Исследование конфиденциальной информации, обрабатываемой умными устройствами

[root]

Исследование конфиденциальной информации, обрабатываемой умными устройствами

Аннотация: Растущий невероятными темпами технический прогресс стремится облегчить жизнь человека во многих ее сферах, порождая при этом новые угрозы безопасности и конфиденциальности. Устройства Интернета вещей (IoT), созданные для помощи людям, принимают решения и выполняют действия основываясь на обрабатываемой ими информации. В статье рассмотрены и проанализированы данные собираемые современными бытовыми IoT устройствами о своих владельцах, а также характер этих данных.

Ключевые слова: информация, умные устройства. Keywords: information, smart devices.

Введение

Для безопасной эксплуатации умных бытовых устройств необходимо обращать внимание на аспекты конфиденциальности информации о владельцах и о местах применения информации, обрабатываемой подобными устройствами. Необходимость исследования этого вопроса обусловлена растущим распространением умных устройств. По данным исследовательской компании GfK, объем продаж умных устройств в европейских странах в 2018 году составил 2.5 млрд евро. В этом же году, в России, ежемесячно продавалось порядка 100 тысяч умных устройств в месяц [1].

На текущий момент умная крупная бытовая техника (стиральные машины и холодильники) все еще несоразмерно дорогая по сравнению с мелкой бытовой техникой (чайники, весы и т.п.), которая находятся в одной ценовой категории с аналогичными простыми приборами, ускоряя их распространение среди потребителей.

Обобщенная топология сети умных бытовых устройств

Обобщенная топология сети умных бытовых устройств представлена на рисунке 1. Как видно из рисунка 1, для непосредственного управления умной крупной бытовой техникой чаще всего используются беспроводные каналы [2] передачи данных:

• Wi-fi;
• Bluetooth;
• Каналы передачи данных инфракрасного диапазона.

Устройствами, передающими управляющие сигналы могут выступать:

• Мобильное устройство пользователя (смартфон) – используется для управления непосредственно в локальной сети умных устройств, в ближнем радиусе, в том случае, если требуется передать команду вручную, изучить статистические данные, изменить настройки устройства.
• Шлюз умных устройств – в том случае, если настройки и схемы автоматизации устройств хранятся в локальной сети.
• Облачный сервер – в том случае, если контроль, изменение настроек, получение статистики осуществляется удаленно через сеть интернет.

Несомненно, для изучения угроз конфиденциальности данных требуется учитывать сложность перехвата передачи конфиденциальных данных. В рассматриваемом случае можно рассматривать угрозы конфиденциальности данных на следующих уровнях:

• На уровне облачного хранилища данных;
• На уровне операционных систем пользовательского мобильного устройства, шлюза умных устройств, домашнего роутера;
• На уровне безопасности беспроводных каналов передачи данных, используемых локально.

Рисунок 1. Обобщенная топология сети умных бытовых устройств.

Модели угроз конфиденциальной информации

Модели угроз конфиденциальности, которым могут быть подвержены пользователи можно подразделить, исходя из классификации их топологии и расположения на следующие виды [3]:

• Локальные угрозы – характеризуются необходимостью злоумышленника присутствовать либо физически приближаться к помещению для получения доступа к данным от умных устройств, передаваемых по стандартным беспроводным протоколам передачи данных (Wi-fi, Bluetooth).
• Глобальные угрозы – угрозы, относящиеся к передаче информации пользователя по сети интернет в облачные серверы компании-производителя умного устройства, а также ее хранению и обработке, например, для принятия решения устройством.
• Угрозы, связанные с уязвимостями программного обеспечения либо операционных систем пользовательского мобильного устройства, роутера, шлюза умных устройств.

Критичность угрозы конфиденциальности пользователя, прямо пропорциональна количеству устройств, имеющих возможность передачи информации: чем больше умных устройств, имеющих проблемы конфиденциальности передаваемых данных, находится в помещении, тем больше шансов на идентификацию пользователя, его материального статуса и других персональных данных, начиная от режима сна и присутствия дома, заканчивая материалами его одежды.

Продолжение ниже

Источник

 

[root]

Анализ конфиденциальной информации

Далее будут рассмотрены десять наиболее распространённые умные бытовые устройства и приведены сведения об обрабатываемой и передаваемой ими конфиденциальной информации, а также о том, как подобная информация может быть использована для идентификации человека.

Устройства освещения: лампочки, настольные лампы, светодиодные ленты.

Передаваемая информация

Умные устройства освещения могут обрабатывать и передавать следующую информацию: свой режим работы (включение либо выключение), цвет или яркость освещения, уникальный идентификатор устройства (модель, серийный номер), расписание своей работы и схемы автоматизации – последовательности реакции на определенные события, например, срабатывание датчика движения.

Каналы передачи информации

Включение, смена режима, предустановки могут обрабатываться как локально, так и удаленно. Данные от таких устройств могут циркулировать по всей топологии сети умных устройств (рисунок 1), что делает их уязвимыми ко всем угрозам, описанным в пункте 3.

Использование информации для идентификации пользователя

Данные о работе источников света могут быть использованы для вычисления времени присутствия человека в квартире либо определенном ее помещении, а также часового пояса, в котором работает данное устройство. Зачастую, в приложениях для настройки систем «умный дом» используется распределение и привязка устройств к конкретному помещению, в котором они используются.

Роботы-пылесосы

Передаваемая информация

Роботы-пылесосы способны собирать и передавать следующую информацию: план квартиры владельца с учетом содержащихся в ней предметов, звуковую информацию, GPS местоположение владельца телефона. В 2020 году инженеры из Сингапура представили метод, позволяющий использовать лазерный луч датчика навигации робота-пылесоса для распознавания звуков в помещении. [4] Подобная угроза является реальной, так как робот-пылесос является сложным техническим устройством с операционной системой на базе Linux и поддержкой сетевых подключений.

Каналы передачи информации

Для передачи информации от робота-пылесоса могут использоваться сети Wi-Fi, далее информация отправляется с помощью роутера либо пользовательского мобильного устройства через Интернет на сервер поставщика оборудования.

Использование информации для идентификации пользователя

Робот-пылесос может запускаться по таймеру, а также по сигналу от шлюза умных устройств, которому доступно GPS местоположение владельца – такая информация может говорить о присутствии или отсутствии владельца дома.

Роботы-пылесосы имеют лидары, которые помогают им ориентироваться в пространстве и не натыкаться на предметы интерьера. Луч лазера способен считывать вибрации, сохраняя всю амплитуду колебаний вибрирующего предмета. Таким образом в памяти роботизированного пылесоса могут оказываться вибрации мембран динамиков, стоящих в помещении, а поскольку многие мембраны достаточно чувствительны, чтобы колебаться даже от звука голоса говорящего рядом человека, то и разговоры способны оказаться в памяти пылесосов.

Для построения карты робот использует алгоритм, обрабатывающий изображение с встроенной камеры. Результат распознавания границ предметов сопоставляется с данными датчиков расстояния. При помощи построенной карты пылесос ориентируется в пространстве, отправляется на подзарядку и возвращается на место, с которого необходимо продолжить уборку. Используя камеру робота-пылесоса, можно узнать не только план помещений, но и что в них находится.

Умный холодильник

Передаваемая информация

Современные холодильники могут хранить информацию о продуктах, которые предпочитает покупать их владелец, фото продуктов и самих владельцев, данные банковских карт.

Каналы передачи информации

Для передачи информации могут использоваться сети Wi-Fi, далее информация отправляется с помощью роутера через Интернет на сервер поставщика оборудования и продуктов питания.

Использование информации для идентификации пользователя

Данные о продуктах могут говорить о материальном состоянии человека, его заболеваниях, связанных с потреблением определенных, например, исключительно диетических продуктов, что может свидетельствовать о конкретном заболевании, например гастрите или продуктов, не содержащих сахара, что может свидетельствовать о диабете у владельца или члена его семьи.

Для отслеживания количества и видов продуктов, в современных моделях холодильников используются видеокамеры, которые при компрометации или модификации системы управления устройства могут захватывать кадры с изображением его пользователей. Из этой информации может следовать как материальное состояние владельца, так и информация о количестве членов семьи, их возрасте и тд.

Чайник

Передаваемая информация

Умные чайники используют для своей работы следующую информацию, наравне с командами включения и выключения: температура воды, срок поддержания заданной температуры.

Каналы передачи информации

Обычно, возможности управления чайником ограничивают локальной беспроводной сетью для обеспечения безопасности его работы, но его предустановки могут синхронизироваться с сервером поставщика и мобильным устройством пользователя.

Использование информации для идентификации пользователя

Активность чайника может свидетельствовать о присутствии владельца в непосредственной близости к нему. Если в умном чайнике присутствует функция термопота, настроенная на некоторое время сохранения тепла, то по информации от датчика температуры можно определить последнее обращение пользователя к устройству.

Продолжение ниже

Источник

 

[root]

Умные телевизоры, ресиверы цифрового телевидения

Передаваемая информация

Исследователи из Северо-Восточного университета и Имперского колледжа Лондона определили, что ряд телевизоров, в том числе производства Samsung и LG, а также сервисы Roku и Amazon FireTV отправляли данные пользователей: местоположение и IP-адрес компании Netflix и сторонним рекламодателям. Данные отправлялись независимо от того, была ли у пользователя учетная запись Netflix. [5]

Устройства умного телевидения могут так же использовать технологии распознавания жестов и речи, а значит потенциально могу иметь доступ к конфиденциальный аудио и видео информации. Дополнительно, подобные устройства могут иметь доступ к аккаунтам социальных сетей своих владельцев и их платежной информации.

Каналы передачи информации

Для передачи информации от телевизора могут использоваться сети Wi-Fi, далее информация отправляется с помощью роутера через Интернет на сервер поставщика оборудования.

Использование информации для идентификации пользователя

Записанную такими устройствами видео и аудио информацию злоумышленники могут использовать c целью шантажа пользователей либо слежки при получении доступа к управлению умным телевизором. Так же, умное телевидение зачастую негласно используется для персонализации рекламных предложений, аккумулируя поведенческую информацию о пользователе и его предпочтениях.

Стиральные машины

Передаваемая информация

От умной стиральной можно получить такую информацию, как: статус устройства (включено или выключено) и аудиоинформацию. Существуют стиральные машины, которым можно голосом сообщать желаемые параметры стирки, что делает возможным запись и хранение голоса владельца.

Каналы передачи информации

Для передачи информации от умной стиральной машины могут использоваться сети Wi-Fi, далее информация отправляется с помощью роутера либо пользовательского мобильного устройства через Интернет на сервер производителя.

Использование информации для идентификации пользователя

Программное обеспечение, поставляемое с умными стиральными машинами, может устанавливать либо считывать режимы стирки. Используя эту информацию, можно специфицировать наиболее часто используемые материалы, предпочитаемые ее владельцем. Так же активность стиральной машины может свидетельствовать о присутствии владельца в непосредственной близости к ней.

Счетчики электроэнергии

Передаваемая информация

Зачастую, обрабатываемая и передаваемая информация умными счетчиками электроэнергии это: напряжение сети, частота сети, статус устройства (выключено либо включено), текущее значение потребления электроэнергии и прочие статистические данные о потреблении электроэнергии. [6]

Каналы передачи информации

Для передачи информации от умных счетчиков электроэнергии могут использоваться локальные беспроводные сети, далее же передаваемая ими информация отправляется с помощью роутера либо пользовательского мобильного устройства через Интернет на сервер поставщика оборудования и/или на сервер энергоснабжающей компании.

Использование информации для идентификации пользователя

Информация о энергопотреблении от общедомовых (в случае использования в частном доме) либо от квартирных счетчиков может говорить о периодах активности владельца, его отсутствии либо присутствии дома, периодах активности, часовом поясе, позволяет сложить представление о количестве и использовании электроприборов.

Умные розетки

Передаваемая информация

Обрабатываемая и передаваемая информация розетками это – напряжение сети, частота сети, статус розетки (выключена либо включена), текущее значение потребления электроэнергии.

Каналы передачи информации

Для передачи информации от розеток к шлюзу устройств используются локальные сети Wi-Fi, далее информация отправляется с помощью роутера на сервер поставщика оборудования для сбора и хранения статистических данных. [7]

Использование информации для идентификации пользователя

Информация о энергопотреблении от розеток может показать тип подключенного устройства (крупная или мелкая бытовая техника) и времени его использования, информация от группы розеток может показать количество подключенных электроприборов, что косвенно позволяет оценить материальное положение их владельца, его периодах активности, часовом поясе.

Умный утюг

Передаваемая информация

Утюги поддерживают дистанционное управление, например, включение блокировки при отсутствии пользователя дома, определение местоположения утюга в доме, так же умные утюги с помощью камеры и искусственного интеллекта могут самостоятельно определять типы ткани для последующего выставления нужной температуры. [8]

Каналы передачи информации

Сохраненная информация может передаваться по сети Wi-Fi, далее информация отправляется с помощью роутера либо пользовательского мобильного устройства через Интернет.

Использование информации для идентификации пользователя

Если в утюг с Wi-Fi модулем взломают злоумышленники, то существует возможность поджога, дистанционным выставлением максимальной мощности утюга. Так же умный утюг может записывать с помощью камеры информацию вокруг и передавать по сети Wi-Fi, или же передавать данные GPS телефона владельца, что может говорить о местонахождении человека дома или вне него.

Продолжение ниже

Источник

 

[root]

Приборы контроля климата: кондиционер, очиститель воды, очиститель воздуха

Передаваемая информация

Умные приборы контроля климата располагают расписанием своего автоматического включения и выключения, данными о предустановках и предпочитаемыми пользователем климатическими условиями. Такие приборы так же могут передавать данные о температуре, влажности и атмосферном давлении как в помещении, так и вне его, о качестве и загрязненности воды определенными веществами, о составе и загрязненности воздуха.

Каналы передачи информации

Умные приборы контроля климата зачастую имеют возможность синхронизации с серверами производителя и пользовательским мобильным устройством через беспроводные сети Wi-Fi. Дополнительно, в некоторых случаях, такие устройства поддерживают настройку режимов своей работы с помощью отправки инфракрасного сигнала от пульта управления.

Использование информации для идентификации пользователя

Поддерживающий управление, синхронизацию и ведение статистики изменения климата через сеть, Интернет умный кондиционер может стать источником данных о климатической зоне пользователя. На базе данных, обрабатываемых очистителем воды можно вычислить местоположение пользователя, исходя из специфических свойств воды для конкретной местности, так же, как и на базе данных умного очистителя воздуха можно предположить живет ли пользователь в городе или в загородной местности. Дополнительно ко всему вышеописанному, как у предыдущих устройств, в умных устройствах контроля климата возможно определение поведенческих моделей пользователя на базе задаваемых им расписаний и времени включения и выключения устройств. [9]

Заключение

Получение вышеперечисленной информации может быть интерпретировано как вторжение в личную жизнь. Таким образом, умные устройства несут угрозу, собирая данные пассивно, без ведома пользователей и обрабатывая их в фоновом режиме. Такие ситуации могут создавать условия для возникновения угроз безопасности, называемых «профайлинг», что является серьезной проблемой для пользователей умных устройств. Результатом профайлинга могут стать ошибочные автоматические решения, нежелательная реклама и даже опасные для жизни ситуации. Эти проблемы подтверждают идею о том, что защита данных в любой системе умных устройств является одним из наиболее важных элементов, которые необходимо учитывать на самых ранних стадиях разработки умных систем.

Несмотря на то, что в текущий момент проводятся исследования по обеспечению безопасности данных о местоположении – большинство из них ориентированы на смартфоны, в то время как основной поток данных проходит через умные устройства – их датчики и камеры. [10]

Методы защиты конфиденциальной и персональной информации должны быть разработаны и приняты к применению как можно раньше для обеспечения безопасности и неприкосновенности частной жизни пользователей. К сожалению, иногда это нереализуемо из-за скорости развития умных устройств. Однако, в любом случае, ответственность за безопасность не может быть возложена исключительно на пользователей. Учитывая, что за основу работы умных устройств взят сбор и анализ данных пользователей для принятия решений, то методы защиты должны обеспечивать баланс между инновациями и безопасностью пользователей. В противном случае прогресс может быть затруднен, что будет невыгодно для общества, либо жизнь потребителей может оказаться под угрозой.

Литература

1. Пресс-релиз «AI со смыслом»: AI со смыслом Дата обращения: 11.01.2021
2. Колыбельников Александр Иванович Обзор технологий беспроводных сетей // Труды МФТИ. 2012. №2-14. URL: Я банан. (дата обращения: 11.01.2021).
3. Новохрестов Алексей Константинович, Конев Антон Александрович, Шелупанов Александр Александрович, Егошин Николай Сергеевич Модель угроз безопасности информации и ее носителей // Вестник ИрГТУ. 2017. №12 (131). URL: Я банан. (дата обращения: 11.01.2021).
4. Sriram Sami, Yimin Dai, Sean Rui Xiang Tan, Nirupam Roy, and Jun Han. 2020. Spying with your robot vacuum cleaner: eavesdropping via lidar sensors. Proceedings of the 18th Conference on Embedded Networked Sensor Systems. Association for Computing Machinery, New York, NY, USA, 354–367. DOI:https://doi.org/10.1145/3384419.3430781 (дата обращения: 15.01.2021)
5. Ren, Jingjing and Dubois, Daniel J. and Choffnes, David and Mandalari, Anna Maria and Kolcun, Roman and Haddadi, Hamed. 2019. Information Exposure for Consumer IoT Devices: A Multidimensional, Network-Informed Measurement Approach. Proc. of the Internet Measurement Conference (IMC). URL:IoT Information Exposure (IMC ’19) – Mon(IoT)r Research Group (дата обращения: 17.01.2021)
6. А. В. Волошко, Ю. С. Вишнявская Модернизация систем учета электропотребления с целью уменьшения коммерческих потерь электроэнергии // Энергосбережение. Энергетика. Энергоаудит. 2010. №11 (81). URL: Я банан. (дата обращения: 20.01.2021).
7. Лоднева Ольга Николаевна, Ромасевич Егор Павлович Анализ трафика устройств Интернета вещей // Современные информационные технологии и ИТ-образование. 2018. №1. URL: Я банан. (дата обращения: 20.01.2021).
8. Аверин Андрей Игоревич Интеллектуальное управление домом. «Умный дом» // European science. 2015. №4 (5). URL: Я банан. (дата обращения: 21.01.2021).
9. Маркеева Анна Валерьевна Интернет вещей (IoT): возможности и угрозы для современных организаций // Общество: социология, психология, педагогика. 2016. №2. URL: Я банан. (дата обращения: 21.01.2021).
10. Ким Евгений Олегович, Шин Артемий Андреевич Интернет вещей: перспективы применения // Вестник ЧелГУ. 2019. №3 (425). URL: Я банан. (дата обращения: 21.01.2021).

Источник

 

[Матушкин Андрей Николаевич]

Анализ конфиденциальной информации

Далее будут рассмотрены десять наиболее распространённые умные бытовые устройства и приведены сведения об обрабатываемой и передаваемой ими конфиденциальной информации, а также о том, как подобная информация может быть использована для идентификации человека.

Спасибо за интересную подборку статей!

 

[Детективное агентство Израиль.]

Что мы можем сделать против умных устройств ?

 

[Детективное агентство. Грузия.]

Умные устройства опасны в плохих руках

 

[Частный детектив. Армения. Ереван.]

Спасибо за информативную статью коллега.

 

[Детективное агентство Одесса]

А технологии не стоят на месте

 

[частный детектив. Узбекистан. Ташкент.]

По больше таких статей коллега!