Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Vom Thema 'Internet of Things' ist es nicht weit zu den Themen Wearables/Self-Tracker und zu Google Glas (jeweils an anderer Stelle mehr dazu).

 

 

Internet of Things (IoT), Smart Home, Home Automation, Smart City und "Smart Everything"

Was ist das besondere am Internet of Things?

Internet of Things ist ein neues Schlagwort, das bezeichnet, dass in der Zukunft fast alle Geräte, auch die mechanischen Haushaltsgeräte wie Waschmaschine und Kühlschrank, Zugang zum Internet haben werden. Dies wird entweder direkt mittels IPv6 sein oder indirekt über eine WLAN Verbindung zum Router in der Wohnung. Die Nutzung der Geräte erfolgt dann z.B. mittels Smartphone Apps und kann aus der Ferne geschehen. Hier eine Definition von "Internet of Things" von der SAP-Website:

    “A world where physical objects are seamlessly integrated into the information network, and where physical objects can become active participants in business processes. Services are available to interact with these 'smart objects' over the Internet, query, and change their state and any information associated with them.”

An anderer Stelle diskutiere ich noch andere Probleme durch die allgegenwärtige Vernetzung: SCADA und ICS, da geht es um die Computer-Steuerung von Industrieanlagen. Mein Artikel zu Stuxnet zeigt, was dort bei Angriffen alles möglich ist.

In diesem Artikel wird der privaten Nutzer, d.h. Smart Home, Home Automation, Smart City und "Smart Everything" behandelt. Weitere Spezialfälle sind Smart Meter und Smart Grid und vernetzte Autos.

Sicherheitsexperten sind sehr beunruhigt über diese Entwicklung. Problematisch ist dies in Bezug auf die Verletzungen der Privatsphäre und aber auch die digitale und physische Sicherheit. Die bisherige Erfahrung zeigt, dass die Entwickler von Geräten sehr schlecht darin sind, diese gegen unbefugte Nutzung zu sichern. Beispiele sind die Manipulation von Autos, medizinischen Geräten (IMDs) wie Herzschrittmachern, Insulinpumpen, u.ä. bei denen gravierende Sicherheitslücken gezeigt wurden, ebenso Smartmeter. Auch für Steuerungen von Heizungen, Beleuchtung, etc. konnten unbefugte Zugriffe demonstriert werden. Auch wenn dies evtl. vergleichsweise harmlos klingt, so ist doch ein Einbrecher, der in der Lage ist, von außen alle Lichter zu kontrollieren, auch bei seinem physischen Angriff von Vorteil.

Zusätzlich verraten natürlich alle diese Dinge über ihren Status Informationen über den Besitzer, oder dringen wie Webcams direkt in die Privatsphäre ein wenn die Geräte öffentlich erreichbar sind, was ja beim Einsatz als Nannycam sehr gewünscht ist.

Zum Thema Aktualisieren der Software gibt es hier einen Artikel aus 2015: 30 Minuten für das Patchen einer intelligenten Lampe - wenn es denn überhaupt möglich ist und klappt und nicht, wie im nächsten Link, das Gerät gleich hin ist und der Techniker kommen muss (sofern noch Garantie besteht): Software-Update legt LG-Fernseher lahm.

Ein weiterer Effekt wird die vorzeitige Alterung (Obsoleszenz) die dann eintritt, wenn das Gerät zwar noch einwandfrei funktioniert (bei Waschmaschinen und Kühlschränken sollten das 10 Jahre sein), aber eine veraltete Betriebssystemversion enthält und daher keine Sicherheitspatches mehr bekommen kann und dadurch verwundbar wird und (an sich) ersetzt gehört. Ein Beispiel für den Sicherheitsverlust durch fehlende Sicherheitspatches ist Android, bei denen die Hälfte der Geräte auf Grund der Zerklüftung der Anbieterlandschaft (Google --> Hardware Hersteller wie Samsung, etc. --> Telekoms) mindestens 2 Jahre keine Sicherheitsupdates bekommen hat.

Daher müssten viele Geräte entweder vorzeitig entsorgt werden oder von den Netzen getrennt werden müssen (sofern dann weiterhin eine Nutzung möglich ist, d.h. sofern sie überhaupt noch einen mechanischen Einschalter haben). Das Trennen von den Netzen ist z.B. bei einem zukünftigten PKW gar nicht mehr möglich, ab Oktober 2015 muss eCall verpflichtend in allen Automodellen in der EU eingebaut werden. Wenn dann dafür keine Sicherheitspatches zur Verfügung stehen, so können schlimmstenfalls Unbefugte in die Steuerung des Wagens eindringen.

 

 

Eine sehr beeindruckende "near-future fiction" stellt einen Cyberangriff auf New York dar. Der Artikel hat 2 Ebenen, einmal wird fiktional gezeigt, wie jeweils ein bestimmter Angriff zu einer Verstärkung des Chaos in NY führt, auf der zweiten Ebene kann die Leserin nachlesen, welchem realen Ereignis der jeweilige Angriff nachempfunden ist.

 

Die schlechte Nachricht: Alles was im Netz erreichbar ist, kann auch gehackt werden

Ab 2014 kommen die schlechte Nachrichten in der Fachpresse immer dichter: Fridge hacked. Car hacked. Next up, your LIGHT BULBS.

HP hat viele der Dinge untersucht, die mit sog. Intelligenz mit anderen Geräten, häufig im Internet kommunizieren. Leider sind bei fast alles dieser Geräte drastische Sicherheitsprobleme zu finden. Hier dann eine Artikelserie The Insecurity of Things. Die Autoren zeigen auf einer recht technischen Ebene, wie sie systematisch die elektronischen Geräte in ihrem Haushalt als Hacker übernommen haben, und dabei sogar Zugriff auf ALLE Geräte des Herstellers bekamen, indem sie die Wartungsschnittstellen ausnutzen konnten oder entdeckten, dass alle Geräte des Hersteller mit dem selben Passwort gesichert sind. Hier der 2. Teil der Serie. Und noch ein langer und recht technischer Artikel dazu: How I hacked my home.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Eine Studie von Symantec zeigt, dass ein sehr großer Teil der self-tracking wearables extrem unsicher programmiert ist: keine verschlüsselten Datenverbindungen ins Internet, Klartext-Übermittlung der Passworte, und ähnliche Probleme.

Das Bayrische Landesamt für Datenschutz hat in einer groß angelegten Aktion aktuelle Smart-TVs auf Sicherheit und Datenschutz untersucht: Prüfbericht: Smart-TVs sind Datenschleudern. Die Hersteller setzen Datenschutzprinzipien technisch nur rudimentär um.

2015:
HP hat sich jetzt den IoT-Spezialfall Home Security angesehen. Ihre Zusammenfassung ist If you can monitor your house across the web, so can everyone else. Von den 10 getesteten Systemen hat keines die Tests bestanden, alle boten möglichen Einbrechern ausreichend Schwachstellen um das System auszuhebeln.

SEC Consult untersuchte 2015 eine große Zahl von Geräten mit eingebauten Webservern. Webserver sind heute fast überall eingebaut damit die Geräte leicht zu administrieren sind, auch ihr WLAN-Router, jede Internet-Kamera und ähnliches enthält einen solchen. Der Artikel House of Keys: Industry-Wide HTTPS Certificate and SSH Key Reuse Endangers Millions of Devices Worldwide zeigt, dass eine große Zahl dieser Geräte immer den gleichen Server, inklusive den gleichen geheimen Schlüsseln eingebaut hat. Diese Schlüssel sind öffentlich, denn von den Hersteller-Websites lässt sich die Firmware leicht herunterladen. 580 unterschiedliche Schlüssel verteilen sich auf 9% der Geräte im Internet. Dies sind viele Millionen Geräte, die nur darauf warten, übernommen zu werden.

If you can monitor your house across the web, so can everyone else.

Eine Glosse von Mat Honan stellt sich das well-connected Eigenheim im Jahr 2022 vor. Es geht dabei unter anderem um die Auswirkungen des Überalterungseffekts und der fehlenden Möglichkeit, zu akuteller Software zu wechseln wenn die andere angreifbar wird.

Ende 2015:
Mattel bringt eine Barbie-Puppe mit Mikrophon und Lautsprecher auf den Markt, die Gespräche mit Kindern führt, indem sie die Äußerungen der Kinder in die Cloud lädt und dort analysiert. An anderer Stelle mehr zu Hello Barbie und was daran alles gruselig ist.

Zur gleichen Zeit sieht Bruce Schneier eine neue Stufe des Gruselns erreicht, weil die Geräte hinter unserem Rücken miteinander über uns reden: The Internet of Things That Talk About You Behind Your Back. Es geht darum, dass Firmen wie SilverPush daran arbeiten, auch Geräte die gar nicht im Internet sind, dazu zu bringen, Details über uns zu verraten. Dies geschieht z.B. indem die Geräte hochfrequente Töne aussenden, die dann von einer Smartphone-App erkannt und weitergeleitet werden. Beispiele sind Werbungsschaltungen im Fernseher, die über die hochfrequenten Töne einer App mitteilen, dass diese eine Werbung eben gesehen wurde. Schneier fordert, dass solche Methoden bei denen keinerlei Zustimmung gegeben wurde, verboten werden.

2015 kommen immer mehr Meldungen dieser Art: Smart Home: Hersteller Wink legt Steuerzentralen in den Wohnungen der Kunden lahm. Die Kunden können die Geräte einschicken.

April 2016
Firma SEC Consult hat eine umfangreiche Studie zur Sicherheit von in Deutschland verkäuflichen Smart Home Komponenten durchgeführt: SEC Consult Study on Smart Home Security in Germany - a first silver lining on the horizon of IoT? Der Artikel gibt einen guten Überblick über den grundsätzlichen Aufbau solcher Lösungen und zeigt dann, dass es deutliche Verbesserungen bei der Sicherheit fast aller Lösungen gibt. Der Silberstreifen am Horizont ist, dass einige Systeme die im letzten Jahr durchgefallen waren, dieses Jahr bereits besser abschneiden.

Mai 2016
Ein Interview mit dem Entwickler von Shodan, der Suchmaschine für das Internet of Things: I never imagined a nuclear plant’s control system being online.

Ebenfalls im Mai 2016 eine Studie: Earlence Fernandes, Jaeyeon Jung, and Atul Prakash, "Security Analysis of Emerging Smart Home Applications. Und ein Artikel dazu Samsung Smart Home flaws let hackers make keys to front door.

 

 

Neues Problem im Herbst 2016:

Millionen von gekaperten IoT-Geräten werden als Angriffsarmee genutzt

Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (dDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere.

Der Artikel hier listet einige der aktuell betroffenen Geräte: Wer die Hersteller des IoT-DDoS-Botnets sind. Hauptproblem scheint zu sein, dass diese Geräte mit einem Standard-Benutzername mit öffentlich bekanntem Passwort im Netz erreichbar sind.

Aber das Problem ist noch viel größer: Cisco schätzt, dass es heute bereits 15 Milliarden vernetzte Geräte weltweit gibt. Getrieben durch den "Smart"-Boom könnten es bis 2020 bereits 50 Milliarden sein. Chiphersteller Intel geht sogar von 200 Milliarden aus. Dies klingt realistisch: Zu diesen Geräten gehören nämlich z.B. auch die WLAN-Router die viele von uns zu Hause stehen haben, auch viele Modelle der Router können für Angriffe genutzt werden.

Die bisherigen Angriffe waren zwar deutlich höher als alles bisher bei dDoS gesehene (hier dDoS Berichte aus 2013), aber die Angreifer haben noch nicht wirklich gezeigt, was diese Botnetze aus Geräten können. Denn fortgeschrittene Angriffsmethoden wie Amplification wurden noch gar nicht eingesetzt.

Der Artikel spricht vom "Internet of unpatchable Things", da die Geräte neben den öffentlichen Passworten auch noch 12 Jahre alte Schwachstellen enthalten und derzeit noch keine Idee besteht, wie dieses Angriffspotential entschärft werden kann.

Ein weiterer Artikel berichtet über die Bandbreite von Mirai: Was Cloudflare vom Mirai-Botnetz sieht. Cloudfare ist ein weiterer Anbieter von dDoS-Schutz. Nachdem Akamai den Schutz der Website von Brian Krebs nicht mehr übernehmen wollte hat sich der Google Service Project Shield angeboten. Der folgende Artikel zeigt wie massiv die Angreifer zu Beginn 2017 mittlerweile sind: How Google fought back against a crippling IoT-powered botnet and won. Dazu gibt es auch noch ein Video Drawing the Foul: Operation of a DDoS Honeypot.

Update (22. Okt. 2016): Mit Hilfe dieser Botnets aus Geräten wird ein massiver und erfolgreicher Angriff auf weite Teile der US-Internet-Infrastruktur gefahren. Noch mehr Details gibt es bei der NY Times: Hackers Used New Weapons to Disrupt Major Websites Across U.S.. Dort wird spekuliert, dass die Angreifer evtl. einen Probelauf für den Wahltag gemacht haben, bei dem in den USA in einige Bundesstaaten online gewählt werden kann.

Auch für Sarkasmus bieten diese Angriffe viel Anlass: Ein Security Experte tweetet: In a relatively short time we've taken a system built to resist destruction by nuclear weapons and made it vulnerable to toasters.

Hal Faber schreibt auf heise.de: Zigtausende von Überwachungskameras und Videorekordern dieser Überwachungssysteme wurden genutzt, um das Internet lahmzulegen. Wobei die Beschreibungen häufig zu kurz kommen, denn es war kein Angriff der Hacker auf den Alltag, sondern ein Angriff des Alltags selbst, weil Vernetzung pfennigbillig sein muss. Es ist ja mal eine neue Erfahrung, dass man gegen diese Angriffe nichts tun kann. . . Im Billignetz vom IoT mit seiner Schrottsoftware ohne jegliche Sicherheit auf Updates zu warten, das hat was von Beckett.

Ein Artikel im Januar 2017 sagt, dass das Mirai-Botnetz ein Abfallprodukt der sog. Minecraft-Server-Kriege ist. Es zeigt sich wieder mal, dass jede neue Technologie sofort auch "Parasiten" hervorbringt, die versuchen, aus dieser neuen Entwicklung irgendwie, notfalls auch illegal und auf Kosten anderer, Geld zu schlagen. Die Kollateralschäden können dabei erheblich sein, viel größer als der mögliche Gewinn. Dies ist ein anderes Beispiel für Externalitäten.

Auch bei diesem Thema gibt es neue Geschäfts-Opportunities: Rent a Mirai Botnet of 400,000 Bots. 2 Wochen Angriffe gegen einen Konkurrenten mit 50000 Geräten (jeweils 1 Std. Angriff und 5-10 Min. Pause) für einige Tausend US-Dollar.

An anderer Stelle gibt es mehr zum Thema Denial of Service Angriffe.

 

 

 

Wie könnten die "Dinge" sicher implementiert werden?

Bereits Sept. 2014 veröffentlicht Trend Micro einen recht guten Text: What to Consider When Buying a Smart Device. Der Artikel ist weniger technisch, eher eine Checkliste, was beim Kauf von Smart-Geräten (Smart-TV, Lichtsteuerung, Klimasteuerung, etc.) beachtet werden sollte. Der Text listet in einer Checkliste folgende Punkte:

  1. Authentisierung. Erfordert das Gerät vor einem Zugriff die Eingabe einer Authentisierung, z.B. Passwort oder PIN? Falls nein, kann z.B. jeder, der sich Zugriff auf das WLAN verschafft, das Gerät manipulieren. Bzw. Geräte, die um mit der dazugehörigen App kommunizieren möchten im Internet aktiv sind (wie Baby-(sitter)-Cams, auch "Nanny Cams" genannt oder andere Kameras mit denen Wohnungen optisch überwacht werden), lassen sich leicht über die Suchmaschine Shodan finden.
  2. Aktualisierbarkeit. Gibt es eine (für den Benutzer einfache) Möglichkeit, neue Firmware-Versionen zu installieren, wenn z.B. Verwundbarkeiten im Gerät gefunden wurden, oder ist dann das Gerät automatisch "Schrott"?
  3. Verschlüsselung. Verschlüsselt das Gerät seine Verbindungen (Standort-Daten, Video-Daten, medizinische Daten von Self-Trackern, ...), aber auch z.B. die Übertragung einer neuen Firmware? Oder werden evtl. sogar Passworte und Zugangscode im Klartext übertragen?
  4. Offene Ports. Viele dieser Geräte haben offene Ports wie Telnet, damit sie einfach gewartet werden können. Zumeist stehen dann die dazu gehören Zugangscodes im Internet (und lassen sich über eine Suchmaschine leicht finden).
  5. Umgang mit leeren Batterien. Viele Geräte brauchen Batterien, und viele haben keine gute Möglichkeit, anzuzeigen, dass ihre Batterie leer ist. Ein Problem wird dies z.B. bei Alarmanlagen, deren Sensoren an den Fenstern dann einfach aufhören, Einbruchsversuche zu melden.
  6. Verwundbarkeiten und Patches. Gibt es von dem Anbieter des Geräts eine Datenbank mit gefundenen Schwachstellen und den Lösungen dazu?

Das war aber nur ein frühes Beispiel für eine systematische Dokumentation der Anforderungen an vernetzte Geräte. Bruce Schneier hat Anfang 2017 eine Sammlung von solchen Security and Privacy Guidelines for the Internet of Things. Er rechnet damit, dass solche Regeln (entweder als Initiative der Industrie oder als Verordnung oder Gesetz) offiziell erlassen werden. Die Bedrohungen für den Rest des Internets sind einfach zu groß. Anderseits wird es sehr schwierig sein, ein weltweites Problem durch Ländergesetzgebungen zu lösen.

 

 

 

Wearables / Fitness-Tracker / Self-Tracker - Quantified Self

Einen sehr tiefen Eingriff in die Privatsphäre stellen die Wearables dar, egal ob als Armband, Oberkörperband, am Oberarm oder am Handgelenk, die kontinuierlich Gesundheitsdaten messen und mittels Smartphone in die Cloud senden. Wie die verlinkte Veröffentlichung beschreibt erfährt der Nutzer von der verpflichtenden Datenweitergabe sehr oft erst nach dem Kauf und kann dann schlimmstenfalls das Gerät wegwerfen, falls ihm die Datenweitergabe nicht passt.

Diese Geräte dringen zum Teil sehr tief in die Privatsphäre ein: Sensoren zeichnen die Pulsrate, detaillierte Bewegungen und Bewegungsmuster auf und lassen damit tiefgehende Schlüsse über Schlaf und viele genau identifizierte Aktivitäten zu. Oft sammelt ein GPS (im Gerät oder im Smartphone) dazu noch kontinuierlich die Standorte, Tag und Nacht. Das Interesse an diesen Daten ist groß, nicht nur bei den Krankenkassen (die Benutzer muss bei Inbetriebnahme der Datenverarbeitung und auch der Datenweitergabe zustimmen). Hier eine sehr gute Darstellung der Infrastruktur die für den Betrieb von Wearables wie Fitness-Trackern eingesetzt wird und wie die Daten dort fließen. Ein großes Problem ist, dass eigentlich alle Geräte die Daten mittels eines Smartphones in die Cloud senden, d.h. jeder Nutzer wird automatisch transparent für irgendwelche Firmen, die die Daten mehr oder weniger beliebig zu Geld machen können.

Im nächsten Link eine lange Liste von Geräten, was bereits 2016 alles auf dem Wearables Markt verfügbar war. Da gibt es kaum eine Körperfunktion, die nicht gemessen werden kann. Versicherungen können auf diese Weise recht detaillierte Einblicke in den Lebensstil ihrer Kunden gewinnen. Daraus versuchen die Versicherungen, statistische Aussagen über die Gesundheit zu machen und Tarife geeignet anzupassen.

Fitness-Tracker zeichnen intime Details auf, hier detailliert kommentiert. Sexuelle Aktivitäten unterscheiden sich deutlich von anderen körperlichen Aktivitäten und stehen dann auch Versicherungen zur Verfügung, oder dem Arbeitgeber, wenn der Mitarbeiter das Gerät auch im Bett trägt, siehe Artikel links.

Die öffentlichen Diskussionen über die sexuellen Aktivitäten einer Frau, die ihre Trackingdaten frei verfügbar ins Netz gestellt hat, zeigt, wie tief diese Daten in das Intimleben eindringen (siehe die Graphik rechts). In Verbindung mit den Daten des GPS weiß der Betreiber (und alle die diese Daten gekauft haben) auch, wer da mit wem aktiv ist. Selbst wenn die andere Person nicht direkt identifiziert werden kann (z.B. weil sie nicht auch ein solches Gerät trägt) so geben auch die kontinuierlich gesammelten Ortsdaten sehr viel über Personen preis: wo sie arbeiten, wo sie einkaufen, welche Art von Clubs oder Pubs sie besuchen, wie viele Nächte sie nicht im eigenen Bett verbringen etc. Und die Kombination aus Arbeitsort und typischem Schlafplatz ist für 90% der Menschen eindeutig und gibt die direkte Identität preis (an anderer Stelle mehr zu De-Anonymisierungen).

Auch aus dem Intimleben 2016: Husband learns wife is pregnant from her Fitbit data. Der Ehemann hatte den erhöhten Puls seiner Frau bemerkt und im Internet im Internet auf Reddit diskutiert weil er einen technischen Fehler vermutet hatte. Einer der Teilnehmer in seiner Diskussionsgruppe hat dann auf Schwangerschaft getippt und ein Test hat diese auch bestätigt. An anderer Stelle mehr zum Thema Spuren im Internet.

Ein großes Problem liegt darin, dass zwar derzeit die Nutzung dieser Gerät noch freiwillig ist, aber es gibt bereits erste Initiativen, gegen die Überlassung der auf diese Weise gesammelten Daten Rabatte bei Versicherungen zu gewähren - hier das Angebot Vitality der Generali Versicherung. Der vorige Link klingt ja noch ganz harmlos und spricht von Selbstauskünften. Aber hier kann man die Graphik zum Datenfluss einsehen und da steht dann z.B. "einwilligungsbasierte Übermittlung von Aktivitätsdaten und Kauf von wearables bei den Generali Vitality Device Partnern" und "einwilligungsbasierter Informationsaustausch von Mitgliedsdaten zu Programm-, Abrechnungs- und Kontrollzwecken".

Wenn erst mal durch die Weitergabe der entsprechenden Gesundheits- und Bewegungsdaten sehr attraktive Versicherungsangebote zur Verfügung stehen, so wird ein entsprechender Druck entstehen, solche Tracker zu tragen, man wird ja wohl nichts zu verbergen haben. Ähnliche Ideen gibt es ja auch bei der Sozialversicherung für Selbständige in Österreich. Die Freiwilligkeit der Datenweitergabe und Überwachung wird nur noch für Menschen gegeben sein, die in der Lage sind, für ihre Privatsphäre einen Aufpreis zu zahlen.

Diese Datensammlungen betrifft jetzt erst mal Krankenversicherungen, aber auch Arbeitgeber sind sehr an mehr Daten über ihre Mitarbeiter interessiert. Der 2016 Artikel Taylorismus 2.0 Wie Unternehmen Mitarbeiter kontrollieren beschreibt ein recht gruseliges Szenario, das bereits in einigen Unternehmen Realität ist. Der Artikel erwähnt BP, Hitachi, der spanische Mobilfunker Telefonica und die amerikansichen Ketten Seven Eleven und The Counter. Natürlich muss das in Europa freiwillig sein, aber es werden attraktive finazielle Belohnungen für das Tragen dieser Armbänder geboten und außerdem entsteht evt. auch ein gewisser Gruppendruck - was hat denn der Kollege zu verbergen, macht der evtl. gar keinen Sport? Um die Transparenz der Mitarbeiter weiter zu erhöhen, braucht die Firma dann nur noch Sentiment Analyse einzuführen.

Was derzeit in Silicon Valley durch die vielen unterschiedlichen Cloud- und Web-Hosting-Dienste und die Social Networks an brisanten Daten angehäuft wird ist vermutlich genug Material, um jeden zukünftigen Politiker mittels Erpressung "unter Kontrolle zu bringen". Eine solche Erpressung muss ja nicht mal von der Firma selbst ausgehen, es genügt, dass ein Administrator seinen Zugriff auf die Daten ausnutzt und sich private Kopien anlegt, die später mal zu Geld gemacht werden könnten. Es gibt Hinweise, dass es Firmen gibt, die jede Nacht die Social Networks durchkämmen und alle Fotos wegsichern (für den Fall, dass der oder die Betroffene sie später reumütig löscht). Dann brauchen sie nur die warten, bis er oder sie mal als Politiker kandidieren möchte oder sie für Miss America kandidiert.

Eine Studie von Symantec zeigt 2014, dass ein sehr großer Teil der self-tracking wearables extrem unsicher programmiert ist: keine verschlüsselten Datenverbindungen ins Internet, Klartext-Übermittlung der Passworte, und ähnliche Probleme.

 

 

 

Quelle: www.telegraph.co.uk/

 

Alptraum Google Glass und seine Nachfolger

Das konkrete Produkt Google Glass ist ja 2016 (erst mal) kein Thema mehr, aber in diesem Abschnitt geht es um eine grundsätzliche Problematik von Brillen die Bilder aufzeichnen können (Fotos oder Videos). Diese Produkte werden sicher in der näheren Zukunft kommen, z.B. ist Spectacles von Snapchat ein weiterer Versuch. Und natürlich werden in Zukunft auch Brillen angeboten werden, in die Informationen einprojeziert werden, quasi Virtual Reality Light für die Straße.

Dieser Artikel ist inspiriert durch Mark Hurst: The Google Glass feature no one is talking about. Mark Hurst ist Spezialist für "user experience", d.h. er berät Firmen wie sie die Benutzeroberflächen ihrer Produkte so gestalten können, dass die Bedienung möglichst intuitiv ist.

April 2014:
Wer glaubt, Google Glas wäre bereits das Ende der Entwicklung, der kann sich die Patente von Google zu den Kontaktlinsen mit Kamera anschauen.

Hier dann die technischen Details bei patentbold.com (bis hin zur automatischen Analyse der Tränenflüssigkeit - daraus kann man nicht nur den Blutzuckerspiegel, sondern bestimmt auch den hormonellen Gemütszustand ablesen).

Er erwähnt, dass auch bei Google Glass "user experience" ein großes Thema ist, für ihn aber genau verkehrt rum. Er macht sich keine Sorgen um die Benutzer von Google Glass, sondern viel mehr Sorgen um alle anderen um ihn herum. Er denkt dabei nicht so sehr an die Features der ersten Modelle, sondern er denkt das Konzept gleich 10 oder 15 Jahre weiter.

Natürlich wird das Leben der Brillenträger noch ein Stück mehr transparent, aber da kann man argumentieren, dass diese das freiwillig tun. Und wer bisher bereits mit Smartphone durch die Lande zieht, der gibt auch heute bereits sehr viel über sich selbst preis. Aber was wirklich beunruhigend ist, das ist das was diese Technologie mit den Menschen machen, die die Brillen nicht tragen.

Und dafür muss man gar nicht weit in die Zukunft gehen, auch die ersten Modelle können schon einige erschreckende Sachen, z.B. über die eingebaute Kamera und Mikrofon. Damit kann der Brillenträger alles was um ihn herum vorgeht, aufzeichnen (vermutlich wird das in einem Smartphone gespeichert, da ist erstmal genug Platz für einige Stunden Video). In Zukunft werden schnellere Netze zur Verfügung stehen und dann gehen diese Lifestreams direkt "in die Cloud" zu Google. Das Ganze läuft unter Stichworten wie MyLifeBits oder Live Bitstreams und soll letztendlich alles was jemand in seinem Leben erlebt, Aufzeichnen.

Das Problem ist aber, dass er damit auch Ausschnitte aus dem Leben seiner Mitmenschen aufzeichnet (in für Google auswertbar macht). Und diese Mitmenschen können sich nur schwer wehren, wenn so ein Brillenträger im Lokal, an der Arbeit oder im Bus auftaucht. Alle Gespräche werden aufgezeichnet, wenn er jemanden anblickt so kann im Hintergrund auf den Servern bei Facebook oder Google eine Gesichtserkennung durchgeführt werden und Name und Facebook-Seite werden automatisch eingeblendet. Wie kann man sich dagegen wehren?

Es muss eigenartig sein, sich mit einem Brillenträger zu unterhalten. Nicht nur wird alles aufgezeichnet was man sagt, sondern der Gegenüber weiß nie, was der Brillenträger jetzt gerade auf dem Schirm sieht (irgendein Youtube-Video, weil er gelangweilt ist, oder ein Überblick über die Lebensgeschichte seines Gegenübers, online Dank Facebook Timeline - das wird ein interessantes Dating-Erlebnis mit so einem Gegenüber ;-) ). Den Brillenträger bitten, die Brille runterzunehmen geht evtl. nicht, wenn das Ganze in seine Sehbrille integriert ist und er ohne diese Brille nicht viel sieht.

Und man weiß auch nie, ob der Lifestream nicht vielleicht sofort irgendwo online gestellt wird. Vermutlich wird es einen Offline-Modus geben, d.h. man kann den Brillenträger bitten, den Lifestream abzustellen. Aber das ist dann vermutlich so wie bei anderen Apps oder Programmen auch (z.B. wenn man Facebook auffordert, etwas zu löschen - die Daten werden dem Benutzer dann einfach nicht mehr angezeigt): Dieses Gespräch wird dann nicht mehr im Lifestream des Brillenträgers erscheinen, sondern nur noch von den Google-Servern im Hintergrund archiviert und indexiert.

Aber Google kann mit dem Datenstrom aber natürlich noch mehr. Text-to-speech wird immer besser, d.h. warum nicht gleich in Text umwandeln und indexieren. D.h. wenn jemand in meinem Umfeld so eine Brille trägt, so kann Jahrzehnte später über eine schnelle Suche gecheckt werden, ob ich mich irgendwann mal über irgendein Thema geäußert habe.

Wenn die Entscheidung Einzelner Auswirkungen auf Unbeteiligte hat, so spricht man übrigens von Externalitäten, von denen ich an anderer Stelle noch mehr Beispiele bringe.

Wohin das Ganze führen kann, wenn Leute wie Google CEO Larry Page nicht gestoppt werden, das zeigt die Vision vom Google Island.

Falls sich diese Brillen durchsetzen so heißt das, dass unsere Leben sehr transparent sein werden. Diese Technologie aufzuhalten wird extrem schwer sein. Und diese Technologie wird nicht nur in Form von Brillen vorliegen, bereits jetzt 2013 wird an Kontaktlinsen gearbeitet.

Und in vielen Ländern (z.B. Russland oder Singappur) sind in vielen Autos Kameras installiert, die alles aufnehmen. Hauptgrund ist Nachweis bei Unfällen. Für Russland ist die Präsenz der Kameras schön demonstriert bei den vielen Videos des Asteroiden über Siberien. Sehr bald wird auch der andere Teil von Google Glass in den Autos sein: Windschutzscheiben, die als Display dienen und zu Beginn erst mal nur Informationen über das Fahrzeug und den Weg anzeigen, aber bestimmt irgendwann dann auch Werbung für Sachen die am Weg liegen.

Wir sind auf dem Weg zum wahrlich gläsernen Menschen wieder einen Riesenschritt vorangekommen. Zum Glück bildet sich die erste Protestbewegung gegen diese Gläser.

Aug. 2014:
Forscher haben getestet, ob sich Google Glass dafür eignet, den Zugangscode fremder Handys auszuspionieren. JA, selbst dann, wenn der Bildschirm selbst verdeckt ist und nur die Fingerbewegungen sichtbar sind. Und notfalls sogar aus höheren Stockwerken bis 43 Meter Entfernung.

 

 

 

Wie peinlich "Daten-Nachlässe" sein können zeigen die Diskussionen um die STASI-Akten. In dem Vortrag wird von Polen berichtet, dort sind ebenfalls die Geheimdienstakten unter Diskussion und keiner traut sich diese "Giftkiste" zu öffnen, wer weiß was sich dort alles findet. Die Präsentation verweist auf Operation Hyacinth, wo 1985-87 Akten über 11000 polnische Homosexuelle angelegt wurden - diese Informationen sind auch heute in Polen noch immer brisant.

Wo sind denn die Daten geblieben?

Ein auch aus anderen Gründen sehr empfehlenswerter Vortrag The Internet With A Human Face - Beyond Tellerrand 2014 (von Peter Watts) wirft an einer Stelle die Fragen auf, wo denn die Daten der mittlerweile obsoleten Social Networks geblieben sind. Er erwähnt SixDegrees.com, Friendster.com und MySpace.com, aber auch in Deutschland sind bereits Soziale Netze aufgelöst worden.

Im Konkursfall fallen, zumindest in den USA, alle Werte (d.h. auch die persönlichen Daten) an den Konkursverwalter. Dessen Aufgabe ist es, aus den Resten des Unternehmens möglichst viel für die Gläubiger zu retten. Er ist in den USA (wo die meisten unserer Cloud-Daten lagern) NICHT an die alten Verträge, z.B. die Versprechen der ursprünglichen Firma über die Nicht-Weitergabe gebunden (die Lage in Europa sollte sauberer sein - nach meinem Verständnis muss auch der Nachlassverwalter sich an die Datenschutzgesetze halten und darf daher die Daten keinem neuen Verwendungszweck zuführen. Außer, die Nutzungsbedingungen sind so, dass der Nutzer der Weitergabe der Daten an "befreundete Unternehmen" zugestimmt hatte, dann geht natürlich vieles. SchuelerVZ hat sein Ende wohl ganz ordentlich implementiert.).

Das heißt, der Datenverwalter eines US-Services wird vermutlich die Daten meistbietend versteigern und das kann er eigentlich mehrfach tun (außer es lässt sich ein Käufer Exklusivität zusichern).

Wann haben Sie denn das letzte Mal Nutzungsbedingungen bis zum bitteren Ende durchgelesen, bevor Sie einem Service zugestimmt haben?

 



Philipp Schaumann, http://sicherheitskultur.at/


Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.