Wie kann ich verhindern, dass mein Gerät vertrauliche Daten durch Verkehrsfingerabdrücke verliert?

8

Laut dem kürzlich erschienenen Artikel Ein Smart Home ist kein Schloss: Datenschutzlücken bei verschlüsseltem IoT-Verkehr können viele Smart Home-Geräte anhand ihrer Verbindungsmuster mit einem Fingerabdruck versehen werden. Da die meisten Geräte beim Aufrufen eine Verbindung zu einer kleinen Anzahl von URLs herstellen, kann ein Angreifer (oder ein unfreundlicher ISP) feststellen, wann Sie die einzelnen Geräte verwenden.

Beispielsweise haben sie den Datenverkehr verfolgt, der von einem Heimrouter zu den Alexa-Servern geleitet wird (die von ihnen verwendeten URLs sind in Abbildung 1 des Dokuments dargestellt):

Alexa Verkehrsmuster

Sie zeigen auch, dass ein ähnliches Prinzip verwendet werden kann, um zu bestimmen, wann ein Schlafmonitor verwendet wird (und somit wann Sie aufwachen / schlafen gehen) oder wann ein intelligenter Schalter umgeschaltet wird.

Es ist natürlich beunruhigend, dass Sie trotz Verschlüsselung so viele Informationen von einem Gerät erhalten können. Es scheint schwieriger zu sein, viele Informationen aus dem Computerverkehr abzurufen, da die Server, auf die zugegriffen wird, viel vielfältiger sind. Bei einem IoT-Gerät, das nur einen bestimmten Server nach Hause ruft, scheint es jedoch einfach zu sein, zu verfolgen, welches Gerät wann verwendet wurde.

Da in vielen Ländern Metadaten wie diese gespeichert sind, ist es möglich, dass sie diese Methode selbst verwenden können, um Ihre Aktivität zu bestimmen, und dass jedem Angreifer auf Netzwerkebene dieselbe Datenmenge zugespielt wird.

Gibt es Möglichkeiten, um zu verhindern, dass Datenverkehr auf diese Weise mit einem Fingerabdruck versehen wird, oder zumindest die Menge an sensiblen Daten zu reduzieren, die extrahiert werden können?

Aurora0001
quelle

Antworten:

4

Was sind die Schritte zum beschriebenen Datenschutzleck?

Grundsätzlich gibt es drei Teile, um die im Papier beschriebenen Informationen zu erhalten.

  1. Eine interessierte Partei, die den ausgehenden Verkehr aufzeichnet (2)
  2. Diese Partei kann die Verkehrsströme aufteilen (4.1)
  3. Analyse der verschiedenen Verkehrsströme
    • Gerät (Typ) identifizieren (4.2)
    • Analysieren des Gerätemusters (5)

Aufzeichnung des ausgehenden Verkehrs

Während der Angreifer in der Zeitung einfach als Voraussetzung angenommen wird, ist dies bereits eine ziemliche Hürde.

Insbesondere kann ein Gegner in diesem Modell den gesamten Weitverkehrsnetzwerkverkehr beobachten und aufzeichnen, einschließlich des Verkehrs zu und von Heim-Gateway-Routern.

Das sind nicht viele potenzielle Angreifer. Im Grunde ist dies der ISP, mit dem Sie eine Verbindung zum Internet, zu den WAN-Betreibern und zu interessierten Geheimdiensten herstellen. Zum Glück ist derjenige mit dem einfachsten Zugang, Ihr ISP, wahrscheinlich nicht interessiert, da dies seinem Geschäftsmodell nicht wirklich hilft. Auf der anderen Seite sind die ISPs diejenigen, die Gerichte zur Aufzeichnung und Bereitstellung dieser Informationen zwingen können.

Wir gehen davon aus, dass ISPs normalerweise nicht daran interessiert sind, gezielte aktive Angriffe auf einzelne Benutzer durchzuführen.

Obwohl sie nicht an diesen Angriffen interessiert sind, könnten sie sehr wohl gezwungen sein, die Informationen bereitzustellen. Das hängt natürlich von den Gesetzen des Landes ab, in dem sie tätig sind.

Angenommen, Sie haben kein Gericht, um Ihren ISP zu zwingen, oder die Aufmerksamkeit eines Geheimdienstes mit den erforderlichen Fähigkeiten zur Aufzeichnung des Datenverkehrs auf sich gezogen. Der wahrscheinlichste Angreifer, der die weiteren Schritte ausführen kann, wäre ein kompromittierter Heimrouter.

Verkehrsströme aufteilen

Es wird angenommen, dass die Aufteilung in Verkehrsströme erfolgt, indem sie vom externen Kommunikationspartner gruppiert werden, z. B. die Dienste, mit denen die IoT-Geräte kommunizieren. Der oben genannte Angreifer hat offensichtlich die Ziel-IP, nachdem alle Informationen benötigt werden, um die Informationen dort abzurufen, wo sie hingehören.

Eine gute Möglichkeit, die Mawg in seiner Antwort beschreibt, ist die Verwendung eines VPN-Dienstanbieters. Bei Verwendung eines VPN kann der ISP oder ein anderer fähiger Angreifer das tatsächliche Ziel der Kommunikation nicht ableiten, da jede Kommunikation beim VPN-Dienstanbieter adressiert wird. Dadurch kann jedoch eine andere Partei der Angreifer dieses Modells sein - der VPN-Dienstanbieter.

Durch die Verwendung eines VPN-Routers aktivieren Sie im Wesentlichen eine andere Partei als Angreifer. Der Vorteil des TOR-Netzwerks, wie in Sylvains Antwort erwähnt, ist die Verschleierung von Streams, während gleichzeitig kein anderer Spieler zum sprichwörtlichen Mann in der Mitte befähigt wird. Wenn Sie TOR verwenden, benötigen Sie entweder wirklich Pech in TOR-Knoten oder wirklich sehr interessierte Parteien, damit der Angreifer die Streams identifizieren kann.

Dieser Unterabschnitt des Wiki-Artikels beschreibt die theoretischen Möglichkeiten, Quelle und Ziel der TOR-Kommunikation weiterhin zu identifizieren. Diese Methoden erfordern jedoch ernsthafte Ressourcen und Zugriff auf die grundlegende Internetstruktur, wodurch wir wieder zu derselben Gruppe potenzieller Angreifer zurückkehren, wie zuvor erwähnt. Sie würden jedoch noch mehr Motivation benötigen , um die Anstrengungen zur Verfolgung dieses Verkehrs zu investieren.

Wenn Sie ein VPN mit einer der beiden Lösungen über Gerichtsbarkeiten (Kontinente oder zumindest Länder, nicht Landkreise oder dergleichen) verwenden, sind Sie wahrscheinlich vor Gerichtsverfahren sicher.

Zusammenfassung:

  • Wenn Sie einen dedizierten VPN-Anbieter verwenden, müssen Sie die Vertrauenswürdigkeit dieses Anbieters gegenüber Ihrem eigenen ISP abwägen. Dies verschiebt nur die Angriffsfähigkeit auf eine andere Partei.
  • Berücksichtigen Sie bei der Verwendung von TOR, wie es funktioniert und wem die Exit-Knoten gehören (und bezahlt)
  • Beide Lösungen bieten erhebliche Hürden bei der Aufteilung des Verkehrsstroms.
  • Bei beiden Lösungen wird das Gerichtsverfahren wahrscheinlich dazu führen, dass die Daten in mehreren Gerichtsbarkeiten unbrauchbar werden. 1

Analyse der verschiedenen Verkehrsströme

Dies ist eigentlich trivial für jeden, der die ersten beiden Hürden genommen hat. Wenn Sie keine hausgemachte Lösung haben, können die Verkehrsmuster eines IoT-Geräts einfach aufgezeichnet und anschließend erkannt werden, wenn der Datensatz ausreicht.

Wie Sean in seiner Antwort beschreibt , kann man das Wasser jedoch immer noch trüben. Wenn Ihr Gerät zusätzliche Spoofing-Daten sendet oder Bulk-Daten überträgt, die nicht in Echtzeit erfolgen müssen, wird die Musteranalyse sehr kompliziert.


Ich bin kein Anwalt

Helmar
quelle
7

Wenn der von Ihnen verwendete Dienst eine gewisse Latenz tolerieren kann, kann durch Weiterleiten des Datenverkehrs Ihres Geräts über das TOR-Netzwerk die Zieladresse für Ihren ISP nicht ermittelt werden, und die Quelladresse (Home-IP) kann für den ISP des Servers nicht ermittelt werden Gerät kommuniziert mit.

Wenn Sie nur ein Gerät in Ihrem Haus haben, kann Ihr ISP die Verkehrsmuster weiterhin leicht beobachten. Um dies zu verhindern, kann die Box, die Sie als TOR-Tunneleingang für Ihr Gerät verwenden, auch als TOR-Relais ("mittlerer" Knoten) fungieren. Der Datenverkehr, der in Ihre Box ein- und ausgeht, erschwert die Isolierung des Datenverkehrs, den Ihr Gerät generiert.

Sylvain
quelle
5

Bei Geräten, die besonders empfindlich sind, besteht eine gute Möglichkeit, zu verhindern, dass jemand das Verbindungsmuster abhört, darin, gefälschte Daten zu generieren oder die Verbindungszeiten absichtlich zu verschieben (wenn Daten nicht hochgeladen werden müssen, sobald sie generiert werden).

Wichtig ist, dass Sie statische Nutzdatengrößen verwenden oder plausible Nutzdatengrößen auch für die Dummy-Daten generieren müssen.

Obwohl dies am besten von dem betreffenden Gerät durchgeführt wird, können Sie möglicherweise ausreichend ähnlichen Datenverkehr von einem zweiten Gerät in Ihrem Netzwerk (entweder einem SBC oder einem zweiten Schlaf-Tracker oder was auch immer) generieren.

Wenn Ihre Daten vertraulich sind, greift grundsätzlich jemand den schwächsten Teil der Kette an, und dies ist möglicherweise nicht der spätere Transport.

Sean Houlihane
quelle
Wie wird der Empfänger der Daten reagieren? Wenn Sie nicht möchten, dass jemand Ihre Schlafmuster kennt, indem er Ihren Datenverkehr zur Schlafüberwachungs-Site überwacht, und wenn Sie anfangen, gefälschte Daten zu generieren, um diese auszublenden, müssen Sie gefälschte Daten an die reale Schlafmonitor-Site senden (in allen Fällen) Sie müssen die gefälschten Daten an die reale Site senden. Wie werden sie reagieren, wenn diese Praxis populär wird?
Mawg sagt, Monica am
1
@Mawg, ich denke, gefälschte Daten sind aus Entwicklersicht wahrscheinlicher, wenn Sie sowohl das Edge-Gerät als auch das Backend steuern.
Helmar
Ich kann zustimmen, aber das einzige Beispiel in der Frage ist ein (vermutlich kommerzieller) Schlafmonitor, und der Artikel, auf den verwiesen wird, scheint sich mit kommerziellen Geräten zu befassen.
Mawg sagt, Monica am
@Mawg, vorausgesetzt, der Entwickler hat vergessen, diese Funktion zu implementieren, gibt es sicherlich keinen Grund zur Sorge. Es sei denn, sie wollen mehr schlechte Werbung ... Vielleicht haben sie sogar https: // an derselben Adresse, wenn sie es nicht bemerken.
Sean Houlihane
Sicherlich wollen sie alle schlechte Werbung? Wie sonst können Sie wiederholte Datenverletzungen erklären? Der gesunde Menschenverstand würde darauf hinweisen, dass ich, wenn ich sehe, dass jemand anderes Opfer eines massiven Datenverstoßes wird, meine eigene Sicherheit verschärfe und Benutzerdaten, einschließlich Kreditkartennummern und Klartextkennwörter, nicht an öffentlich zugänglichen Orten belasse. Solche Verstöße treten mit monotoner Regelmäßigkeit auf. Ergo, sie haben schlechte Publicity wollen. Quoe Erat Demonstrandum
Mawg sagt, Monica am
4

Obwohl ich die Verwendung von TOR mag, können Sie möglicherweise nicht jedes Gerät für die Verwendung konfigurieren.

Der einfachste Weg wäre, etwas am Router zu tun, wo der gesamte Datenverkehr von allen Geräten in Ihr Haus ein- und ausgeht.

Ich würde einen VPN-Router empfehlen . Dadurch werden alle Daten verschlüsselt, die Ihr Zuhause verlassen, sodass niemand, selbst Ihr ISP, das Ziel sehen kann. Daten werden mit verschlüsseltem Ziel zum VPN-Server übertragen, der sie dann entschlüsselt und die Daten für Sie weiterleitet, wobei alle Antworten verschlüsselt gesendet werden.

Es gibt eine Menge von ihnen bei Amazon. Hier ist eine für 58 Dollar .

Was dieses Produkt macht

Der SafeStream Gigabit-Breitband-VPN-Router TL-R600VPN von TP-LINK unterstützt Gigabit-Ethernet-Verbindungen für WAN- und LAN-Ports, was eine kabelgebundene Hochgeschwindigkeitsverbindung garantiert. Es integriert auch mehrere VPN-Protokolle und hochsichere VPN-Funktionen, um den Mitarbeitern Remoteverbindungen zu ihrem Hauptbüro zu ermöglichen, als wären sie im Büro. Darüber hinaus schützen die zahlreichen Sicherheitsstrategien des TL-R600VPN wie SPI Firewall, DoS Defense und IP-MAC Binding Ihr Netzwerk vor den bekanntesten Angriffen. TL-R600VPN ist eine ideale Lösung für kleine Büros, die kostengünstige und zuverlässige VPN-Lösungen benötigen.

Hochsichere VPN-Funktionen

TL-R600VPN unterstützt IPsec- und PPTP-VPN-Protokolle und kann auch IPSec / PPTP / L2TP-Pass-Through-Verkehr verarbeiten. Der maximale Durchsatz kann 20 Mbit / s erreichen. Es verfügt außerdem über eine integrierte hardwarebasierte VPN-Engine, mit der der Router bis zu 20 LAN-zu-LAN-IPSec- und 16 PPTP-VPN-Verbindungen unterstützen und verwalten kann. Zu den erweiterten VPN-Funktionen gehören:

DES/3DES/AES128/AES192/AES256 encryption
MD5/SHA1 authentication
Manual/IKE key management
Main/Aggressive negotiation modes

Reichlich vorhandene Sicherheitsfunktionen

Zur Abwehr externer Bedrohungen verfügt der TL-R600VPN über die SPI-Firewall-Funktion. Darüber hinaus können DoS-Angriffe (Denial of Service) wie TCP / UDP / ICMP-Flooding, Ping of Death und andere damit verbundene Bedrohungen automatisch erkannt und blockiert werden. Darüber hinaus bietet dieser Router Funktionen zum Filtern von IP- / MAC- / Domänennamen, die Angriffe von Eindringlingen und Viren wirksam verhindern.

Für Anwendungen wie FTP, TFTP, H.323 und RTSP, die nicht gut mit NAT kompatibel sind, bietet TL-R600VPN Administratoren eine Ein-Klick-Aktivierung der ALG-Auswahlmöglichkeiten, die den oben genannten Anwendungen entsprechen.

Geben Sie hier die Bildbeschreibung ein Geben Sie hier die Bildbeschreibung ein

Es ist nicht klar, ob Sie für die Nutzung des VPN-Servers bezahlen müssen. Wenn Sie dies tun, gibt es auch einen Router, der TOR für 99,99 US-Dollar unterstützt (stellen Sie sich vor, was Sie mit diesem zusätzlichen Cent kalt machen ;-) Ich muss zugeben, dass einer gut aussieht. - Lesen Sie die vollständige Spezifikation, die zu umfangreich ist, um sie hier zu zitieren.

Mawg sagt, Monica wieder einzusetzen
quelle
1
Das VPN ist nur eine weitere Ebene der Verschlüsselung oder Verschleierung. Der ISP transportiert die Daten weiterhin, sodass die Musteranalyse des verschlüsselten Datenverkehrs "nur" etwas komplizierter wird.
Helmar
1
Natürlich können die 4.1 / 4.2-Aspekte des Papiers durch Ihren Ansatz erheblich gemildert werden.
Helmar
1
Sie haben absolut Recht und die Verwendung eines VPN ist die beste Option, um jemanden zu täuschen, der Ihren ausgehenden Datenverkehr liest. Das Papier geht jedoch ausdrücklich von einem Angreifer mit den Fähigkeiten eines ISP aus. Das ist schon ein durchaus fähiger Angreifer. Der Hauptnachteil von VPN-Diensten besteht darin, dass sie tatsächlich fähige Ziele für fähige Angreifer sind. Alle dreistelligen Gespenster werden wahrscheinlich keinen gewöhnlichen Menschen sehr interessieren. In einem Zentrum des Datenverkehrs sicherheitsbewusster Personen ist das wahrscheinlicher. (Beachten Sie, dass dies kein Aufruf für weniger Sicherheitsbewusstsein ist;))
Helmar
1
"Insbesondere kann ein Gegner in diesem Modell den gesamten Weitverkehrsnetzwerkverkehr beobachten und aufzeichnen, einschließlich des Verkehrs zu und von Heim-Gateway-Routern." Das Aufzeichnen des gesamten Weitverkehrsnetzwerkverkehrs ist etwas träge definiert, setzt jedoch im Grunde die Fähigkeit voraus, den gesamten Verkehr aufzuzeichnen und den Kommunikationspartner zu identifizieren. Ein ISP muss den Kommunikationspartner kennen, der sonst technisch nicht funktioniert. Sie können keine Pakete ohne Adressaten senden. Ihre VPN-Lösung fasst nur den gesamten Datenverkehr zu einem Adressaten zusammen. Das macht die Identifizierung von Streams viel komplizierter. (1/2)
Helmar
1
Wenn der VPN-Anbieter denselben ISP hat, kann der ISP möglicherweise den Datenverkehr über diesen Punkt abgleichen, wodurch die Verwendung des VPN weniger effektiv wird. Trotzdem musste der ISP wirklich interessiert sein - oder rechtlich gezwungen werden. (2/2)
Helmar