Privacidade dos Dados

No contexto da IoT existe um grande problema a nível de segurança: a privacidade dos dados dos utilizadores. Este é um dos problemas de segurança que nos levou à elaboração desta dissertação e também ao desenvolvimento da arquitetura proposta.

Em arquiteturas IoT convencionais, a falta de privacidade dos dados de quem os produz pode ter diversas consequências graves. Imaginemos que um determinado utilizador de uma rede IoT produz dados e envia-os para a rede. A partir do momento em que os dados saem da zona “segura” do utilizador, isto é, o dispositivo onde são produzidos, é perdido todo o controlo que o dono (o utilizador) dos dados tinha sobre eles. Esta perda de controlo acontece porque, uma vez que os dados abandonam o dispositivo sem proteção, o utilizador fica sem a noção da localização dos dados, sem a noção do número de cópias dos dados já efetuadas e sem a noção do número de indivíduos/entidades que tenham os seus próprios dados em mão, ilegalmente e violando a privacidade do produtor da informação em questão. Assim que os dados deixam os produtores, qualquer outra entidade que possa vir a obter esta informação pode expo-la

Figura 4.1: Gráfico da análise dos dados de um contador inteligente

publicamente; pode utilizá-la como informação sensível de credenciais para obter acesso ilegal a um determinado sistema, uma residência ou uma plataforma software online; pode vendê-la a entidades terceiras que, posteriormente, a podem utilizar para efeitos de publicidade não solicitada, pode utilizá-la para obter informações confidenciais sobre os utilizadores como seres humanos e prejudicá-los de forma física ou psicológica, de alguma maneira; pode comprometer a segurança de um país no caso de este fazer uso de uma plataforma IoT para produção e coleção de dados de diversas fontes; entre muitas outras forma de uso indevido de informação privada capturada por terceiros que não os donos desses mesmos dados.

Uma das aplicações da IoT é em residências ou edifícios que fazem uso de eletricidade, gás, água, etc. Para tal, são normalmente usados diversos contadores e medidores de quantidades. Produzem dados tendo em conta o contexto em que se incluem e para que foram concebidos. Estes dispositivos, quando associados a uma rede IoT e com as capacidades necessárias para que possam interagir com os outros componentes IoT, necessitam de enviar as informações produzidas para a rede. Esta informação é, na grande maioria das vezes, enviada primeiramente para um gateway. Após a receção dos dados, o gateway, procede então com o envio dos mesmos para a plataforma IoT que irá tratá-los, armazená-los e prepará-los para que possam posteriormente serem consultados por consumidores.

de produção de dados do utilizador em questão (dono dos dados) devidamente protegidos. Caso contrário, podem surgir complicações ao nível da privacidade dos dados. Neste contexto, a divulgação de medições e contagens efetuadas por medidores/contadores de gás, eletricidade e água podem trazer graves consequências. Imaginemos que não existe qualquer mecanismo de segurança dos dados numa determinada plataforma IoT. Caso os dados vazem da zona de segurança e um atacante se apoderasse dos mesmos, ele poderia aceder a informação vital sobre os utilizadores. Como é possível observar, na Figura 4.1 está presente um gráfico originado com a ajuda dos dados recolhidos por um contador inteligente de eletricidade localizado numa residência habitada por uma família comum. O eixo horizontal contém os instantes de tempo de amostragem em horas e o eixo vertical contém os valores medidos de energia em watts. Os pontos vermelhos representam uma medição efetuada. Verifica-se, portanto, que o gráfico representa a energia consumida pela residência em questão no intervalo de um dia. Desde as duas horas até perto das oito horas da manhã deste dia, verificam-se utilizações de energia mais ou menos constantes. O atacante, através da análise destes dados e conhecendo padrões de utilização de energia de diversos eletrodomésticos e equipamentos (o que pode requerer um estudo adicional), pode afirmar, com uma grande probabilidade de acerto, que, durante a noite, esta residência apenas tem um consumidor de energia elétrica a trabalhar e ligado à eletricidade. Através destas inferências e com a ajuda de outros dados medidos em diferentes dias, o atacante pode verificar se é muito frequente ou não a existência de atividade noturna por parte dos habitantes desta residência. Caso tal comportamento seja frequente, o atacante pode planear um certo tipo de ataque físico que tenha a residência (ou até mesmo os seus habitantes) como alvo. Caso se verifique a existência de atividade durante a noite: por exemplo um aumento de energia consumida de três em três horas, o atacante pode, por exemplo, deduzir que existem bebés presentes na residência pois estes necessitam de ser amamentados nos períodos de tempo referidos e, para tal, é necessário ligar luzes e, eventualmente, aquecer leite num micro-ondas. Esta informação obtida por atacantes, que apenas analisam os dados recolhidos e não seguros de medições efetuadas por contadores inteligentes de plataformas IoT, permite aos primeiros obter informações sensíveis e privadas dos donos dos dados. Continuando a análise do gráfico da Figura 4.1, verifica-se um aumento e variações de quantidade de energia que está a ser utilizada entre as oito horas da manhã e por volta das dez horas e trinta minutos da manhã. A energia gasta corresponde, muito provavelmente, à quantidade de eletricidade necessária para que os aparelhos de banhos e eletrodomésticos para preparação de pequeno-almoço possam funcionar corretamente. O atacante sabe, assim, que é naquele intervalo de tempo que as pessoas se preparam para saírem de casa para o trabalho. Para além disso, é possível também determinar o número de pessoas que se levanta e toma o pequeno-almoço através da

análise dos padrões de energia. Durante a tarde, caso se verifique um consumo de energia em muito semelhante ao verificado durante a noite (como acontece neste caso), o atacante pode inferir que não está ninguém presente na habitação em um determinado dia da semana devido à frequência de padrões de baixa utilização da energia elétrica às quintas-feiras, por exemplo. Análises similares podem ser efetuadas aos restantes intervalos de tempo do dia em questão. Esta análise também pode ser aplicada em contadores de água e de gás. Medições de consumo de água pode acrescentar informação adicional que, combinada com medições de outros tipos ajudam a elaborar inferências sobre o estilo de vida dos residentes. Um exemplo é: um residente pode levantar-se a meio da noite para ir à casa de banho e utilizar apenas água, não sendo necessário um consumo de eletricidade muito significativo. Ainda neste caso, é possível verificar uma explosão na quantidade de energia que é gasta à noite, entre as vinte horas e as duas horas da manhã, podendo significar que uma placa de indução ou uma máquina de lavar a loiça estariam em funcionamento. Desta forma, é altamente provável que um atacante saiba que, naquele dia, os residentes jantaram em casa e não saíram de casa após a refeição.

Existe ainda uma outra questão pela qual não entraremos com muito detalhe. Essa questão é a lei existente para o armazenamento seguro e proteção de informação sensível em bases de dados exteriores [8], [13]. Existem normas legais acerca deste assunto. Caso dados sensíveis não estejam devidamente protegidos (ou seja, fortemente cifrados) aquando do seu armazenamento, tal pode constituir uma violação à lei em alguns países. A falta de privacidade dos donos deste tipos de dados não é tolerada e os responsáveis por plataformas deste género podem ser vir a ser sancionados judicialmente.

Como é possível verificar, a privacidade e o controlo dos dados que o utilizador produz pode trazer diversos e graves problemas, caso não seja devidamente respeitada e protegida. É a pensar na privacidade dos residentes que utilizam contadores e medidores inteligentes de eletricidade, água e gás que se propõe uma arquitetura IoT que preserva a segurança deste tipo de informação, mantendo a privacidade do utilizador intacta, sendo que estes apenas podem ser acedidos no domínio seguro e proprietário do utilizador. Contudo, a arquitetura que é apresentada também é válida para outros casos de uso de plataformas IoT que procurem manter a privacidade dos dados dos seus utilizadores.