.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Technology >> Securitate >> Stiri si comunicate
Symantec analizează securitatea identităţii virtuale cuantificate
Entuziaștii tehnologiilor de monitorizare a stilului de viață din punct de vedere al activităților fizice, somnului, dispoziției sau alimentației, generează un val de date și informații personale prin intermediul dispozitivelor și aplicațiilor specializate care măsoară astfel de indicatori. Cât de securizate sunt însă aceste informații care reprezintă o componentă a identității virtuale a utilizatorilor și reflectă stilul de viață al acestora?
În fiecare zi, milioane de oameni din întreaga lume monitorizează și înregistrează în mod activ fiecare aspect din viața personală, de la gânduri, experiențe sau realizări, până la stilul de viață reflectat în activitatea fizică sau alimentația. Monitorizarea personală și cuantificarea anumitor aspecte din viața de zi cu zi, înglobate sub conceptul „Quantified Self”, generează implicit un volum considerabil de date și informații personale, transmise și stocate în diverse medii, iar securitatea acestor informații devine astfel esențială. Symantec a descoperit riscuri de securitate în cadrul unui număr semnificativ de dispozitive și aplicații de monitorizare personală, printre cele mai importante fiind faptul că toate dispozitivele purtate de utilizatori și aplicațiile folosite pentru monitorizarea activităților și performanțelor fizice sunt vulnerabile la acțiunile de localizare geografică.
Cercetătorii Symantec au dezvoltat un număr de dispozitive de scanare, folosind minicomputere Raspberry Pi, pe care le-au utilizat la evenimente sportive și în spații publice aglomerate și au descoperit că localizarea geografică a unei persoane este posibilă folosind această tehnologie. Totodată, Symantec a descoperit vulnerabilități în modalitățile de stocare și gestionare a datelor și informațiilor personale, precum parolele transmise sub formă de text sau sesiunile de autentificare defectuoase.
Cum funcționează sistemele de monitorizare a stilului de viață?
Persoanele care practică activități de monitorizare a stilului de viață folosesc dispozitive de tip brățări electronice, ceasuri inteligente, pandantive inteligente sau chiar obiecte vestimentare capabile să monitorizeze activitățile sportive, somnul sau alimentația. Aceste dispozitive conțin, de regulă, un număr de senzori, un procesor, memorie și o interfață de comunicare și permit colectarea, stocarea și transmiterea datelor și informațiilor către un alt computer pentru procesare și analiză.
Deși dispozitivele specializate sunt tot mai răspândite în toată lumea, smartphone-urile rămân probabil cel mai comun mod prin care oamenii monitorizează stilul de viață și activitățile fizice. Un smartphone modern dispune de o gamă generoasă de senzori care pot fi folosiți de diferite aplicații de monitorizare personală, iar utilizarea zilnică a smartphone-urilor, alături de proliferarea aplicațiilor gratuite de monitorizare, simplifică în mod notabil experiența utilizatorilor și permite adoptarea acestor procedee.
Pentru a adopta monitorizarea stilului de viață pe smartphone, utilizatorii trebuie doar să aleagă o aplicație din oferta diverselor magazine online de aplicații, să instaleze aplicația, să își creeze cont și să înceapă activitatea de monitorizare. La finalul fiecărei sesiuni, utilizatorii pot analiza datele și le pot salva pe un server din mediul cloud.
Cât de securizată este identitatea virtuală cuantificată a utilizatorilor?
Utilizarea soluțiilor de monitorizare personală implică transferul datelor către furnizori de servicii, în cloud, fiind dificil de stabilit cu exactitate dacă sunt luate toate măsurile de securitate și protecție a datelor personale și, în ansamblu, a intimității. Symantec a analizat industria monitorizării stilului de viață și mijloacele de securitate utilizate de furnizorii de dispozitive și aplicații, cercetare care stă la baza raportului „How safe is your Quantified Self?”.
Dispozitive pentru monitorizarea personală care detectează locația geografică
Orice dispozitiv de monitorizare personală poate fi localizat și urmărit prin protocol wireless.
Există multiple dispozitive de monitorizare a activității sportive disponibile pe piață. Aceste dispozitive dispun, în mod uzual de senzori care detectează mișcarea, dar majoritatea nu sunt concepute pentru detectarea locației geografice. Datele și informațiile colectate de aceste dispozitive necesită a fi sincronizate cu alte dispozitive sau cu un computer pentru a fi vizualizate. O metodă convenabilă pentru producătorii de astfel de dispozitive este folosirea tehnologiei Bluetooth Low Energy pentru a permite aparatelor să sincronizeze date în sistem wireless cu un smartphone sau computer. Cu toate acestea, există riscul ca dispozitivele să distribuie datele și informațiile către platforme care permit detectarea și localizarea sursei.
Pentru a testa modul în care astfel de dispozitive pot fi localizate, Symantec a dezvoltat dispozitive de scanare cu Bluetooth, folosind minicomputere Raspberry Pi și componente uzuale care se găsesc în magazine obișnuite de electronice – un adaptor Bluetooth 4.0, baterii, un card SD și software open source personalizat. Costul de producție al unui dispozitiv a fost de mai puțin de 75 de dolari, acesta putând fi construit de orice persoană cu un minimum de cunoștințe IT.
Symantec a instalat aceste scannere portabile în locuri publice aglomerate din Irlanda și Elveția pentru a le activa și utiliza spre o mai bună înțelegere a modului de funcționare al dispozitivelor de monitorizare personală. De asemenea, au fost instalate și la un eveniment sportiv de amploare pentru a monitoriza competitorii și progresul acestora în cadrul cursei. Scannerele funcționau în regim pasiv și nu au încercat să stabilească conexiuni cu niciun dispozitiv descoperit, ci numai să detecteze acele semnale transmise de dispozitive în spațiul undelor radio.
Testele Symantec indică faptul că dispozitivele întâlnite de scannere pot fi detectate, localizate și monitorizate prin intermediul informațiilor hardware unice pe care le transmit. Unele dispozitive (în funcție de configurație) permit interogare de la distanță, operațiune prin care informații precum numărul de identificare și alte caracteristici ale dispozitivului pot fi descoperite de un dispozitiv terț, de la o distanță redusă, fără să fie necesar contactul fizic cu dispozitivul vizat.
Rezultatele acestei cercetări indică faptul că producătorii acestor dispozitive (unii dintre ei chiar lideri de piață) nu au luat în considerare implicațiile de confidențialitate a datelor survenite în urma utilizării dispozitivelor de monitorizare a stilului de viață. Acest detaliu trecut cu vederea poate permite oricărei persoane capabile și dotate cu aparatura potrivită să detecteze dispozitivele de monitorizare și astfel să localizeze persoanele care le poartă.
De ce este acest lucru motiv de îngrijorare? Practic, este posibil ca hoții sau urmăritorii să folosească informațiile obținute prin detectare și localizare în scopuri ilicite.
Transmiterea datelor personale de monitorizare sub formă de text
20% dintre aplicații transmit datele personale ale utilizatorilor sub formă de text.
Multe dintre aplicațiile și serviciile de monitorizare personală se conectează la servere în cloud pentru a permite utilizatorilor să stocheze datele colectate pentru arhivare și analize ulterioare. Pe lângă simpla stocare a datelor privind activitățile utilizatorilor, unele servicii colectează o gamă largă de alte date personale precum data nașterii, starea maritală, adresă, fotografii și alte statistici personale. Pentru a preveni accesul neatorizat asupra datelor utilizatorilor, aceste servicii necesită conturi personale create și protejate prin intermediul numelui utilizatorilor și parolelor secrete generate de și pentru utilizatori.
Specialiștii Symantec semnalează faptul că o proporție inacceptabil de mare a acestor aplicații și servicii nu gestionează în mod sigur datele personale oferite de utilizatori, fie acestea nume de acces sau parole. Multe dintre aceste aplicații și servicii transmit datele și informațiile generate de utilizatori (inclusiv datele de înregistrare) fără a folosi tehnici de criptare a datelor, astfel fără a oferi protecție utilizatorilor de pericolele Internetului. Acest fapt permite atacatorilor interceptarea datelor și folosirea acestora în scopuri personale. Lipsa unui nivel de securitate reprezintă o omisiune serioasă și ridică întrebări privind modalitățile de gestionare a informației stocate pe serverele utilizate de aceste servicii.
De ce este acesta un motiv de îngrijorare? Transmiterea sub formă de text a informațiilor de înregistrare este problematică având în vedere faptul că majoritatea oamenilor au tendința de a reutiliza aceleași date de înregistrare pe mai multe website-uri. Astfel, detaliile de înregistrare pot fi furate dintr-un anumit serviciu și apoi folosite pe un alt serviciu pentru a obține acces asupra unor date mai sensibile de tipul conturilor de e-mail sau conturilor de shopping online.
Lipsa politicilor de confidențialitate
52% dintre aplicațiile examinate nu oferă politici de confidențialitate.
Aplicațiile și serviciile de monitorizare personală sunt concepute pentru a colecta și analiza informații de natură personală. De aceea, este considerat rezonabil și necesar prin lege în multe jurisdicții (exemplu – Online Privacy Protection Act 2003) ca producătorii și companiile care gestionează informații personale să pună la dispoziția utilizatorilor o politică de confidențialitate vizibilă și ușor de accesat. Este indicat ca politicile de confidențialitate să fie ușor de înțeles chiar și de către cei care nu întrețin o profesie în domeniul juridic, iar această politică de confidențialitate să fie disponibilă utilizatorilor înainte de a se înregistra pentru un anumit serviciu cu scopul de a oferi libertatea unei alegeri în cunoștință de cauză.
În ciuda importanței de a oferi o politică de confidențialitate, majoritatea aplicațiilor examinate nu dispun de una.
De ce este acesta un motiv de îngrijorare? Lipsa unei politici de confidențialitate este un posibil indicator al gradului de importanță pe care îl reprezintă securitatea serviciilor de monitorizare personală în etapele de dezvoltare și de distribuție. Este recomandat ca utilizatorii să considere esențiale aceste detalii înainte de a se înregistra pentru orice tip de servicii online.
„Scurgeri” neintenționate de date
Numărul maxim de domenii unice contactate de o singură aplicație este 14, iar media este 5.
Parerea ta conteaza: 
Asemanator
Construirea unei baze solide pentru securitatea cibernetică a soluțiilor dvs. video- Construirea unei baze solide pentru securitatea cibernetică a soluțiilor dvs. video
- Cluj Napoca devine centrul hacking-ului și securității cibernetice din Euopa Centrală și de Est
- ATEN: integrare superioară a resurselor IT, în pas cu revoluția AI
- Noul model de reziliență a datelor Zero Trust, conceput de experții IT în securitatea și protecția datelor
- 10 pași prin care ne protejăm compania de atacuri cibernetice
Alte articole scrise de Radu Ghitulescu
- Erasmus își reia dinamica ascendentă în România
- „No Time for Downtime“, modelul unui eveniment de referință
- Trasabilitatea alimentară, de la deziderat european la realități și nevoi locale
- Evoluții și provocări pe piața IT&C locală: MCID solicită sprijin, Cyberint anunță premiere, DNSC lansează avertizări
