Dieser Artikel wurde als E-Mail vom MIT erhalten, enthält jedoch neue Informationen zum Thema Forensik im Zusammenhang mit dem IoT und zeigt auf, welche Daten auf Ihren Smart-Home-Geräten gesammelt und gespeichert werden. Sollte Ihr Zuhause jemals zum Tatort werden, können alle diese Daten extrahiert und analysiert werden. Dies sind genau die Gefahren, vor denen Technocracy News seit seiner Gründung gewarnt hat. ( Patrick Wood )
Wissen Sie, wie viele mit dem Internet verbundene Geräte in Ihrem Zuhause vorhanden sind? Natürlich nicht. Heutzutage kann es fast jeder Gegenstand sein: ein Thermostat, ein Fernseher, eine Glühbirne, eine Klimaanlage oder ein Kühlschrank. Aber dank einiger Gespräche, die ich in den letzten Wochen geführt habe, weiß ich, wie viele Daten sie produzieren und wie viele Menschen auf diese Daten zugreifen können, wenn sie möchten.
Ich habe mit Leuten gesprochen, die in einem Bereich namens IoT-Forensik (Internet der Dinge) arbeiten, bei dem es im Wesentlichen darum geht, in diese Geräte einzudringen, um Daten und letztendlich Hinweise zu finden. Obwohl US-amerikanische Strafverfolgungsbehörden und Gerichte häufig nicht explizit auf Daten von IoT-Geräten verweisen, werden diese Geräte immer wichtiger bei der Bearbeitung eines Falles. Denn wenn sie am Tatort anwesend sind, bergen sie Geheimnisse, die für das bloße Auge möglicherweise unsichtbar sind. Geheimnisse, etwa wenn jemand das Licht ausschaltet, einen Kaffee kocht oder den Fernseher einschaltet, können bei einer Untersuchung von entscheidender Bedeutung sein.
Mattia Epifani ist einer dieser Menschen. Er bezeichnet sich selbst nicht als Hacker, ist aber der Mann, an den sich die Polizei wendet, wenn sie Hilfe bei der Untersuchung benötigt, ob Daten aus einem „intelligenten“ Objekt extrahiert werden können. Er ist Analyst und Ausbilder für digitale Forensik am SANS Institute und hat mit Anwälten, der Polizei und Privatkunden auf der ganzen Welt zusammengearbeitet.
„ Ich bin……. besessen. Jedes Mal, wenn ich ein Gerät sehe, denke ich: Wie könnte ich Daten von dort extrahieren? „Das mache ich natürlich immer auf Testgeräten oder unter Freigabe “, sagte Epifani.
Smartphones und Computer sind die am häufigsten von der Polizei für Ermittlungen beschlagnahmten Geräte, doch Epifani sagt, dass Beweise für ein Verbrechen von allen möglichen Orten stammen können: „Es kann sich um einen Ort handeln. “ Es kann eine Nachricht sein. Es kann ein Bild sein. Irgendetwas. Es kann sich sogar um die Herzfrequenz eines Benutzers oder die Anzahl der Schritte handeln, die der Benutzer unternommen hat. Und all diese Daten werden grundsätzlich auf elektronischen Geräten gespeichert .“
Denken Sie zum Beispiel an einen Samsung-Kühlschrank. Epifani nutzte Daten von VTO Labs, einem Labor für digitale Forensik in den USA, um zu untersuchen, wie viele Informationen ein intelligenter Kühlschrank über seine Besitzer speichert.
VTO Labs hat das Datenspeichersystem eines Samsung-Kühlschranks rückentwickelt, diese Daten extrahiert und eine Kopie der Datenbanken öffentlich auf ihrer Website zur Nutzung durch Forscher veröffentlicht. Steve Watson, der CEO des Labors, erklärte, dass es bei diesem Vorgang darum geht, alle Orte zu finden, an denen der Kühlschrank Daten speichern könnte, sowohl innerhalb als auch außerhalb des Geräts, in Anwendungen oder Cloud- Speichern . Nachdem dies geschehen war, machte sich Epifani daran, die Daten zu analysieren, zu organisieren und Zugriff auf die Dateien zu erhalten.
Was er fand, war eine Fundgrube an persönlichen Daten. Epifani fand Informationen über Bluetooth-Geräte in der Nähe des Kühlschranks, Samsung-Benutzerkontodetails wie E-Mail-Adressen und Heim-WLAN-Netzwerke, Temperatur- und Geolokalisierungsdaten sowie stündliche Statistiken zum Energieverbrauch. Der Kühlschrank speicherte auch Daten darüber, wann ein Benutzer über eine iHeartRadio-App Musik hörte. Dank der darin eingebauten kleinen Kamera konnte Epifani sogar auf Fotos von Diät-Cola- und Snapple-Getränken in den Regalen des Kühlschranks zugreifen. Darüber hinaus stellte er fest, dass der Kühlschrank viel mehr Daten speichern könnte, wenn ein Benutzer den Kühlschrank über ein zentralisiertes Privat- oder Familienkonto mit anderen Samsung-Geräten verband.
Nichts davon ist notwendigerweise ein Geheimnis oder wird den Leuten nicht mitgeteilt, wenn sie dieses Kühlschrankmodell kaufen, aber ich hätte sicherlich nicht erwartet, dass ein Polizeibeamter – natürlich mit einem Haftbefehl – mein hungriges Gesicht sehen würde, wenn gegen mich ermittelt würde wenn ich den Kühlschrank öffne. Samsung hat auf unsere Anfrage nach einem Kommentar nicht geantwortet, aber es folgt ziemlich üblichen Praktiken in der IoT-Welt. Viele dieser Geräte greifen auf ähnliche Arten von Daten zu und speichern diese.
Laut Watson und Epifani müssen die Geräte auch nicht besonders ausgereift sein, um sich bei strafrechtlichen Ermittlungen als nützlich zu erweisen.
Einmal untersuchte VTO Labs eine Platine auf einer Meeresboje, um zu sehen, ob sie Daten über die Schiffsbewegungen von Drogenhändlern enthielt. Watson sagt, die Platine habe einen Satellitenkommunikationsanbieter und letztendlich die Kontonummer eines Schmugglers enthüllt.
Zusätzlich zu den Sicherheits- und Datenschutzrisiken laufen viele IoT-Geräte auch auf veralteten und daher weniger sicheren Betriebssystemen, da Benutzer selten daran denken, sie zu aktualisieren. Können Sie sich vorstellen, dass Menschen ihren Kühlschrank „aufrüsten“? Nein, nein “, sagt Epifani.
Das Problem wird nur noch schlimmer, je mehr Dinge wir in unseren Häusern haben, die mit dem Internet verbunden sind. The Atlantic hat kürzlich einen hervorragenden Artikel über die Daten geschrieben, die Smart-TVs von ihren Zuschauern auf der Couch sammeln. Meine Kollegin Eileen Guo zeigte, wie Roomba- Staubsauger invasive Fotos machen können, indem sie untersuchte, wie Daten von Personen gesammelt wurden, die die Produkte testeten.
Watson ist nicht besonders besorgt darüber, dass die Regierung oder Technologieunternehmen uns über unsere Thermostate ausspionieren. Ihm geht es mehr darum, wie Daten von Datenbrokern gesammelt und verkauft werden.
„ Hier liegen die Risiken, die die Leute nicht verstehen: Wenn mein Bett meinen Schlaf und meine Herzfrequenz aufzeichnet, verkauft diese Firma diese Informationen an eine Versicherungsgesellschaft, die feststellt, dass ich jedes Mal, wenn ich ins Bett gehe, fast einen Herzinfarkt erleide, oder dass ich Schlafapnoe oder so etwas habe “, sagt er.
„ Je mehr Technologie in jedem Aspekt unseres Lebens in unser Leben eindringt, desto mehr verlieren wir die Fähigkeit, ein gewisses Maß an Kontrolle über die Daten auszuüben, die sie sammelt, über die Menge der Daten, die sie sammelt, darüber, in wessen Hände sie letztendlich gelangen und was sie mit diesen Daten machen .“