Atak na domowy termostat (sic!) i problemy prywatności w internecie przedmiotów - takie czasy nastały!

, 09-08-2016, 10:13

Dwóch badaczy dokonało ataku na termostat, co teoretycznie pozwoliłoby na wyciągnięcie pieniędzy od właściciela. Nieco wcześniej Europejski Inspektor Ochrony Danych Osobowych wydał pewną ciekawą opinię o prywatności we współczesnym świecie. Co łączy te pozornie różne wydarzenia?

Przyjdzie taki dzień, kiedy pojawią się wirusy atakujące gniazdka elektryczne. Dziś możemy jedynie powiedzieć, że możliwe jest dokonanie ataku na domowy termostat. Tak! Termostat! Nowe urządzenia tego typu mogą łączyć się z siecią, a ich funkcje wybiegają poza zwykłe ustawianie temperatury w domu. 

Ha! Twój termostat jest nasz!

Brytyjscy badacze Andrew Tierney i Ken Munro zaprezentowali oprogramowanie ransomware, które umożliwia atakującemu przejęcie domowego termostatu i zażądanie okupu za jego odblokowanie. Zdjęcie poniżej (autorstwa Kena Mundro) mówi więcej niż tysiąc słów. 

Przejęty termostat
fot. Ken Munro

To osiągnięcie zostało zaprezentowane na konferencji Defcon w Las Vegas. Jak wyjaśnia Motherboard, widoczny termostat jest w praktyce małym komputerem z Linuksem, wyposażonym w gniazdo na kartę SD żeby użytkownik mógł wgrywać na niego swoje tapety. To właśnie gniazdo i wykorzystanie pewnego błędu w oprogramowaniu pozwoliły badaczom na zainstalowanie ransomware. Atakujący może nie tylko pozbawić kogoś możliwości korzystania z termostatu. Może także sterować temperaturą w domu! 

Zaprezentowany atak wymaga fizycznego dostępu do urządzenia (trzeba skorzystać z karty SD). Nie wydaje się bardzo groźny, ale sygnalizuje on problem, o którym Dziennik Internautów pisał już kilka razy od 2013 roku. Urządzenia z kategorii internetu przedmiotów (Internet of Things - IoT) często nie są tworzone z uwzględnieniem bezpieczeństwa. Oznacza to możliwość hakowania nie tylko termostatów, ale także domowego oświetlenia albo nawet toalety! Atak na toaletę to może być naprawdę śmierdząca sprawa.

Unijny regulator prywatności o Internecie Przedmiotów

IoT może być także ciekawym wyzwaniem z punktu widzenia prywatności. Zwrócił na to uwagę Europejski Inspektor Ochrony Danych Osobowych (EDPS) w wydanej niedawno opinii na temat rewizji dyrektywy o prywatności i łączności elektronicznej. W tej opinii, której treść w całości zamieszczamy pod tekstem, znalazł się cały rozdział na temat internetu rzeczy.

EDPS zauważył, że "internet przedmiotów" to w istocie "internet przedmiotów podłączonych do ludzi". W takim internecie wiele danych przesyła się automatycznie miedzy urządzeniami, ale gdzieś na końcu tego łańcuszka urządzeń jest człowiek, którego informacje dotyczą. Pojawia się potrzeba chronienia tych danych.  

- Fakt, że (urządzenia - red.) uruchamiają transfery danych i przekazy bez wyzwolenia ich przez użytkownika (lub nawet bez jego świadomości) nie może być powodem przyznawania mniejszej ochrony takim, często wrażliwym przekazom (...) EDPS rekomenduje, by nowe zapisy o ePrywatności jednoznacznie nadal obejmowały komunikację pomiędzy maszynami w kontekście Internetu Przedmiotów, niezależnie od typu sieci lub komunikacji używanej przez usługę - czytamy w opinii EDPS.

EDPS zasygnalizował też potrzebę uzyskiwania odpowiednich zgód od użytkownika, co nie zawsze jest tak oczywiste jak byśmy chcieli. 

W przyszłości termostaty mogą nie tylko ustawiać temperaturę w naszych domach. Będą też zawierać lub nawet przesyłać do innych podmiotów informację o zmianach w ustawieniach temperatury, z czego da się wyczytać kiedy przebywamy w domu. Nasze oświetlenie czy nawet liczniki prądu również będą mówić o naszych nawykach. Sensory w zegarku dadzą informację o naszym zdrowiu, podczas gdy auto będzie śledzić jak się przemieszamy. Czy to są problemy jutra? Owszem, ale prawo dotyczące tych rozwiązań jest wypracowywane dzisiaj. Również od dzisiaj producenci powinni zacząć myśleć o bezpieczeństwie. W przeciwnym razie będziemy musieli walczyć z problemami, których wagi jeszcze nie potrafimy dobrze ocenić. 

Poniżej, dla zainteresowanych, opinia EDPS

16-07-22 Opinion EPrivacy En

 

Czytaj: Więcej o internecie przedmiotów w DI


Komentuj na Facebooku
Komentarze
comments powered by Disqus
To warto przeczytać






fot. NTSB




  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Styczeń 2017»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.