Dieser Artikel wurde als E-Mail vom MIT empfangen, enthält aber neue Informationen zum Thema IoT-Forensik, (The Internet of Things (IoT)) d. h. zur Entdeckung, welche Daten auf Ihren Smart-Home-Geräten abgesaugt und gespeichert werden. Wenn Ihr Zuhause jemals zum Tatort wird, könnten all diese Daten extrahiert und analysiert werden und sich als schwerwiegend erweisen. Das sind genau die Gefahren, vor denen TN seit seiner Gründung gewarnt hat. ⁃ TN-Redakteur
Wissen Sie, wie viele mit dem Internet verbundene Geräte sich in Ihrem Haus befinden? Ich sicherlich nicht. Heutzutage könnte es fast alles sein: ein Thermostat, ein Fernseher, eine Glühbirne, eine Klimaanlage oder ein Kühlschrank. Aber dank einiger Gespräche, die ich in den vergangenen Wochen geführt habe, weiß ich, wie viele Daten sie produzieren und wie viele Menschen auf diese Daten zugreifen können, wenn sie es wollen. Ein Tipp: Es ist eine Menge.
Ich habe mit Leuten gesprochen, die in einem Bereich arbeiten, der sich IoT-Forensik nennt und in dem es im Wesentlichen darum geht, in diesen Geräten herumzuschnüffeln, um Daten und letztlich Hinweise zu finden. Obwohl sich die Strafverfolgungsbehörden und Gerichte in den USA nicht oft ausdrücklich auf Daten von IoT-Geräten beziehen, werden diese Geräte zu einem immer wichtigeren Bestandteil bei der Aufklärung von Fällen. Denn wenn sie an einem Tatort vorhanden sind, bergen sie Geheimnisse, die für das bloße Auge unsichtbar sein könnten. Geheimnisse wie der Zeitpunkt, an dem jemand das Licht ausschaltete, eine Kanne Kaffee kochte oder den Fernseher einschaltete, können bei den Ermittlungen von entscheidender Bedeutung sein.
Mattia Epifani ist eine solche Person. Er bezeichnet sich selbst nicht als Hacker, aber er ist jemand, an den sich die Polizei wendet, wenn sie Hilfe bei der Untersuchung benötigt, ob Daten aus einem Gegenstand extrahiert werden können. Er ist ein digitaler forensischer Analyst und Ausbilder am SANS Institute und hat mit Anwälten, der Polizei und Privatkunden auf der ganzen Welt zusammengearbeitet.
„Ich bin wie … besessen. Jedes Mal, wenn ich ein Gerät sehe, denke ich: Wie könnte ich von dort Daten extrahieren? Ich tue das natürlich immer an Testgeräten oder mit Genehmigung“, sagt Epifani.
Smartphones und Computer sind die gängigsten Geräte, die von der Polizei zur Unterstützung von Ermittlungen beschlagnahmt werden, aber laut Epifani können Beweise für ein Verbrechen von allen möglichen Orten stammen: „Es kann ein Standort sein. Es kann eine Nachricht sein. Es kann ein Bild sein. Es kann alles Mögliche sein. Vielleicht kann es auch die Herzfrequenz eines Benutzers sein oder die Anzahl der Schritte, die der Benutzer gemacht hat. Und all diese Dinge werden im Grunde auf elektronischen Geräten gespeichert.
Nehmen wir unter anderem einen Samsung-Kühlschrank. Epifani nutzte Daten von VTO Labs, einem Labor für digitale Forensik in den USA, um zu untersuchen, wie viele Informationen ein intelligenter Kühlschrank über seine Besitzer speichert.
VTO Labs hat das Datenspeichersystem eines Samsung-Kühlschranks zurückentwickelt, nachdem es das Gerät mit Testdaten gefüttert hatte, diese Daten extrahiert und eine Kopie der Datenbanken auf seiner Website zur Nutzung durch Forscher veröffentlicht. Steve Watson, der CEO des Labors, erklärte, dass dazu alle Orte gefunden werden mussten, an denen der Kühlschrank Daten speichern konnte, sowohl innerhalb des Geräts selbst als auch außerhalb, in Apps oder in einem Cloud-Speicher. Danach machte sich Epifani an die Arbeit, die Daten zu analysieren und zu organisieren und sich Zugang zu den Dateien zu verschaffen.
Was er fand, war eine wahre Fundgrube an persönlichen Daten. Epifani fand Informationen über Bluetooth-Geräte in der Nähe des Kühlschranks, Angaben zu Samsung-Benutzerkonten wie E-Mail-Adressen und heimische Wi-Fi-Netzwerke, Temperatur- und Geolokalisierungsdaten sowie stündliche Statistiken über den Stromverbrauch. Der Kühlschrank speicherte Daten darüber, wann ein Benutzer Musik über eine iHeartRadio-App abspielte. Dank der kleinen Kamera, die in den Kühlschrank eingebaut ist, konnte Epifani sogar Fotos von den Cola- und Snapple-Getränken in den Regalen des Kühlschranks abrufen. Überdies stellte er fest, dass der Kühlschrank noch viel mehr Daten speichern kann, wenn der Benutzer ihn über ein zentrales persönliches oder gemeinsames Familienkonto mit anderen Samsung-Geräten verbindet.
Nichts davon ist notwendigerweise geheim oder wird den Leuten nicht mitgeteilt, wenn sie dieses Kühlschrankmodell kaufen, aber ich hätte sicherlich nicht erwartet, dass ein Polizeibeamter – natürlich mit einem Durchsuchungsbefehl – mein hungriges Gesicht jedes Mal sehen könnte, wenn ich meinen Kühlschrank auf der Suche nach Käse öffne, wenn gegen mich ermittelt würde. Samsung hat auf unsere Anfrage nach einem Kommentar nicht geantwortet, aber das Unternehmen hält sich an die üblichen Praktiken in der Welt des IoT. Viele Geräte dieser Art greifen auf ähnliche Arten von Daten zu und speichern sie.
Laut Watson und Epifani müssen die Geräte nicht einmal besonders ausgeklügelt sein, um bei kriminalistischen Ermittlungen hilfreich zu sein.
Beide haben bereits an Geräten gearbeitet, die diskreter sind als intelligente Kühlschränke. Einmal untersuchte VTO Labs eine Platine aus einer Meeresboje, um herauszufinden, ob sie Daten über die Schiffsbewegungen von Drogenhändlern enthielt. Watson sagt, dass die Platine einen Satellitenkommunikationsanbieter und schließlich die Kontonummer eines Schmugglers enthielt.
Erschwerend zu den zahlreichen Sicherheits- und Datenschutzrisiken kommt hinzu, dass viele IoT-Geräte mit veralteten und damit weniger sicheren Betriebssystemen arbeiten, weil die Nutzer selten daran denken, sie zu aktualisieren. „Können Sie sich vorstellen, dass die Leute ihren Kühlschrank aktualisieren? Nein, das tun sie nicht“, sagt Epifani.
Dieses Problem wird sich noch verschärfen, wenn wir unsere Wohnungen mit immer mehr Geräten ausstatten, die mit dem Internet verbunden sind. Kürzlich erschien im Atlantic ein großartiger Artikel über die Daten, die intelligente Fernsehgeräte über ihre an die Couch gefesselten Zuschauer sammeln. Meine Kollegin Eileen Guo hat gezeigt, wie Roomba-Staubsauger invasive Bilder machen können, und hat untersucht, wie Daten über Menschen gesammelt werden, die diese Produkte testen.
Watson ist an sich nicht besonders besorgt darüber, dass die Regierung oder die Technologieunternehmen Sie über Ihren Thermostat ausspionieren. Er macht sich mehr Sorgen über die vielen Möglichkeiten, wie Ihre Daten von Datenmaklern verkauft und gesammelt werden.
„Das sind die Risiken, die die Leute nicht verstehen: Wenn mein Bett meinen Schlaf und meine Herzfrequenz aufzeichnet und dieses Unternehmen diese Informationen an eine Versicherungsgesellschaft verkauft, die feststellt, dass Sie jedes Mal, wenn Sie schlafen gehen, einen Beinahe-Herzinfarkt erleiden oder an Schlafapnoe oder was auch immer leiden“, sagt er.
„Je mehr die Technologie in unser Leben eindringt, desto mehr verlieren wir die Möglichkeit, ein gewisses Maß an Kontrolle darüber zu haben, wo die Daten hingehen, wie viele Daten gesammelt werden, wer sie in die Hände bekommt und was sie damit machen.