Comment puis-je empêcher mon appareil de divulguer des données sensibles à travers les empreintes digitales du trafic?

8

Selon le récent article A Smart Home is No Castle: Vulnérabilités de confidentialité du trafic IoT crypté , de nombreux dispositifs de maison intelligente peuvent être «empreints» par leurs modèles de connexion. Étant donné que la plupart des appareils se connectent à un petit ensemble d'URL lorsqu'ils sont invoqués, il est possible qu'un attaquant (ou un FAI hostile) détermine quand vous utilisez chaque appareil.

Par exemple, ils ont suivi le trafic allant vers les serveurs Alexa à partir d'un routeur domestique (les URL qu'ils ont utilisées sont dans la figure 1 du document):

Alexa Traffic Pattern

Ils montrent également qu'un principe similaire peut être utilisé pour déterminer quand un moniteur de sommeil est utilisé (et donc lorsque vous vous réveillez / vous endormez), ou lorsqu'un interrupteur intelligent est basculé.

De toute évidence, il est troublant que vous puissiez obtenir autant d'informations d'un appareil, même s'il est crypté. Il semble plus difficile d'obtenir beaucoup d'informations du trafic informatique, car les serveurs auxquels on accède sont beaucoup plus diversifiés, mais pour un appareil IoT qui ne `` rappelle '' qu'à un serveur spécifique, il semble facile de savoir quel appareil a été utilisé et quand.

Étant donné que de nombreux pays stockent des métadonnées comme celle-ci, il est possible qu'ils puissent utiliser cette méthode eux-mêmes pour déterminer votre activité, et la même quantité de données serait divulguée à tout attaquant au niveau du réseau.

Existe-t-il des moyens d'empêcher le trafic de prendre les empreintes digitales de cette manière, ou au moins de réduire la quantité de données sensibles qui peuvent être extraites?

privacy https tls Aurora0001
la source

Réponses:

4

Quelles sont les étapes de la fuite de confidentialité décrites?

Fondamentalement, il y a trois parties pour obtenir les informations décrites dans l'article.

  1. Une partie intéressée enregistrant le trafic sortant (2)
  2. Ladite partie pouvant diviser les flux de trafic (4.1)
  3. Analyser les différents flux de trafic
    • Dispositif d'identification (type) (4.2)
    • Analyse de la configuration du dispositif (5)

Enregistrement du trafic sortant

Bien que l'attaquant soit simplement supposé dans le document comme une condition préalable, c'est déjà tout à fait un obstacle.

Plus précisément, un adversaire dans ce modèle peut observer et enregistrer tout le trafic réseau étendu, y compris le trafic vers et depuis les routeurs de passerelle domestique.

Ce n'est pas beaucoup d'attaquants potentiels. Fondamentalement, c'est le FAI que vous utilisez pour vous connecter à Internet, aux opérateurs WAN et aux agences de renseignement intéressées. Heureusement, celui qui a l'accès le plus simple, votre FAI, n'est probablement pas intéressé car cela n'aide pas vraiment son modèle commercial. D'un autre côté, les FAI sont ceux que les tribunaux peuvent obliger à enregistrer et à fournir ces informations.

Nous supposons que les FAI ne sont généralement pas intéressés à effectuer des attaques actives ciblées sur des utilisateurs individuels.

Sans être intéressés par ces attaques, ils pourraient très bien être contraints de fournir les informations. Bien sûr, cela dépend des lois du pays dans lequel ils opèrent.

En supposant que vous n'avez pas obtenu de tribunal pour contraindre votre FAI ou que vous ayez attiré l'attention d'une agence de renseignement dotée des capacités nécessaires pour enregistrer le trafic, l'attaquant le plus susceptible de pouvoir utiliser les étapes supplémentaires serait un routeur domestique compromis.

Fractionnement des flux de trafic

La répartition en flux de trafic est supposée être effectuée en les regroupant par le partenaire de communication externe, par exemple les services avec lesquels les dispositifs IoT communiquent. L'attaquant susmentionné a évidemment l'adresse IP cible, après que toutes les informations sont nécessaires pour obtenir les informations à leur place.

Une bonne possibilité que Mawg décrit dans sa réponse est l'utilisation d'un fournisseur de services VPN. Avec l'utilisation d'un VPN, le FAI ou un autre attaquant capable ne peut pas déduire la cible réelle de la communication puisque chaque communication est adressée au fournisseur de services VPN. Cependant, cela permet à une autre partie d'être l'attaquant de ce modèle, le fournisseur de services VPN.

En utilisant un routeur VPN, vous permettez essentiellement à une autre partie d'être cet attaquant. L'avantage du réseau TOR tel que mentionné dans la réponse de Sylvain est l'obscurcissement des flux tout en ne permettant pas simultanément à un autre joueur de proverbe l'homme au milieu. Si vous utilisez TOR, vous aurez besoin de très malchance dans les nœuds TOR ou de parties vraiment intéressées pour permettre à l'attaquant d'identifier les flux.

Cette sous - section de l'article Wiki décrit les possibilités théoriques d'identifier toujours la source et la cible des communications TOR. Bien que ces méthodes nécessitent des ressources importantes et un accès à la structure Internet de base, ce qui nous ramène à nouveau au même groupe d'attaquants potentiels que celui mentionné précédemment. Cependant, ils auraient besoin d' encore plus de motivation pour investir l'effort de suivre ce trafic.

Si vous VPN avec l'une ou l'autre solution sur des juridictions (continents ou au moins des pays, pas des comtés ou similaires), vous êtes probablement à l'abri des procédures judiciaires.

Sommaire:

  • Lorsque vous utilisez un fournisseur VPN dédié, vous devez évaluer la fiabilité dudit fournisseur par rapport à votre propre FAI. Cela déplace simplement la capacité d'attaque vers une autre partie.
  • Lors de l'utilisation de TOR, considérez comment cela fonctionne et qui possède (et paie) les nœuds de sortie
  • L'une ou l'autre solution ajoute des obstacles importants à la division du flux de trafic.
  • L'une ou l'autre solution rendra probablement les procédures judiciaires pour rendre les données inutiles lorsqu'elles s'étendent sur plusieurs juridictions. 1

Analyser les différents flux de trafic

C'est en fait trivial pour quiconque a franchi les deux premiers obstacles. À moins que vous n'ayez une solution maison, les modèles de trafic de tout appareil IoT peuvent être facilement enregistrés et ensuite reconnus lorsque l'ensemble de données est suffisant.

Cependant, comme Sean le décrit dans sa réponse, vous pouvez toujours brouiller les eaux. Si votre appareil envoie des données d'usurpation d'identité supplémentaires ou transmet en masse des données qui ne doivent pas nécessairement être en temps réel, l'analyse de modèle devient vraiment compliquée.

1 pas un avocat

Helmar
la source
7

Si le service que vous utilisez peut tolérer une certaine latence, le routage du trafic de votre appareil via le réseau TOR rendrait l'adresse de destination impossible à déterminer pour votre FAI, et l'adresse source (IP domestique) impossible à déterminer pour le FAI du serveur de votre l'appareil communique avec.

Si vous n'avez qu'un seul appareil dans votre maison, les schémas de trafic seront toujours facilement observables par votre FAI. Pour éviter cela, le boîtier que vous utilisez comme entrée de tunnel TOR pour votre appareil pourrait également servir de relais TOR (nœud "central"). Ensuite, le trafic entrant et sortant de votre box rendra le trafic généré par votre appareil plus difficile à isoler.

Sylvain
la source
5

Pour les appareils particulièrement sensibles, un bon moyen d'empêcher quelqu'un d'espionner le modèle de connexion est de générer des données d'usurpation ou de fausser intentionnellement les temps de connexion (si les données n'ont pas besoin d'être téléchargées dès qu'elles sont générées).

Surtout, vous devez utiliser des tailles de charge utile statiques ou générer des charges utiles de taille plausible pour les données factices également.

Bien que cela soit mieux effectué par l'appareil en question, vous pouvez potentiellement être en mesure de générer un trafic suffisamment similaire à partir d'un 2e appareil de votre réseau (soit un SBC, soit un 2e suivi du sommeil ou autre).

Fondamentalement, si vos données sont sensibles, quelqu'un attaquera la partie la plus faible de la chaîne, et ce ne sera peut-être pas le transport plus tard.

Sean Houlihane
la source
Comment le destinataire des données va-t-il réagir? Si vous ne voulez pas que quelqu'un connaisse vos habitudes de sommeil en surveillant votre trafic vers le site du moniteur de sommeil et si vous commencez à générer de fausses données pour le cacher, vous devrez envoyer de fausses données au vrai site du moniteur de sommeil (dans tous les cas, vous devrez envoyer les fausses données sur le site réel .. comment vont-ils réagir lorsque cette pratique deviendra populaire?
Mawg dit de rétablir Monica le
1
@Mawg, je suppose que les données d'usurpation d'identité sont plus susceptibles d'être utilisées du point de vue du développeur où vous contrôlez à la fois le périphérique périphérique et le backend.
Helmar
Je peux être d'accord, mais le seul exemple dans la question est un moniteur de sommeil (probablement commercial), et l'article référencé semble concerner les appareils commerciaux.
Mawg dit réintégrer Monica le
@Mawg, en supposant que le développeur a oublié d'implémenter cette fonctionnalité, il n'y a sûrement rien à craindre. A moins qu'ils ne veuillent plus de mauvaise publicité ... Peut-être qu'ils ont même https: // sur la même adresse, quand ils pourraient ne pas le remarquer.
Sean Houlihane
Certes, ils veulent tous une mauvaise publicité? Comment expliquer autrement les violations répétées des données? Le bon sens indiquerait que si je vois quelqu'un d'autre être victime d'une violation massive de données, je renforcerai ma propre sécurité, sans laisser les détails de l'utilisateur, y compris les numéros de carte de crédit et les mots de passe en texte brut, dans des endroits accessibles au public. Ces violations se produisent avec une régularité monotone. Ergo, ils ne veulent mauvaise publicité. Quoe Erat Demonstrandum
Mawg dit réintégrer Monica le
4

Bien que j'aime l'utilisation de TOR, vous ne pourrez peut-être pas configurer chaque appareil pour l'utiliser.

Le moyen le plus simple serait de faire quelque chose au niveau du routeur, où tout le trafic, de tous les appareils, entre et sort de votre maison.

Je recommanderais un routeur VPN . Cela cryptera toutes les données quittant votre domicile, afin que personne, même vous, votre FAI, ne puisse voir sa destination. Les données sont acheminées, avec destination cryptée, vers le serveur VPN, qui les décrypte ensuite et achemine les données pour vous, en envoyant toutes les réponses cryptées.

Il y en a un tas sur Amazon. En voici un pour 58 $ .

Ce que fait ce produit

Le routeur VPN haut débit Gigabit SafeStream de TP-LINK TL-R600VPN prend en charge les connexions Gigabit Ethernet pour les ports WAN et LAN, ce qui garantit une connectivité filaire à haut débit. Il intègre également plusieurs protocoles VPN et des capacités VPN haute sécurité pour permettre aux employés de se connecter à distance à leur bureau principal comme s'ils étaient au bureau. En outre, les nombreuses stratégies de sécurité du TL-R600VPN telles que le pare-feu SPI, la défense DoS et la liaison IP-MAC aident à protéger votre réseau contre la plupart des attaques connues. TL-R600VPN est une solution idéale pour les petits bureaux qui ont besoin de solutions VPN économiques et fiables.

Capacités VPN haute sécurité

Le TL-R600VPN prend en charge les protocoles VPN IPsec et PPTP et peut également gérer le trafic direct IPsec / PPTP / L2TP. Le débit maximal peut atteindre 20 Mbps. Il dispose également d'un moteur VPN matériel intégré permettant au routeur de prendre en charge et de gérer jusqu'à 20 connexions IPsec LAN à LAN et 16 connexions VPN PPTP. Les fonctionnalités VPN avancées comprennent:

DES/3DES/AES128/AES192/AES256 encryption
MD5/SHA1 authentication
Manual/IKE key management
Main/Aggressive negotiation modes

Fonctions de sécurité abondantes

Pour la défense contre les menaces externes, le TL-R600VPN dispose de la fonction de pare-feu SPI. De plus, il peut détecter et bloquer automatiquement les attaques par déni de service (DoS) telles que les inondations TCP / UDP / ICMP, Ping of Death et d'autres menaces connexes. De plus, ce routeur fournit des fonctions de filtrage IP / MAC / nom de domaine, qui empêchent avec force les attaques d'intrus et de virus.

Pour les applications telles que FTP, TFTP, H.323 et RTSP qui ne sont pas bien compatibles avec NAT, le TL-R600VPN offre aux administrateurs une activation en un clic des choix ALG correspondant aux applications susmentionnées.

entrez la description de l'image ici entrez la description de l'image ici

Il n'est pas clair si vous devez payer pour l'utilisation du serveur VPN. Si vous le faites, il y a aussi un routeur qui prend en charge TOR pour 99,99 $ (imaginez ce que vous faites à froid avec ce sou supplémentaire ;-) Je dois admettre que celui-ci a l'air bien. - lire la spécification complète, qui est trop longue pour être citée ici.

Mawg dit réintégrer Monica
la source
1
Le VPN n'est qu'une autre couche de chiffrement ou d'obscurcissement. L'ISP transportera toujours les données, ainsi l'analyse de modèle du trafic chiffré devient "juste" un peu plus compliquée.
Helmar
1
Bien sûr, les aspects 4.1 / 4.2 du document peuvent être considérablement atténués par votre approche.
Helmar
1
Vous avez absolument raison et l'utilisation d'un VPN est la meilleure option pour tromper quelqu'un qui lit votre trafic sortant. Cependant, l'article suppose explicitement un attaquant doté des capacités d'un FAI. C'est déjà un attaquant tout à fait capable. Le principal inconvénient des services VPN est qu'ils sont en fait des cibles valables pour des attaquants capables. Tous les fantômes à trois lettres ne seront probablement pas très intéressés par une personne ordinaire. Dans un centre de trafic de données de personnes soucieuses de la sécurité, c'est plus probable. (N'oubliez pas que ce n'est pas un appel à moins de sensibilisation à la sécurité;))
Helmar
1
"Plus précisément, un adversaire de ce modèle peut observer et enregistrer tout le trafic réseau étendu, y compris le trafic vers et depuis les routeurs de passerelle domestique." L'enregistrement de tout le trafic du réseau étendu est défini un peu paresseux, mais il suppose essentiellement la possibilité d'enregistrer tout votre trafic et d'identifier le partenaire de communication. Un FAI doit connaître le partenaire de communication, il ne fonctionne pas techniquement autrement. Vous ne pouvez pas envoyer de colis sans destinataires. Votre solution VPN regroupe simplement tout le trafic vers un seul destinataire. Cela rend l'identification des flux beaucoup plus compliquée. (1/2)
Helmar
1
Si le fournisseur VPN a le même FAI, le FAI peut être en mesure de faire correspondre le trafic via ce point, ce qui rend l'utilisation du VPN moins efficace. Le FAI devait toujours être vraiment intéressé - ou légalement contraint. (2/2)
Helmar