Internet de les coses: quan els electrodomèstics es converteixen en objectiu dels ciberatacs

Amb un mínim de 20 mil milions de dispositius que es preveu que estiguin connectats a internet l’any 2020, la internet de les coses ha arribat per quedar-se. Tot i que té molts efectes positius innegables, les amenaces i els riscos relacionats són múltiples i evolucionen molt ràpidament.

Per aquest motiu, l’ENISA (agència europea per a la seguretat de la xarxa i la informació) i l’Europol han unit esforços per fer front a aquests desafiaments de seguretat juntament amb membres del sector privat, la comunitat de seguretat i policia, l’Equip de resposta a incidents d’informàtica (CSIRT), la ciutadania i el món acadèmic.

La internet de les coses és un ecosistema ampli i divers en què els dispositius i serveis interconnectats recopilen, intercanvien i processen dades per adaptar-se dinàmicament a un context. Això fa que les nostres càmeres, televisors, rentadores i sistemes de calefacció siguin “intel·ligents” i creïn noves oportunitats per a la nostra manera de treballar, interactuar i comunicar, i que els dispositius reaccionin i s’adaptin a nosaltres.

És important entendre la necessitat d’assegurar aquests dispositius connectats i desenvolupar i implementar mesures de seguretat adequades per protegir la internet de les coses contra les amenaces cibernètiques. Més enllà de les mesures tècniques, l’adopció de la internet de les coses ha plantejat molts reptes jurídics i normatius, que són nous i d’un abast ampli i complex. Per fer front a aquests reptes, és fonamental la cooperació entre diferents sectors i diferents actors.

El treball de l’Europol, juntament amb la voluntat de tots els actors internacionals pertinents d’assegurar que els nombrosos beneficis de la internet de les coses es puguin realitzar plenament, aborden conjuntament els reptes de la seguretat i la lluita contra l’ús il·legal d’aquests dispositius, fent que el ciberespai sigui un lloc més segur per a tot:

  • La necessitat d’una major cooperació i participació de múltiples grups d’interès per abordar la interoperabilitat, així com els problemes de seguretat, especialment amb el desenvolupament emergent de la indústria 4.0, els vehicles autònoms i l’arribada de la 5G.
  • Com que el dispositiu final pot arribar a ser tècnicament difícil i costós d’aconseguir, l’enfocament ha de ser, per tant, assegurar l’arquitectura i la infraestructura subjacent, creant confiança i seguretat en diferents xarxes i dominis.
  • Hi ha la necessitat de crear incentius més forts per abordar els problemes de seguretat relacionats amb la internet de les coses. Això requereix aconseguir un equilibri òptim entre l’oportunitat i el risc en un mercat on predomina la gran escalabilitat i el temps de mercat, posicionant la seguretat com un avantatge comercial diferenciador.
  • Per investigar eficientment i eficaçment l’abús criminal de la internet de les coses, la dissuasió és una altra dimensió que requereix una forta cooperació entre l’aplicació de la llei, la comunitat CSIRT, la comunitat de seguretat i el poder judicial.
  • Això crea una necessitat urgent d’aplicar la llei per desenvolupar les habilitats tècniques i l’experiència necessària per combatre amb èxit la lluita contra el cibercrim relacionat amb la internet de les coses.
  • Aquests esforços s’han de complementar augmentant la consciència dels usuaris finals sobre els riscos de seguretat dels dispositius.
  • Aprofitant les iniciatives i els marcs existents, es requereix un enfocament multidisciplinari que combini i complementi les accions en l’àmbit legislatiu, regulador i polític, i el nivell tècnic per assegurar l’ecosistema de la internet de les coses.

Apunt relacionat: Quines són les principals amenaces i tendències de la delinqüència a internet?

Esta entrada en español / This post in English / Post en français

 

Es pot enganyar els sistemes de reconeixement facial?

Fer servir unes ulleres pot ajudar a evitar que les persones siguin identificades per sistemes de reconeixement facial. Ho ha demostrat un equip d’investigadors de la Universitat Carnegie Mellon de Pittsburgh, que ha dissenyat unes ulleres que aconsegueixen aquest objectiu.

L’engany es planteja com un atac a aquests sistemes i el punt de partida dels acadèmics era aconseguir un mètode discret i físicament realitzable, dos factors que no s’havien tingut en compte en investigacions prèvies. El primer, la discreció, implicava que el sistema no havia de detectar que algú estava intentant burlar-lo. Amb el segon factor, pretenien que el mètode es pogués portar a terme contra sistemes d’identificació actuals (estudis anteriors es basaven en tecnologia obsoleta), especialment els que utilitzen algoritmes d’aprenentatge automàtic.[1]

Amb unes ulleres de colors impreses en paper fotogràfic, en alguns casos posades sobre fotografies i en d’altres utilitzades pels investigadors, han aconseguit que quan la persona és captada per un sistema de reconeixement facial, o bé no sigui identificada o fins i tot sigui identificada com una altra persona. Els resultats s’han assolit tant contra un programa de reconeixement facial comercial, com contra sistemes genèrics basats en algoritmes d’aprenentatge automàtic.

Els autors reconeixen que l’efectivitat del seu sistema es pot veure condicionada per factors externs que influeixin en la manera com es capten les imatges, com ara la il·luminació o la distància a la càmera. També admeten que les ulleres poden ser discretes per als sistemes de reconeixement, però no per als humans, que percebrien estranyes les ulleres. No obstant això, volen posar sobre la taula el fet que aquests sistemes no són infal·libles i que cal estar amatents a les seves vulnerabilitats. D’altra banda, també aclareixen que una de les línies de treball futures és la d’explorar la manera de reduir els riscos que aquest tipus d’atac suposen per als sistemes de reconeixement facial.

Investigacions com aquesta ens demostren que els avenços tecnològics, malgrat que ajuden clarament a la gestió de la seguretat, encara son fal·libles i que cal ser conscients de les seves febleses quan es decideix implantar-los o quan s’utilitzen.

Fonts:

[1] Els algoritmes d’aprenentatge automàtic parteixen d’una base de dades amb un conjunt d’imatges etiquetades, amb múltiples imatges per persona. Per a cada persona, analitzen totes les imatges disponibles i obtenen un patró o model que les caracteritza, diferencia i identifica. Quan reben una nova imatge, la comparen amb els patrons per decidir si correspon a alguna de les persones de la base de dades o no.

_____

Esta entrada en español / This post in English / Post en français

La proliferació de videocàmeres mòbils condiciona les actuacions policials

“Com ha influït en el comportament policial relacionat amb l’ús de la força l’omnipresència de dispositius d’enregistrament en vídeo entre els ciutadans i la capacitat que qualsevol persona pugui difondre directament a les xarxes socials els seus enregistraments?”. Aquesta és la pregunta que pretenia respondre la investigació publicada per la British Journal of Criminology i realitzada per Gregory R. Brown, policia i investigador de doctorat al Departament de Sociologia i Antropologia de la Universitat de Carleton (el Canadà) [1].

La hipòtesi de partida és que la relació entre la policia i la ciutadania s’ha vist condicionada per tres factors relacionats amb la tecnologia: la proliferació de dispositius que permeten fer enregistraments en vídeo, la implicació de bona part de la població en l’anomenat ‘periodisme ciutadà’ i la proliferació de nous mitjans de comunicació o espais on els ciutadans poden publicar els seus continguts. Això ha provocat que la tasca policial sigui avui dia molt més visible i que els agents tinguin la sensació d’estar permanentment observats i qüestionats quan han d’utilitzar la força en les seves actuacions.

Per tal de conèixer l’abast d’aquesta percepció entre els policies, Brown va utilitzar una doble metodologia, quantitativa i qualitativa. Per a la part quantitativa, va enquestar 231 policies (129 de la Policia de Toronto i 102 de la Policia d’Ottawa), que havien de complir el requisit de tenir una experiència mínima de 10 anys de patrullatge en entorns urbans. Per a la part qualitativa, va fer 20 entrevistes semiestructurades a 20 d’aquests policies (10 de cada cos), a més d’altres entrevistes a responsables polítics i sindicals, comandaments policials i experts en l’ús de la força per part de la policia. Aquest treball de camp es va fer entre finals del 2012 i començaments del 2013.

Els resultats van ser prou clars en la majoria dels casos.

  • El 94% dels policies enquestats van manifestar que eren conscients d’haver estar enregistrats en vídeo per ciutadans mentre realitzaven la seva tasca (només el 6% manifestava que n’havia estat abans de l’any 2000).
  • Més de la meitat van donar la màxima puntuació a la seva preocupació de ser enregistrats en qualsevol moment de la seva tasca policial.
  • Gairebé el 70% dels agents van respondre que sovint o amb força freqüència els enregistraments en vídeo eren el tema principal en les converses de feina.
  • El 74% dels participants a l’enquesta van informar que havien canviat algunes pautes d’actuació davant la possibilitat que els ciutadans els poguessin enregistrar, i per a 128 dels agents aquests canvis estaven relacionats amb actuacions en què havien d’utilitzar la força.

Aquests resultats quantitatius es ratificaven en tots els casos amb la informació qualitativa obtinguda a través de les entrevistes.

[1] Brown, G . (2016). The Blue Line on Thin Ice. Police Use of Force Modifications in the Era of Cameraphones and YouTube. British Journal of Criminology, 56 (2). Pàg. 293-312. DOI:10.1093/bjc/azv052

_____

Esta entrada en español / This post in English / Post en français

El ‘brainprint’: un mètode per verificar la identitat més eficaç que les empremtes dactilars o l’escàner ocular

18_brain-770044_960_720

El Basque Center on Cognition, Brain and Language de Sant Sebastià, juntament amb la Binghamton University dels Estats Units, estan desenvolupant una tecnologia biomètrica basada en el brainprint, l’escàner de reaccions cerebrals a determinats estímuls (la lectura de paraules o l’observació de fotografies). L’escàner es porta a terme amb elèctrodes col·locats al cap que enregistren diferents reaccions encadenades en forma d’ones cerebrals, les quals, segons sembla, són úniques per a cada individu.

El maig del 2015, els centres que col·laboren en la recerca van publicar a la revista Neurocomputing que l’exactitud en el reconeixement dels 32 individus que s’havien sotmès a les proves havia estat del 97%. En aquesta fase, se’ls havia testat la reacció a acrònims com DVD o FBI i a un seguit d’imatges de mig segon de durada (per exemple, un tros de pizza, un vaixell o l’actriu Anne Hathaway).

Amb tot, en una entrevista concedida uns mesos després a una publicació en línia de la mateixa Universitat de Binghamton, un dels coordinadors del projecte, el professor Zhapeng Jin, va assenyalar que ja havien assolit el resultat del 100% d’exactitud. Segons el professor, aquest increment es deu al fet que les proves posteriors s’havien centrat en parts del cervell no volitives i no en les del pensament actiu, que són menys estables als processos d’aprenentatge o experimentació.

Aquest mètode es presenta com una alternativa més segura que les utilitzades fins ara per identificar individus, perquè, malgrat la precisió de l’anàlisi de les empremtes dactilars (que segons un estudi nord-americà de la National Academy of Sciences és del 99,8%), els equips policials i de seguretat han detectat un seguit de casos que fan possible suplantar una identitat. Un exemple que exposa el professor Jin, potser una mica extrem però il·lustratiu, és fer servir un dit tallat a una persona per identificar-se en lloc seu. També s’ha assenyalat la possibilitat de crear motlles després d’obtenir l’empremta d’una determinada persona en un objecte. Els escàners d’iris presentarien, d’acord amb l’estudi, un problema similar. En tots dos casos, es podria forçar una persona a identificar-se. En el cas de l’escàner cerebral, no es pot comprometre la identitat d’una persona d’aquesta manera, perquè si la forcessin “a punta de pistola” li causarien un estat d’estrès que n’alteraria la capacitat cerebral.

El problema obvi que presenta actualment el brainprint és la necessitat de disposar d’un casc amb elèctrodes, i això resulta car i poc disponible per a l’ús quotidià. Precisament per això, i donat l’estat de desenvolupament d’aquesta tecnologia, no es presenta com un identificador per utilitzar, per exemple, en caixers automàtics o per desblocar el telèfon mòbil. La proposta que es planteja a mitjà termini és utilitzar el brainprint com a verificador en controls de seguretat en centres d’alt risc, com ara centres militars, centres d’intel·ligència o centrals nuclears.

Podeu consultar l’estudi del Basque Center on Cognition, Brain and Language i la Binghamton University publicat a la revistaNeurocomputing: Brainprint: Assessing the uniqueness, collectability, and permanence of a novel method for ERP biometrics.

L’entrevista al professor Zhapeng Jin està disponible a la pàgina web de la Universitat de Binghamton.

També podeu llegir l’estudi sobre l’ús d’empremtes dactilars que va dur a terme el 2011 la National Academy of Sciences dels Estats Units: Accuracy and reliability of forensic latent fingerprint decisions.

_____

Esta entrada en español / This post in English / Post en français

Beneficis i reptes de l’ús de videocàmeres corporals en els cossos policials

16_bodycam_police_utrecht_netherlands (1)El fet que cossos policials facin servir videocàmeres corporals (bodycam) és un fenomen en expansió. A zones de l’Amèrica Llatina, d’Alemanya o dels Estats Units, ja n’hi ha molts que han adoptat aquesta tecnologia i alguns experts preveuen que serà un mecanisme de vigilància que s’estendrà a gran part d’Europa al llarg d’aquesta dècada.

El blog Sin miedos ha compartit el vídeo d’una conferència en què l’antic cap de policia del comtat d’Spokane (Washington), Frank Straub, parla d’alguns reptes que planteja aquest nou sistema de vigilància.

La possibilitat que el policia que porti una càmera dugui a terme la seva feina amb més responsabilitat i professionalitat o el fet que els ciutadans evitin provocacions o
comportaments que podrien ser utilitzats en contra seva als tribunals són alguns dels beneficis que s’apunten a la conferència.

No obstant això, les videocàmeres corporals presenten alguns reptes relacionats amb aspectes tecnològics, ja que l’emmagatzematge i l’edició de centenars d’hores de vídeo resulta una tasca molt laboriosa. Al comtat d’Spokane, per exemple, van comprovar que calia dedicar prop de tres hores a editar una sola hora de gravació abans de poder-la divulgar. A més, la filmació de subjectes no involucrats en la possible actuació policial obre un debat sobre la intimitat de les persones.

Al principi, la implantació d’aquesta tecnologia comporta una gran inversió: als Estats Units, una videocàmera corporal costa 500 dòlars de mitjana, als quals cal sumar l’espai necessari per emmagatzemar de forma segura milers d’hores de filmació. Amb tot, l’ús de dispositius de gravació tindrà un efecte positiu a l’hora d’augmentar la confiança entre la policia i la ciutadania i, segons Frank Straub, disminuirà el nombre de denúncies i reduirà una part important del temps que requereixen moltes investigacions.

Trobareu més informació a l’apunt de Mauricio Bastién al blog Sin miedos.

_____

Esta entrada en español / This post in English / Post en français