‘Akıllı evlerde’ nesnelerin internetinin karanlık yüzü

Yerel ağlarda, evimizdekiler, cihazları birbirine bağlayan ve birbirine bağlayanlar, ağ protokolleri (bu cihazların yerel ağ üzerinde kendi aralarında iletişim kurmak ve bilgi alışverişinde bulunmak için kullandıkları mekanizmalar) bu ilişkiyi çok basit hale getirmeye yöneliktir. Eve varırsınız, Wi-Fi’ye bir şey bağlarsınız ve hepsi bu… ancak yıllardır güncellenmeyen bir protokol ekosistemi ile. Sonuç: mahremiyetimizi etkileyebilecek veri yönetimindeki boşluklar.

“Yerel ağdaki IoT cihazları tarafından kullanılan protokoller, kullanıcının izni veya bilgisi olmadan kötü niyetli kişiler tarafından veya ticari amaçlarla kullanılabilecek hassas bilgileri açığa çıkarır.” Bu, Imdea Networks ve Northeastern Üniversitesi liderliğindeki uluslararası bir araştırmacı ekibinin, NYU Tandon Mühendislik Okulu, Madrid Carlos III Üniversitesi, Imdea Software, Calgary Üniversitesi ve Uluslararası Bilgisayar ile işbirliği içinde yaptığı araştırmalarla kanıtlanmıştır. Bilim Enstitüsü.

“Akıllı evlerde opak ve teknik açıdan karmaşık Nesnelerin İnterneti (IoT) cihazlarının artan yaygınlığının yarattığı” güvenlik ve gizlilik sorunlarına ilişkin öncü bulguları ortaya koyan kapsamlı bir çalışma.

‘Olduğu Zaman Odada: Akıllı Evlerde Yerel İletişimi ve Tehditleri Belirlemek’ başlıklı bu çalışma, bu hafta Montreal’de (Kanada) düzenlenen ACM İnternet Ölçüm Konferansı’nda (ACM IMC’23) sunuldu. Makale, ilk kez 93 IoT cihazı ve mobil uygulama arasındaki yerel ağ etkileşimlerinin tüm ayrıntılarını ele alıyor ve yerel ağlarda güvenliğe ve gizliliğe yönelik üzerinde çalışılmamış çok sayıda tehdidin gerçek dünyadaki etkilerini ortaya koyuyor.

sinsi varlık

Araştırmanın ortak yazarının belirttiği gibi Narseo Vallina-RodriguezImdea Networks’te doçent ve startup AppCensus’un kurucu ortağı: “Yan kanal, hassas verilere dolaylı olarak erişmenin biraz sinsi bir yoludur. Örneğin, Android uygulama geliştiricilerinin izin almak ve coğrafi konum gibi verilere erişmek için sistem izinlerini talep etmesi gerekiyor…” Ancak durumun böyle olmadığını doğruladılar: “Bazı ‘casus uygulamaların’ ve reklam şirketlerinin yerel ağ protokollerini kötüye kullanma Kullanıcının haberi olmadan bu hassas bilgilere sessizce erişmek. “Yapmaları gereken tek şey, UPnP gibi standart ağ protokollerini kullanarak yerel ağda konuşlandırılan diğer IoT cihazlarına nazikçe sormak.”

Juan TapiadorUC3M Bilgisayar Mühendisliği profesörü ve aynı zamanda çalışmanın ortak yazarı, “bir mobil uygulamanın, cihazlarınızı tanımlayarak bilgileri ticari amaçlarla kullanabilen (üretici olmayan) üçüncü taraf bileşenlere sahip olabileceğine dair kanıtları vurgulama konusunda hemfikirdir.” bu da bir adım daha ileri gitmek anlamına geliyor. Daha iyi profil oluşturma.

Sosyoekonomik profil, cihazların türü, ne kadar süre kullanıldıkları vb. ile ortaya çıkarılabilir, böylece araştırmacılar yaptıkları işin uygunluğunun farkında olur: «Çalışmamızın metodolojisi kapsamında ilgili acentelerle temasa geçtik, değil sadece bulguları doğrulamak için değil, aynı zamanda bu sorunların etkisini en aza indirmek için. Dolayısıyla “bu protokollerin sorumlular tarafından güncellenmesi ve doğru konfigürasyonla bu veri sızıntılarının önlenmesi” gerekiyor.

Gizliliğimiz adına bu protokol güncellemesi uygulanırken, AEPD (İspanya Veri Koruma Ajansı) bize mevcut yasal çerçeveyi hatırlatıyor ve web sitesinde ‘Evdeki Nesnelerin İnternetinin Riskleri’ ve ‘Evdeki Nesnelerin İnternetinin Riskleri’ gibi iletişimlere yer veriyor. ‘Nesnelerin İnternetinin güvenli kullanımına yönelik öneriler’.

(Bu arada, soruşturmaları nedeniyle Vallina-Rodríguez ve Tapiador’a birden fazla kez ödül veren) kurum, “veri denetleyicilerinin verileri uygulaması gerektiğini belirten Genel Veri Koruma Yönetmeliği’nin (RGPD) önemine dikkat çekiyor.” Varsayılan ve tasarım gereği koruma önlemleri. Ve bir niyet beyanı da ekliyor: “Veri denetleyicisi, varsayılan olarak yalnızca işlemenin belirli amaçlarının her biri için gerekli olan kişisel verilerin işlenmesini sağlamak için uygun teknik ve organizasyonel önlemleri uygulayacaktır.”

Güvenli bir şekilde

Javier ZubietaAmetic Siber Güvenlik Komisyonu (İspanya’daki dijital endüstri sektörünü temsil eden dernek) başkanı, uygun olduğu durumlarda ve genel alandan (gizlilik-güvenlik) aşağıdaki gibi çerçeve mevzuatın varlığının önemine dikkat çekiyor: Siber Dayanıklılık Yasası (CRA), “Bu, AB’nin başarılı siber saldırıların ana nedenlerinden biriyle mücadele etme konusundaki ilgisini gösteriyor.”

Zubieta bu isteğini vurguluyor: “Herhangi bir dijital unsurun siber güvenlik düzeyinin hem tasarımında, geliştirilmesinde, konfigürasyonunda, kurulumunda hem de sonraki güncellemelerinde artırılmasıyla, hem tüketicilerin hem de şirketlerin güveninde bir artış elde edilir. Bunları satın alırken elemanları ve bunların güvenlik gereksinimlerine göre uygun şekilde seçilmesi.

Javier Fernández UrdinguioBeDisruptive’in Ürün ve Hizmetler direktörü, kendi adına şu yorumu yapıyor: “IoT cihazları ve ‘Akıllı Evler’ veya diğer tıbbi cihazlar (IoMT) hakkında konuştuğumuzda, ister özel ister genel olsun bir ağ üzerinden bağlı veya hiper bağlantılı cihazlardan bahsediyoruz . Herhangi bir güvenlik açığı, ağ üzerinden iletilen bilgilerin yanı sıra, cihazın işlediği özel bilgileri de riske atabilir. Bu riskler (devam ediyor uzman) akıllı bir evdeki entegre ve bağlantılı sensörler aracılığıyla kullanıcıların gizliliği ve güvenliğiyle yakından ilgilidir: mikrofonlar, kameralar, ev otomasyon arayüzleri vb.

Brice CorrieuUnaBiz İspanya çözüm yöneticisi, kendi durumunda Sigfox çözümünün altını çiziyor: “İletim sırasında verileri korumak için verileri şifreleyen ve cihazların kimliğini doğrulamak için kimlik doğrulamayı kullanan bir IoT ağı sağlamak. “Küçük miktarlarda veri göndererek müdahalelere maruz kalmayı azaltıyor.” İletileri günlük 12 bayt ve 140 iletiyle sınırlayan “potansiyel olarak savunmasız bilgileri kısıtlayan” bir süreç. Her cihazın kimlik doğrulama anahtarı benzersizdir; bu, bir cihazın kimlik doğrulama güvenlik anahtarının tehlikeye atılmasının diğer cihazların güvenliğini etkilemediği anlamına gelir.

Gizlilik kültü

Santiago Cordero Puentes, Vass’ta Altyapı ve SecDevOps Direktörü, Kendi adına, teknoloji sektörünün ve düzenleyicilerin evdeki bilgisayar ve iletişim güvenliğine odaklanması gerektiğini vurguluyor. “Bu, (kendi yorumuna göre) dünya çapında büyük bir sorundur ve bu, endüstrinin bu konuda mutabakata varılmış kurallar olmaksızın büyümesine yol açmıştır. Bir ev IoT cihazının, işlevini yerine getirmek için minimum teknolojiye sahip olduğu anlaşılmalıdır; dolayısıyla güvenliğin kendisi, örneğin birlikte çalıştıkları yazılımın periyodik olarak güncellenmesini kapsamayan bazı temel güvenlik önlemlerinin ötesinde bir öncelik değildir. sürekli ve zorunlu olarak yapılmalıdır.

Cihazlar bir yana, tavsiyelerin ve potansiyel risklerin ötesinde “kişinin ‘kendini korumasının’ dikkate alınmasının” öneminin altını çiziyor. Bunu düzenlemenin ve bunları güvenli ve kolay bir şekilde yönetecek araçlar oluşturmanın zamanı geldi.

Bu arada, Vallina-Rodríguez’in özetlediği gibi, çalışmadan sorumlu olanlar topluma teknolojik transferden paylarına düşeni zaten elde etmiş durumdalar: “Birçok üretici, ürünlerinin yeni sürümlerini piyasaya sürerek ev güvenliğinin mahremiyetindeki riskleri zaten fark etti. cihaz verilerinin meşru olmayan amaçlarla yakalanmaması. Ayrıca, bu risklerin oluşmasını önlemek için bu risklerin yeni ağ protokollerinin standartlaştırılmasına odaklanan tartışmalara yükseltilmesi gerektiğinin farkına vardılar.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir