Montag, 6. September 2010
Der Spion in meiner Wohnung
Themen: Computer, Sicherheit
sileas, 22:31h
Bruce Schneier hat letzte Woche etwas über ein Paper gebloggt, in dem beschrieben wird, wie einige Wissenschaftler es geschafft haben, durch das Abhören der Aktivitäten diverser „intelligenter“ Haushaltstechnik so einiges über die Aktivitäten der Hausbewohner herauszufinden.
Das Interessante daran: Sie haben die verschlüsselten Signale, die diese Haushaltstechnik so von sich gab, zwar aufgefangen, aber nicht entschlüsselt. Sie haben also beispielsweise nicht mitbekommen, daß der Herd zur Spülmaschine funkte: „Huch, da ist was angebrannt, du mußt dich nachher also anstrengen, um das sauberzukriegen“ (nein, ich habe echt keine Ahnung, worüber solche „intelligenten“ Haushaltsgeräte so reden), sondern nur, daß der Herd etwas gefunkt hat.
Aber daraus kann man ja auch schon eine Menge ableiten.
Das ist genau wie mit den Kommunikationsprofilen; wenn ich mit jemandem monatelang nicht telefoniere und dann auf einmal gleich mehrmals innerhalb weniger Tage, kann man daraus auch ohne Kenntnis über den Inhalt der Gespräche gewisse Schlüsse ziehen. Beispielsweise, daß wir uns vielleicht bald mal treffen wollen. Oder wenn ich mit jemandem bis zu einem bestimmten Zeitpunkt sehr oft (sogar mehrmals täglich) telefoniert habe und dann auf einmal gar nicht mehr oder nur noch sporadisch, dann deutet das auf eine in die Brüche gegangene Beziehung (welcher Art auch immer – Liebesbeziehung zerbrochen, mit dem Kumpel zerstritten oder einfach „nur“ auf der Arbeit, für die ich vielleicht viel im Team herumtelefonieren muß, einem neuen Team zugeteilt worden).
Ich selber habe zwar keine solchen „intelligenten“ Geräte in der Wohnung (die kommen mir so schnell auch nicht ins Haus, allerdings aus völlig anderen Gründen als denen, die ich hier nenne), aber wenn jemand es schafft, das Verhalten der Geräte in der Wohnung irgendwie zu beobachten, kann der daraus auch ableiten, ob ich gerade zu Hause bin oder nicht oder ob ich wach bin oder nicht oder – je nach Gerät – sogar, was ich womöglich gerade mache.
Wenn jemand so vorm Haus steht, daß er zwar sieht, ob bei mir das Licht brennt oder nicht, aber mich nicht sehen kann, kann er beispielsweise solche Sachen ableiten wie: Aha, eben ist das Licht an-/ausgegangen, also wird wohl jemand zu Hause sein. Oder: Es ist Tag und relativ düster (bewölkt, was weiß ich) und nirgends ist das Licht an, also ist sie entweder nicht zu Hause oder sie schläft. Solche Sachen halt. Wenn derjenige außerdem (oder stattdessen) mitbekommt, wann welches Gerät an- oder ausgeht, kann er natürlich auch erraten, daß ich mir jetzt gerade eine Tasse Tee (oder eine Tütensuppe) zubereite (Wasserkocher läuft) oder etwas Größeres koche (Herd läuft) oder unter der Dusche stehe (im Bad läuft Wasser, und zwar ausgiebiger als beim Händewaschen o. ä.).
Sogar aus den Metadaten meiner Blogeinträge kann man gewisse Schlüsse über meinen Tagesablauf ziehen. Zu Uhrzeiten, wo hier nie Artikel auftauchen, werde ich wohl schlafen oder aus einem anderen Grund (Arbeit, Behördengänge, was weiß ich) nicht online sein. Bevor ich zu Hause einen Internetanschluß hatte, konnte man aus meinen üblichen Blog-Zeiten auch ableiten, ob ich gerade zu Hause war oder nicht (wenn ich am Bloggen saß, saß ich gerade im Büro und hatte entweder Feierabend oder Pause). Undsoweiter.
(Jetzt blogge ich zwar normalerweise von zu Hause aus, aber ich habe einen Laptop und mein Modem ist kabellos und läuft über das Mobilfunknetz, also könnte ich theoretisch sonstwo sein. <fiesgrins>)
Und genau solche Sachen haben die Leute in dieser Studie abgeleitet. Wer ist wann zu Hause, wer ist gerade am Schlafen oder wach.
Und da ich mich schon seit längerem mit Sicherheitstechnik befasse, bin ich immer wieder überrascht, daß den meisten Leuten nicht klar ist, daß man aus so einfachen Sachen wie „gerade ist eine Lampe angegangen“ oder „der Wasserhahn in der Küche ist von warm auf kalt umgesprungen“ oder „es ist soundsoviel Uhr und drinnen brennt kein Licht“ schließen kann, wer gerade was macht...
Wenn man schlau ist, braucht man gar nicht zu gucken, wo welche Lampe brennt, sondern man guckt einfach auf den Stromzähler im Keller. Ah, jetzt hängen auf einmal soundsoviel Watt mehr/weniger am Netz, das heißt, sie hat gerade entweder Gerät X oder Gerät Y (die beide soundsoviel Watt verbrauchen) an-/ausgeschaltet...
(Ach ja, warum will ich keine „intelligente“ Haushaltstechnik, wenn nicht aus diesem Schutz-der-Privatsphäre-Grund? Weil alles, was elektronisch ist und irgendwie am Netz hängt und kommuniziert, gehackt werden kann. Und ich will nicht aus dem Urlaub zurückkommen und einen gehackten Herd (der inzwischen beinahe einen Küchenbrand verursacht hätte) und einen gehackten Wasserhahn (der dank des ungeschickten Timings der beiden Hackerteams den Küchenbrand gerade noch so verhindert hat) und vielleicht auch noch einen viel zu detailliert programmierten Kühlschrank (der der Meinung war, ich ernähre mich nicht gesund genug, weil ich in den letzten drei Wochen keine neue Milch gekauft habe, und mich deshalb bei der Krankenkasse verpetzt hat) vorfinden. Ach ja, und 20 Liter inzwischen vergammelte Milch, die mir mein fürsorglicher Kühlschrank bei Amazon bestellt hat, weil er sich Sorgen um mich machte, weil ich ja seit drei Wochen keine Milch gekauft habe und doch mein Kalzium und meine wertvollen Spurenelemente brauche. Woher der Kühlschrank weiß, daß ich so-und-so lange keine Milch gekauft habe? Weil er so-und-so lange keine neuen Verpackungen mehr eingeladen bekommen hat, deren RFID-Tags ihm „Hallo, in mir ist Milch drin!“ signalisierten.)
Das Interessante daran: Sie haben die verschlüsselten Signale, die diese Haushaltstechnik so von sich gab, zwar aufgefangen, aber nicht entschlüsselt. Sie haben also beispielsweise nicht mitbekommen, daß der Herd zur Spülmaschine funkte: „Huch, da ist was angebrannt, du mußt dich nachher also anstrengen, um das sauberzukriegen“ (nein, ich habe echt keine Ahnung, worüber solche „intelligenten“ Haushaltsgeräte so reden), sondern nur, daß der Herd etwas gefunkt hat.
Aber daraus kann man ja auch schon eine Menge ableiten.
Das ist genau wie mit den Kommunikationsprofilen; wenn ich mit jemandem monatelang nicht telefoniere und dann auf einmal gleich mehrmals innerhalb weniger Tage, kann man daraus auch ohne Kenntnis über den Inhalt der Gespräche gewisse Schlüsse ziehen. Beispielsweise, daß wir uns vielleicht bald mal treffen wollen. Oder wenn ich mit jemandem bis zu einem bestimmten Zeitpunkt sehr oft (sogar mehrmals täglich) telefoniert habe und dann auf einmal gar nicht mehr oder nur noch sporadisch, dann deutet das auf eine in die Brüche gegangene Beziehung (welcher Art auch immer – Liebesbeziehung zerbrochen, mit dem Kumpel zerstritten oder einfach „nur“ auf der Arbeit, für die ich vielleicht viel im Team herumtelefonieren muß, einem neuen Team zugeteilt worden).
Ich selber habe zwar keine solchen „intelligenten“ Geräte in der Wohnung (die kommen mir so schnell auch nicht ins Haus, allerdings aus völlig anderen Gründen als denen, die ich hier nenne), aber wenn jemand es schafft, das Verhalten der Geräte in der Wohnung irgendwie zu beobachten, kann der daraus auch ableiten, ob ich gerade zu Hause bin oder nicht oder ob ich wach bin oder nicht oder – je nach Gerät – sogar, was ich womöglich gerade mache.
Wenn jemand so vorm Haus steht, daß er zwar sieht, ob bei mir das Licht brennt oder nicht, aber mich nicht sehen kann, kann er beispielsweise solche Sachen ableiten wie: Aha, eben ist das Licht an-/ausgegangen, also wird wohl jemand zu Hause sein. Oder: Es ist Tag und relativ düster (bewölkt, was weiß ich) und nirgends ist das Licht an, also ist sie entweder nicht zu Hause oder sie schläft. Solche Sachen halt. Wenn derjenige außerdem (oder stattdessen) mitbekommt, wann welches Gerät an- oder ausgeht, kann er natürlich auch erraten, daß ich mir jetzt gerade eine Tasse Tee (oder eine Tütensuppe) zubereite (Wasserkocher läuft) oder etwas Größeres koche (Herd läuft) oder unter der Dusche stehe (im Bad läuft Wasser, und zwar ausgiebiger als beim Händewaschen o. ä.).
Sogar aus den Metadaten meiner Blogeinträge kann man gewisse Schlüsse über meinen Tagesablauf ziehen. Zu Uhrzeiten, wo hier nie Artikel auftauchen, werde ich wohl schlafen oder aus einem anderen Grund (Arbeit, Behördengänge, was weiß ich) nicht online sein. Bevor ich zu Hause einen Internetanschluß hatte, konnte man aus meinen üblichen Blog-Zeiten auch ableiten, ob ich gerade zu Hause war oder nicht (wenn ich am Bloggen saß, saß ich gerade im Büro und hatte entweder Feierabend oder Pause). Undsoweiter.
(Jetzt blogge ich zwar normalerweise von zu Hause aus, aber ich habe einen Laptop und mein Modem ist kabellos und läuft über das Mobilfunknetz, also könnte ich theoretisch sonstwo sein. <fiesgrins>)
Und genau solche Sachen haben die Leute in dieser Studie abgeleitet. Wer ist wann zu Hause, wer ist gerade am Schlafen oder wach.
Und da ich mich schon seit längerem mit Sicherheitstechnik befasse, bin ich immer wieder überrascht, daß den meisten Leuten nicht klar ist, daß man aus so einfachen Sachen wie „gerade ist eine Lampe angegangen“ oder „der Wasserhahn in der Küche ist von warm auf kalt umgesprungen“ oder „es ist soundsoviel Uhr und drinnen brennt kein Licht“ schließen kann, wer gerade was macht...
Wenn man schlau ist, braucht man gar nicht zu gucken, wo welche Lampe brennt, sondern man guckt einfach auf den Stromzähler im Keller. Ah, jetzt hängen auf einmal soundsoviel Watt mehr/weniger am Netz, das heißt, sie hat gerade entweder Gerät X oder Gerät Y (die beide soundsoviel Watt verbrauchen) an-/ausgeschaltet...
(Ach ja, warum will ich keine „intelligente“ Haushaltstechnik, wenn nicht aus diesem Schutz-der-Privatsphäre-Grund? Weil alles, was elektronisch ist und irgendwie am Netz hängt und kommuniziert, gehackt werden kann. Und ich will nicht aus dem Urlaub zurückkommen und einen gehackten Herd (der inzwischen beinahe einen Küchenbrand verursacht hätte) und einen gehackten Wasserhahn (der dank des ungeschickten Timings der beiden Hackerteams den Küchenbrand gerade noch so verhindert hat) und vielleicht auch noch einen viel zu detailliert programmierten Kühlschrank (der der Meinung war, ich ernähre mich nicht gesund genug, weil ich in den letzten drei Wochen keine neue Milch gekauft habe, und mich deshalb bei der Krankenkasse verpetzt hat) vorfinden. Ach ja, und 20 Liter inzwischen vergammelte Milch, die mir mein fürsorglicher Kühlschrank bei Amazon bestellt hat, weil er sich Sorgen um mich machte, weil ich ja seit drei Wochen keine Milch gekauft habe und doch mein Kalzium und meine wertvollen Spurenelemente brauche. Woher der Kühlschrank weiß, daß ich so-und-so lange keine Milch gekauft habe? Weil er so-und-so lange keine neuen Verpackungen mehr eingeladen bekommen hat, deren RFID-Tags ihm „Hallo, in mir ist Milch drin!“ signalisierten.)