Technology >> Securitate >> Stiri si comunicate

Studiu Symantec: Cat de securizata este identitatea virtuala cuantificata a utilizatorilor?

Luiza Sandu

07 August 2014

Entuziastii tehnologiilor de monitorizare a stilului de viata din punct de vedere al activitatilor fizice, somnului, dispozitiei sau alimentatiei, genereaza un val de date si informatii personale prin intermediul dispozitivelor si aplicatiilor specializate care masoara astfel de indicatori. Cat de securizate sunt insa aceste informatii care reprezinta o componenta a identitatii virtuale a utilizatorilor si reflecta stilul de viata al acestora?

In fiecare zi, milioane de oameni din intreaga lume monitorizeaza si inregistreaza in mod activ fiecare aspect din viata personala, de la ganduri, experiente sau realizari, pana la stilul de viata reflectat in activitatea fizica sau alimentatia. Monitorizarea personala si cuantificarea anumitor aspecte din viata de zi cu zi, inglobate sub conceptul „Quantified Self”, genereaza implicit un volum considerabil de date si informatii personale, transmise si stocate in diverse medii, iar securitatea acestor informatii devine astfel esentiala. Symantec a descoperit riscuri de securitate in cadrul unui numar semnificativ de dispozitive si aplicatii de monitorizare personala, printre cele mai importante fiind faptul ca toate dispozitivele purtate de utilizatori si aplicatiile folosite pentru monitorizarea activitatilor si performantelor fizice sunt vulnerabile la actiunile de localizare geografica.

Cercetatorii Symantec au dezvoltat un numar de dispozitive de scanare, folosind minicomputere Raspberry Pi, pe care le-au utilizat la evenimente sportive si in spatii publice aglomerate si au descoperit ca localizarea geografica a unei persoane este posibila folosind aceasta tehnologie. Totodata, Symantec a descoperit vulnerabilitati in modalitatile de stocare si gestionare a datelor si informatiilor personale, precum parolele transmise sub forma de text sau sesiunile de autentificare defectuoase.

Cum functioneaza sistemele de monitorizare a stilului de viata?
Persoanele care practica activitati de monitorizare a stilului de viata folosesc dispozitive de tip bratari electronice, ceasuri inteligente, pandantive inteligente sau chiar obiecte vestimentare capabile sa monitorizeze activitatile sportive, somnul sau alimentatia. Aceste dispozitive contin, de regula, un numar de senzori, un procesor, memorie si o interfata de comunicare si permit colectarea, stocarea si transmiterea datelor si informatiilor catre un alt computer pentru procesare si analiza. Desi dispozitivele specializate sunt tot mai raspandite in toata lumea, smartphone-urile raman probabil cel mai comun mod prin care oamenii monitorizeaza stilul de viata si activitatile fizice. Un smartphone modern dispune de o gama generoasa de senzori care pot fi folositi de diferite aplicatii de monitorizare personala, iar utilizarea zilnica a smartphone-urilor, alaturi de proliferarea aplicatiilor gratuite de monitorizare, simplifica in mod notabil experienta utilizatorilor si permite adoptarea acestor procedee.
Pentru a adopta monitorizarea stilului de viata pe smartphone, utilizatorii trebuie doar sa aleaga o aplicatie din oferta diverselor magazine online de aplicatii, sa instaleze aplicatia, sa isi creeze cont si sa inceapa activitatea de monitorizare. La finalul fiecarei sesiuni, utilizatorii pot analiza datele si le pot salva pe un server din mediul cloud.

Cat de securizata este identitatea virtuala cuantificata a utilizatorilor?
Utilizarea solutiilor de monitorizare personala implica transferul datelor catre furnizori de servicii, in cloud, fiind dificil de stabilit cu exactitate daca sunt luate toate masurile de securitate si protectie a datelor personale si, in ansamblu, a intimitatii. Symantec a analizat industria monitorizarii stilului de viata si mijloacele de securitate utilizate de furnizorii de dispozitive si aplicatii, cercetare care sta la baza raportului „How safe is your Quantified Self?”.
Exista multiple dispozitive de monitorizare a activitatii sportive disponibile pe piata. Aceste dispozitive dispun, in mod uzual de senzori care detecteaza miscarea, dar majoritatea nu sunt concepute pentru detectarea locatiei geografice. Datele si informatiile colectate de aceste dispozitive necesita a fi sincronizate cu alte dispozitive sau cu un computer pentru a fi vizualizate. O metoda convenabila pentru producatorii de astfel de dispozitive este folosirea tehnologiei Bluetooth Low Energy pentru a permite aparatelor sa sincronizeze date in sistem wireless cu un smartphone sau computer. Cu toate acestea, exista riscul ca dispozitivele sa distribuie datele si informatiile catre platforme care permit detectarea si localizarea sursei.

Pentru a testa modul in care astfel de dispozitive pot fi localizate, Symantec a dezvoltat dispozitive de scanare cu Bluetooth, folosind minicomputere Raspberry Pi si componente uzuale care se gasesc in magazine obisnuite de electronice – un adaptor Bluetooth 4.0, baterii, un card SD si software open source personalizat. Costul de productie al unui dispozitiv a fost de mai putin de 75 de dolari, acesta putand fi construit de orice persoana cu un minimum de cunostinte IT.
Symantec a instalat aceste scannere portabile in locuri publice aglomerate din Irlanda si Elvetia pentru a le activa si utiliza spre o mai buna intelegere a modului de functionare al dispozitivelor de monitorizare personala. De asemenea, au fost instalate si la un eveniment sportiv de amploare pentru a monitoriza competitorii si progresul acestora in cadrul cursei. Scannerele functionau in regim pasiv si nu au incercat sa stabileasca conexiuni cu niciun dispozitiv descoperit, ci numai sa detecteze acele semnale transmise de dispozitive in spatiul undelor radio.

Testele Symantec indica faptul ca dispozitivele intalnite de scannere pot fi detectate, localizate si monitorizate prin intermediul informatiilor hardware unice pe care le transmit. Unele dispozitive (in functie de configuratie) permit interogare de la distanta, operatiune prin care informatii precum numarul de identificare si alte caracteristici ale dispozitivului pot fi descoperite de un dispozitiv tert, de la o distanta redusa, fara sa fie necesar contactul fizic cu dispozitivul vizat.
Rezultatele acestei cercetari indica faptul ca producatorii acestor dispozitive (unii dintre ei chiar lideri de piata) nu au luat in considerare implicatiile de confidentialitate a datelor survenite in urma utilizarii dispozitivelor de monitorizare a stilului de viata. Acest detaliu trecut cu vederea poate permite oricarei persoane capabile si dotate cu aparatura potrivita sa detecteze dispozitivele de monitorizare si astfel sa localizeze persoanele care le poarta.

De ce este acesta un motiv de ingrijorare? Practic, este posibil ca hotii sau urmaritorii sa foloseasca informatiile obtinute prin detectare si localizare in scopuri ilicite.20% dintre aplicatii transmit datele personale ale utilizatorilor sub forma de text.
Multe dintre aplicatiile si serviciile de monitorizare personala se conecteaza la servere in cloud pentru a permite utilizatorilor sa stocheze datele colectate pentru arhivare si analize ulterioare. Pe langa simpla stocare a datelor privind activitatile utilizatorilor, unele servicii colecteaza o gama larga de alte date personale precum data nasterii, starea maritala, adresa, fotografii si alte statistici personale. Pentru a preveni accesul neatorizat asupra datelor utilizatorilor, aceste servicii necesita conturi personale create si protejate prin intermediul numelui utilizatorilor si parolelor secrete generate de si pentru utilizatori.

Specialistii Symantec semnaleaza faptul ca o proportie inacceptabil de mare a acestor aplicatii si servicii nu gestioneaza in mod sigur datele personale oferite de utilizatori, fie acestea nume de acces sau parole. Multe dintre aceste aplicatii si servicii transmit datele si informatiile generate de utilizatori (inclusiv datele de inregistrare) fara a folosi tehnici de criptare a datelor, astfel fara a oferi protectie utilizatorilor de pericolele Internetului. Acest fapt permite atacatorilor interceptarea datelor si folosirea acestora in scopuri personale. Lipsa unui nivel de securitate reprezinta o omisiune serioasa si ridica intrebari privind modalitatile de gestionare a informatiei stocate pe serverele utilizate de aceste servicii.Transmiterea sub forma de text a informatiilor de inregistrare este problematica avand in vedere faptul ca majoritatea oamenilor au tendinta de a reutiliza aceleasi date de inregistrare pe mai multe website-uri. Astfel, detaliile de inregistrare pot fi furate dintr-un anumit serviciu si apoi folosite pe un alt serviciu pentru a obtine acces asupra unor date mai sensibile de tipul conturilor de e-mail sau conturilor de shopping online.

52% dintre aplicatiile examinate nu ofera politici de confidentialitate. Aplicatiile si serviciile de monitorizare personala sunt concepute pentru a colecta si analiza informatii de natura personala. De aceea, este considerat rezonabil si necesar prin lege in multe jurisdictii (exemplu – Online Privacy Protection Act 2003) ca producatorii si companiile care gestioneaza informatii personale sa puna la dispozitia utilizatorilor o politica de confidentialitate vizibila si usor de accesat. Este indicat ca politicile de confidentialitate sa fie usor de inteles chiar si de catre cei care nu intretin o profesie in domeniul juridic, iar aceasta politica de confidentialitate sa fie disponibila utilizatorilor inainte de a se inregistra pentru un anumit serviciu cu scopul de a oferi libertatea unei alegeri in cunostinta de cauza.