Znate li koliko je uređaja povezanih s internetom u vašoj kući? Ja sigurno ne. Danas to može biti gotovo bilo što: termostat, TV, žarulja, klima uređaj ili hladnjak. Ali zahvaljujući nekim razgovorima koje sam vodio u proteklih nekoliko tjedana, znam koliko podataka proizvode i koliko ljudi može pristupiti tim podacima ako žele.
Razgovarao sam s ljudima koji rade u području koje se zove IoT forenzika, a to je u osnovi njuškanje po ovim uređajima kako bi se pronašli podaci i naposljetku tragovi. Iako se američki organi za provođenje zakona i sudovi često ne pozivaju posebno na podatke s IoT uređaja, ti uređaji postaju sve važniji dio rješavanja slučajeva. Jer kada su prisutni na mjestu zločina, čuvaju tajne koje bi mogle biti nevidljive golim okom. Tajne poput onih kada je netko ugasio svjetlo, skuhao lonac kave ili upalio televizor mogu biti presudne za istragu.
Mattia Epifani je jedna takva osoba. On sebe ne opisuje kao hakera, ali on je netko kome se policija obraća kada treba pomoć u istrazi mogu li se podaci izvući iz nekog predmeta. On je digitalni forenzički analitičar i instruktor na SANS institutu te je radio s odvjetnicima, policijom i privatnim klijentima diljem svijeta.
“Ja sam kao… opsjednut. Svaki put kad vidim uređaj pomislim: kako bih mogao iz njega izvući podatke? Naravno, uvijek to radim na testnoj opremi ili uz dopuštenje”, kaže Epifani.
Pametni telefoni i računala najčešći su uređaji koje policija zaplijeni kako bi pomogla istragama, ali prema Epifaniju, dokazi o zločinu mogu doći s bilo kojeg mjesta: “To može biti lokacija. To može biti poruka. To može biti slika. Može biti bilo što. Možda to može biti i broj otkucaja srca korisnika ili broj koraka koje je korisnik napravio. A sve su te stvari u osnovi pohranjene na elektroničkim uređajima.
Uzmimo između ostalih Samsungov hladnjak. Epifani je koristio podatke VTO Labsa, američkog laboratorija za digitalnu forenziku, kako bi proučio koliko informacija pametni hladnjak pohranjuje o svojim vlasnicima.
VTO Labs napravio je obrnuti inženjering sustava za pohranu podataka hladnjaka Samsung nakon što je u uređaj ubacio testne podatke, izdvojio te podatke i objavio kopiju baza podataka na svojoj web stranici za korištenje od strane istraživača. Steve Watson, izvršni direktor laboratorija, objasnio je da to uključuje pronalaženje svih mjesta na kojima bi hladnjak mogao pohraniti podatke, unutar samog uređaja i izvan njega, u aplikacijama ili u pohrani u oblaku. Nakon toga, Epifani je prionuo na posao analiziranja i organiziranja podataka te dobivanja pristupa datotekama.
Ono što je pronašao bila je prava riznica osobnih podataka. Epifani je pronašao informacije o Bluetooth uređajima u blizini hladnjaka, podatke o korisničkom računu Samsunga kao što su adrese e-pošte i kućne Wi-Fi mreže, podatke o temperaturi i geolokaciji te statistiku potrošnje električne energije po satu. Hladnjak je pohranio podatke o tome kada je korisnik puštao glazbu putem aplikacije iHeartRadio. Zahvaljujući maloj kameri ugrađenoj u hladnjak, Epifani je čak uspio dohvatiti fotografije cole i Snapple napitaka na policama hladnjaka. Također je otkrio da hladnjak može pohraniti puno više podataka ako ga korisnik poveže s drugim Samsung uređajima putem središnjeg osobnog ili zajedničkog obiteljskog računa.
Ništa od ovoga nije nužno tajno niti se ne dijeli s ljudima kada kupuju ovaj model hladnjaka, ali sigurno nisam očekivao da će policajac – s nalogom za pretres, naravno – moći vidjeti moje gladno lice svaki put kad odem kroz hladnjak u potrazi za otvorenim sirom ako sam pod istragom. Samsung nije odgovorio na upit za komentar, ali tvrtka slijedi standardnu praksu u IoT svijetu. Mnogi uređaji ove vrste pristupaju i pohranjuju slične vrste podataka.
Prema Watsonu i Epifaniju, uređaji čak i ne moraju biti posebno sofisticirani da bi bili korisni u kriminalističkim istragama.
Obojica su već radili na uređajima koji su diskretniji od pametnih hladnjaka. VTO Labs jednom je ispitao tiskanu ploču s morske plutače kako bi vidio sadrži li podatke o kretanju brodova trgovaca drogom. Watson kaže da je ploča sadržavala dobavljača satelitskih komunikacija i na kraju broj računa krijumčara.
Brojnim sigurnosnim i privatnim rizicima dodaje se činjenica da mnogi IoT uređaji rade na zastarjelim i stoga manje sigurnim operativnim sustavima jer korisnici rijetko razmišljaju o njihovom ažuriranju. “Možete li zamisliti ljude kako ažuriraju svoje hladnjake? kaže Epifani.
Ovaj problem će se samo pogoršavati kako svoje domove opremamo sve više i više uređaja povezanih s internetom. Atlantic je nedavno objavio sjajan članak o podacima koje pametni televizori prikupljaju o svojim gledateljima koji sjede na kauču. Moja kolegica Eileen Guo pokazala je kako Roomba usisavači mogu snimati invazivne slike i istražila kako se prikupljaju podaci o ljudima koji testiraju te proizvode.
Kao takav, Watson nije posebno zabrinut zbog toga što vas vlada ili tehnološke tvrtke špijuniraju putem vašeg termostata. On je više zabrinut zbog mnogih načina na koje se vaši podaci prodaju i prikupljaju od strane posrednika podataka.
“Ovo su rizici koje ljudi ne razumiju: ako moj krevet prati moje spavanje i broj otkucaja srca, a ova tvrtka prodaje te informacije osiguravajućem društvu, koje određuje da ćete svaki put kad zaspite imati blizu -srčani udar ili pate od apneje za vrijeme spavanja ili bilo čega”, kaže.
“Kako tehnologija napada naše živote, gubimo mogućnost da imamo određenu razinu kontrole nad time kamo podaci idu, koliko se podataka prikuplja, tko ih se dočepa i što s njima radi.
