights/complete-guide-to-automotive-infotainment-systems

[7] Rak, R., & Kopencová, D. (2020). Actual issues of modern digital vehicle forensics. Internet of Thinks and Cloud Computing, 8(1).

[8] Smith, C. (2016). The car hacker's handbook: a guide for the penetration tester. no starch press.

[9] “Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019”, Pristupljeno 17. siječnja 2024. https://eur-lex.europa.eu/eli/reg/2019/2144

[10] Ronan Glon. (2022). Autoblog Official. “Anti-speeding tech and 'black box' now mandatory in new EU cars.”, Pristupljeno 17. siječnja 2024. https://www.autoblog.com/2022/07/07/anti-speeding-tech-eu-black-box-regulation/

[11] Buquerin, K. K. G., Corbett, C., & Hof, H. J. (2021). A generalized approach to automotive forensics. Forensic Science International: Digital Investigation, 36, 301111.