Ich habe mit Leuten gesprochen, die in einem Bereich namens IoT-Forensik arbeiten, bei dem es im Wesentlichen darum geht, in diesen Geräten herumzuschnüffeln, um Daten und letztendlich Hinweise zu finden. Obwohl Strafverfolgungsbehörden und Gerichte in den USA nicht oft explizit auf Daten von IoT-Geräten verweisen, werden diese Geräte zu einem immer wichtigeren Bestandteil der Fallbearbeitung. Das liegt daran, dass sie, wenn sie an einem Tatort anwesend sind, Geheimnisse bergen, die mit bloßem Auge unsichtbar sein könnten. Geheimnisse wie das Ausschalten eines Lichts, das Aufbrühen einer Kanne Kaffee oder das Einschalten eines Fernsehers können bei einer Untersuchung entscheidend sein.
Mattia Epifani ist so eine Person. Er bezeichnet sich selbst nicht als Hacker, aber er ist jemand, an den sich die Polizei wendet, wenn sie Hilfe bei der Untersuchung benötigt, ob Daten aus einem Gegenstand extrahiert werden können. Er ist Digital Forensic Analyst und Dozent am SANS Institute und hat mit Anwälten, Polizisten und Privatkunden auf der ganzen Welt zusammengearbeitet.
„Ich bin wie … besessen. Jedes Mal, wenn ich ein Gerät sehe, denke ich, Wie könnte ich Daten von dort extrahieren? Ich mache das natürlich immer auf Testgeräten oder unter Genehmigung“, sagt Epifani.
Smartphones und Computer sind die häufigsten Arten von Geräten, die die Polizei beschlagnahmt, um Ermittlungen zu unterstützen, aber Epifani sagt, dass Beweise für ein Verbrechen von allen möglichen Orten kommen können: „Es kann ein Ort sein. Es kann eine Nachricht sein. Es kann ein Bild sein. Es kann alles sein. Vielleicht kann es auch die Herzfrequenz eines Nutzers sein oder wie viele Schritte der Nutzer gegangen ist. Und all diese Dinge werden im Grunde auf elektronischen Geräten gespeichert.“
Nehmen wir zum Beispiel einen Kühlschrank von Samsung. Epifani verwendete Daten von VTO Labs, einem Labor für digitale Forensik in den USA, um zu untersuchen, wie viele Informationen ein intelligenter Kühlschrank über seine Besitzer speichert.
VTO Labs hat das Datenspeichersystem eines Samsung-Kühlschranks rückentwickelt, nachdem es das Gerät mit Testdaten gefüllt, diese Daten extrahiert und eine Kopie seiner Datenbanken öffentlich auf seiner Website zur Verwendung durch Forscher veröffentlicht hatte. Steve Watson, der CEO des Labors, erklärte, dass dies darin besteht, alle Orte zu finden, an denen der Kühlschrank Daten speichern könnte, sowohl innerhalb des Geräts selbst als auch außerhalb, in Apps oder Cloud-Speichern. Danach machte sich Epifani an die Arbeit, analysierte und organisierte die Daten und verschaffte sich Zugang zu den Dateien.
Was er fand, war eine Fundgrube an persönlichen Daten. Epifani fand Informationen über Bluetooth-Geräte in der Nähe des Kühlschranks, Details zu Samsung-Benutzerkonten wie E-Mail-Adressen und Wi-Fi-Heimnetzwerke, Temperatur- und Geolokalisierungsdaten sowie stündliche Statistiken zum Energieverbrauch. Der Kühlschrank speicherte Daten darüber, wann ein Benutzer Musik über eine iHeartRadio-App abgespielt hat. Epifani konnte dank der darin eingebetteten kleinen Kamera sogar auf Fotos von Diet Coke und Snapple in den Regalen des Kühlschranks zugreifen. Darüber hinaus fand er heraus, dass der Kühlschrank viel mehr Daten speichern könnte, wenn ein Benutzer den Kühlschrank über ein zentralisiertes persönliches oder gemeinsames Familienkonto mit anderen Samsung-Geräten verbinden würde.
Nichts davon ist unbedingt geheim oder wird den Leuten beim Kauf dieses Kühlschrankmodells nicht offenbart, aber ich hätte sicherlich nicht erwartet, dass ein Polizist – natürlich mit einem Haftbefehl – mein hungriges Gesicht sehen könnte, wenn gegen mich ermittelt würde Mal öffnete ich meinen Kühlschrank auf der Suche nach Käse. Samsung hat auf unsere Bitte um Stellungnahme nicht geantwortet, aber es folgt ziemlich üblichen Praktiken in der Welt des IoT. Viele dieser Arten von Geräten greifen auf ähnliche Arten von Daten zu und speichern diese.