Οι άνθρωποι ζουν πλέον σε μια εποχή που η ζωή τους διευκολύνεται (αν όχι εξαρτάται) σε μεγάλο βαθμό, από το Διαδίκτυο και τις νέες τεχνολογίες. Την εποχή, μάλιστα, που λόγω της υγειονομικής κρίσης και του ξεσπάσματος του COVID-19 η καθημερινότητά τους άλλαξε, και αναγκάστηκαν να περιορίσουν τις κοινωνικές τους συναναστροφές και τις μετακινήσεις τους, το Διαδίκτυο και οι υπηρεσίες που παρέχονται μέσω αυτού, έδωσαν διαφορετική διάσταση στις δραστηριότητές τους. 

Γεώργιος Αθ. Γέρμανος,

 υπ. Διδάκτωρ Κυβερνοασφάλειας Πανεπιστημίου Πελοποννήσου, συγγραφέας 

Εισαγωγή

Αντί της φυσικής παρουσίας σε ένα χώρο, οι άνθρωποι μπορούν από απόσταση, μεταξύ άλλων, να εργαστούν, να εκπαιδευτούν, να πραγματοποιήσουν συναλλαγές, να διασκεδάσουν π.χ. παρακολουθώντας θεατρικές παραστάσεις ή συναυλίες και βέβαια να επικοινωνούν.

Στην ευρύτατη αποδοχή του Διαδικτύου συνέβαλαν και όλες εκείνες οι συσκευές τεχνολογίας που διαθέτουν τη δυνατότητα σύνδεσης στο Διαδίκτυο, και βρίσκονται στο ανθρώπινο περιβάλλον – ακόμα και πάνω στους ίδιους τους ανθρώπους. Χαρακτηριστικότερα παραδείγματα αποτελούν οι έξυπνες τηλεοράσεις (smart TVs), οι παιχνιδομηχανές, τα έξυπνα ρολόγια (smart watches), οι καταγραφείς δραστηριοτήτων (activity trackers) και οι ψηφιακοί βοηθοί φωνής (voice assistants).

Οι παραπάνω συσκευές συναποτελούν το «Διαδίκτυο των Πραγμάτων» [Internet of Things – (IoT)] και παρουσιάζουν ιδιαίτερο ενδιαφέρον από εγκληματολογικής άποψης. Ο λόγος είναι ότι μπορούν πρώτον να γίνουν στόχος κυβερνοεπιθέσεων, δεύτερον να χρησιμοποιηθούν ως εργαλεία για τη διάπραξη κυβερνοπιθέσεων και τρίτον να αποτελέσουν «μάρτυρες» εγκλημάτων που συμβαίνουν στον πραγματικό κόσμο.

Στο παρόν άρθρο, λοιπόν, γίνεται αναφορά στο «Διαδίκτυο των Πραγμάτων» και στη σχέση αυτού με ποικίλα εγκληματικά φαινόμενα. Πρόκειται για ζητήματα που ήδη απασχολούν τους ερευνητές στο χώρο της κυβερνοασφάλειας, αλλά και τους συμμετέχοντες στις διαδικασίες απονομής δικαιοσύνης, δηλαδή τις Αρχές Επιβολής του Νόμου και τις εισαγγελικές και δικαστικές Αρχές.

Η έννοια του Διαδικτύου των Πραγμάτων

Το Διαδίκτυο των Πραγμάτων περιγράφει το δίκτυο φυσικών αντικειμένων («πράγματα») στα οποία υπάρχουν ενσωματωμένα αισθητήρες, λογισμικό και άλλες τεχνολογίες, με σκοπό τη σύνδεση και την ανταλλαγή δεδομένων με άλλες συσκευές και συστήματα μέσω του Διαδικτύου. Αυτές οι συσκευές μπορεί να είναι συνηθισμένα οικιακά αντικείμενα, αλλά και πιο σύνθετες, όπως ολόκληρα αυτοκίνητα ή εξελιγμένα βιομηχανικά εργαλεία. Με περισσότερες από 7 δισεκατομμύρια συνδεδεμένες συσκευές IoT σήμερα, οι ειδικοί αναμένουν ότι ο αριθμός αυτός θα αυξηθεί σε 22 δισεκατομμύρια έως το 2025[1].

Το «έξυπνο σπίτι» (smart home) είναι ένα χαρακτηριστικό μοντέλο όπου το IoT λειτουργεί στην πράξη. Θερμοστάτες με δυνατότητα σύνδεσης στο Διαδίκτυο, κουδούνια πόρτας, ανιχνευτές καπνού και συναγερμοί ασφαλείας δημιουργούν έναν «συνδεδεμένο κόμβο» (connected hub) όπου τα δεδομένα διαμοιράζονται μεταξύ φυσικών συσκευών και οι χρήστες μπορούν να ελέγχουν καταστάσεις εξ αποστάσεως (π.χ. προσαρμογή ρυθμίσεων θερμοκρασίας, ξεκλείδωμα θυρών κ.λπ.) μέσα από μια εφαρμογή για κινητά τηλέφωνα ή έναν ιστότοπο[2].

Θα πρέπει να γίνει κατανοητό πως επειδή μιλάμε για «πράγματα» που αποτελούν σύνθετα πληροφοριακά συστήματα, μιλάμε για συσκευές που έχουν τη δυνατότητα συλλογής, αποθήκευσης, επεξεργασίας και ανταλλαγής δεδομένων. Παράλληλα, μιλάμε για συσκευές που συνιστούν τμήμα ενός ευρύτερου «οικοσυστήματος». Δηλαδή, μια συσκευή δε λειτουργεί αυτόνομα, αλλά ανταλλάζει δεδομένα με άλλες συσκευές και εφαρμογές. Ας πάρουμε ως ένα απλοϊκό παράδειγμα μια μονάδα air-condition που βρίσκεται σε ένα σπίτι και διαθέτει τη δυνατότητα απομακρυσμένου ελέγχου μέσω εφαρμογής (application) για κινητά τηλέφωνα. Αυτό πρακτικά σημαίνει πως η μονάδα air-condition συνδέεται στο wi-fi δίκτυο του σπιτιού, δηλαδή στο δρομολογητή (router), και μέσω Διαδικτύου επικοινωνεί με την  εφαρμογή (application) που έχει εγκαταστήσει ο ένοικος του σπιτιού στο κινητό του τηλέφωνο. Αυτό που δε φαίνεται, πίσω από όλη αυτή την επικοινωνία, είναι πως το air-condition δεν επικοινωνεί απευθείας με την εφαρμογή του κινητού, αλλά μέσω μιας διαδικτυακής υπηρεσίας, που δημιούργησε και παρέχει ο κατασκευαστής του air-condition – και διασυνδέει συσκευές και δεδομένα[3].

Ανάλογες περιπτώσεις «οικοσυστημάτων» εντοπίζουμε για όλων των ειδών τις συσκευές, ενώ ιδιαίτερο ενδιαφέρον παρουσιάζουν εκείνες οι συσκευές που παρέχουν τη δυνατότητα φωνητικών εντολών. Υπάρχουν, δηλαδή, ψηφιακοί βοηθοί (virtual assistants), οι οποίοι λαμβάνουν φωνητικές εντολές και τις εκτελούν. Τέτοια παραδείγματα εφαρμογών αποτελούν η Alexa της Amazon, ο Assistant της Google, η Cortana της Microsoft ή η Siri της Apple, που βρίσκονται εγκατεστημένες σε κινητά τηλέφωνα, υπολογιστές, αλλά και ειδικές συσκευές, όπως το Amazon Echo ή το Google Home. Αυτές οι εφαρμογές «ακούνε» συνεχώς ήχους από το περιβάλλον, τους επεξεργάζονται κι όταν διαπιστώσουν να έχει δοθεί κάποια συγκεκριμένη εντολή / ερώτηση (π.χ. «Alexa, τι καιρό θα έχει αύριο;»), τότε την εκτελούν. Στο ενδιάμεσο, όμως, η φωνή του χρήστη έχει διαβιβαστεί μέσω Διαδικτύου σε κάποια online εφαρμογή, ώστε να μετατραπεί από ήχος σε λέξεις και προτάσεις[4].

Το Διαδίκτυο των Πραγμάτων ως στόχος κυβερνοεπιθέσεων

Οι συσκευές που συναποτελούν το Διαδίκτυο των πραγμάτων μπορούν να γίνουν στόχος κυβερνοεπιθέσεων, καθώς, όπως διευκρινίστηκε παραπάνω, πρόκειται για πληροφοριακά συστήματα, άλλα απλούστερα και άλλα πιο σύνθετα, που σε μεγάλο βαθμό πραγματοποιούν επεξεργασίες δεδομένων και έχουν τη δυνατότητα ανταλλαγής αυτών μέσω Διαδικτύου[5]. Τα δεδομένα που επεξεργάζονται οι συσκευές IoT είναι, σε ορισμένες περιπτώσεις, υπερ-πολύτιμα για τους επιτιθέμενους, καθώς μπορεί να πρόκειται για δεδομένα προσωπικού χαρακτήρα (κάποιες φορές «ευαίσθητα»), κρίσιμα εταιρικά δεδομένα ή γενικότερα εμπιστευτικές πληροφορίες. Μέσω μιας κυβερνοεπίθεσης, ένας απομακρυσμένος χρήστης θα μπορούσε να αποκτήσει δεδομένα, που εν συνεχεία θα μπορούσαν να αξιοποιηθούν ποικιλοτρόπως. Ο επιτιθέμενος θα μπορούσε, λόγου χάρη, να καταγράφει εικόνα και ήχο από συσκευές βιντεοεπιτήρησης σε μια οικία, να υποκλέπτει δεδομένα πιστωτικών καρτών που χρησιμοποιεί ο χρήστης για να πραγματοποιήσει αγορές μέσω ενός «φωνητικού βοηθού» ή να αλλοιώνει δεδομένα που συλλέγουν οι αισθητήρες ενός «έξυπνου» οχήματος, προκαλώντας τελικά τροχαίο ατύχημα.

Ταυτόχρονα, ένα «οικοσύστημα» μπορεί να γίνει στόχος κυβερνοεπίθεσης που να σχετίζεται με τη διαθεσιμότητα των συστημάτων. Στην κατηγορία αυτή των επιθέσεων εμπίπτουν οι περιπτώσεις Denial of Service (DoS) και Distributed Denial of Service (DDoS), όπου ο επιτιθέμενος σκοπό έχει να θέσει εκτός λειτουργίας το «οικοσύστημα», για τους δικούς του λόγους (π.χ. αχρήστευση των συστημάτων ασφαλείας σε ένα σπίτι ή μια βιομηχανική εγκατάσταση, προκειμένου εν συνεχεία να πραγματοποιηθεί διάρρηξη)[6]. Αναδεικνύεται, στο σημείο αυτό, η ανάγκη θεώρησης των συσκευών IoT ως σύνθετων πληροφοριακών συστημάτων, που απαιτούν ενισχυμένη ψηφιακή θωράκιση.

Το Διαδίκτυο των Πραγμάτων ως μέσο του εγκλήματος

Οι συσκευές που έχουν δυνατότητα διαδικτυακής επικοινωνίας μπορούν να χρησιμοποιηθούν ως μέσα για τη διάπραξη κυβερνοπιθέσεων. Οι χαρακτηριστικότερες περιπτώσεις όπου συσκευές IoT εμπλέκονται, ως εργαλεία, σε κυβερνοπιθέσεις αφορούν τη δημιουργία botnet. Το botnet συνιστά ένα δίκτυο «μολυσμένων» συσκευών, που ελέγχονται απομακρυσμένα – και εν αγνοία των κατόχων τους – από τον botmaster, για την πραγματοποίηση κυρίως επιθέσεων DDoS[7]. Τα διασημότερα IoT botnets που έχουν μέχρι σήμερα εντοπιστεί είναι το Mirai (2016), το Qbot (2008) και το Kaiten (2001), τα οποία μετεξελίσσονται και γίνονται συνθετότερα[8]. Η ανάγκη για θωράκιση του IoT, που συζητήθηκε στην προηγούμενη ενότητα, ισχύει κι εδώ, από τη στιγμή που υφίσταται ανάγκη προστασίας των συσκευών από μολύνσεις από ειδικά σχεδιασμένο κακόβουλο λογισμικό (malware).

Το Διαδίκτυο των Πραγμάτων ως μάρτυρας του εγκλήματος

Τα τελευταία χρόνια πληθαίνουν οι περιπτώσεις όπου οι συσκευές IoT συνεισφέρουν στη διαλεύκανση εγκλημάτων. Υπενθυμίζεται ότι, οι συσκευές IoT είναι σχεδιασμένες να αποθηκεύουν, να επεξεργάζονται και να διακινούν – εντός του «οικοσυστήματός» τους – ένα σημαντικό όγκο δεδομένων, με χαρακτηριστικότερα τα δεδομένα εικόνας, ήχου, τοποθεσίας και επιμέρους δραστηριοτήτων. Οι συσκευές IoT, λοιπόν, λειτουργούν ως «μάρτυρες» εγκλημάτων, όταν μπορεί κανείς άλλος να μη βρίσκεται στη σκηνή του εγκλήματος. Κάτι τέτοιο επιτυγχάνεται αφενός μέσω της εξέτασης ψηφιακών πειστηρίων και ανάλυσης των ευρημάτων και αφετέρου μέσω της άντλησης δεδομένων από το «οικοσύστημα» της συσκευής[9].

Χαρακτηριστική περίπτωση εγκλήματος που εξιχνιάστηκε χάρη στην ύπαρξη συσκευών IoT είναι η δολοφονία 19χρονης εντός της οικίας της στα Γλυκά Νερά Αττικής το Μάιο του 2021. Από τα έως σήμερα δεδομένα, που έχουν δει το φως της δημοσιότητας, ο σύζυγος της δολοφονηθείσας κατέθεσε πως στην οικία τους εισήλθαν διαρρήκτες, που μεταξύ άλλων, επιτέθηκαν στη 19χρονη και αφαίρεσαν τη ζωή της. Οι ισχυρισμοί του καταρρίφθηκαν από τα ψηφιακά ευρήματα σε συσκευές IoT που βρέθηκαν στη σκηνή του εγκλήματος, καθώς, όπως προέκυψε από την ανάλυση των αποθηκευμένων δεδομένων στο κινητό τηλέφωνο και στο βιομετρικό ρολόι του θύματος, καθώς και στο κινητό τηλέφωνο του συζύγου, τα δεδομένα δε συμβάδιζαν με όσα κατέθεσε ο τελευταίος. Σύμφωνα με τα δεδομένα, δηλαδή, των συσκευών, και ιδίως τους παλμούς που κατέγραφε το ρολόι του θύματος, ο θάνατος της 19χρονης επήλθε πολύ νωρίτερα από την ώρα που ανέφερε ο σύζυγος στην κατάθεσή του, κάτι που οδήγησε τις Αρχές στο συμπέρασμα ότι δολοφόνος της 19χρονης ήταν ο σύζυγός της, ο οποίος και «σκηνοθέτησε» το συμβάν[10].

Σε ανάλογη περίπτωση, στις ΗΠΑ, εκπρόσωποι των Αρχών Επιβολής του Νόμου κατάφεραν να εξιχνιάσουν τη δολοφονία ενός άνδρα βασιζόμενοι στις αποθηκευμένες καταγραφές ήχου ενός ψηφιακού βοηθού της Amazon[11].

Ένα τελευταίο παράδειγμα αποτελούν τα «έξυπνα» οχήματα, τα οποία θα μπορούν να συμβάλλουν στον προσδιορισμό των συνθηκών ενός τροχαίου ατυχήματος (διαδρομή του οχήματος, ταχύτητα, κυκλοφοριακή συμφόρηση, κ.λπ.), δίνοντας έτσι τη δυνατότητα στις Αρχές Επιβολής του Νόμου και στις εισαγγελικές και δικαστικές Αρχές να αποδώσουν ορθά τις ευθύνες για το συμβάν[12].

Προκλήσεις

Ανακύπτουν, πάντως, ορισμένα σοβαρά ζητήματα λόγω της κατάστασης που διαμορφώνεται με το Διαδίκτυο των Πραγμάτων.

Πρώτα απ’ όλα, έχει ανοίξει ήδη ένα τεράστιο κεφάλαιο επιστημονικής έρευνας σε ότι αφορά την κυβερνοασφάλεια και την ιδιωτικότητα στο Διαδίκτυο των Πραγμάτων. Δηλαδή τα «οικοσυστήματα» απαιτούν, για να λειτουργούν σωστά, ιδιαίτερα αυξημένα επίπεδα ασφάλειας για τη θωράκιση συσκευών, δικτύων, υπηρεσιών και δεδομένων. Άλλωστε, αν η ψηφιακή θωράκιση αποτύχει, τότε τα δεδομένα προσωπικού χαρακτήρα των προσώπων που τα χρησιμοποιούν θα είναι εκτεθειμένα σε κακόβουλους δράστες[13].

Έπειτα, από τεχνικής και εγκληματολογικής άποψης, και προκειμένου από τις συσκευές να μπορούν να εξάγονται δεδομένα για περαιτέρω εγκληματολογική ανάλυση, είναι αναγκαία η ύπαρξη κατάλληλων εργαλείων (υλικού και λογισμικού), διαδικασιών και μεθοδολογιών. Μπορεί σήμερα να υπάρχει ποικιλία εργαλείων για την ανάκτηση δεδομένων από ένα σκληρό δίσκο ή ένα κινητό τηλέφωνο, ωστόσο, δε συμβαίνει το ίδιο με την ανάκτηση δεδομένων από ένα έξυπνο όχημα, από μια έξυπνη τηλεόραση, κ.λπ. Ταυτόχρονα, οι διαδικασίες και μεθοδολογίες θα πρέπει να εξεταστούν και από νομικής άποψης, από τη στιγμή που τα δεδομένα μιας συσκευής IoT μπορούν, όπως διαφάνηκε, να χρησιμοποιηθούν στη δικαστική διαδικασία, στο πλαίσιο εκθέσεων πραγματογνωμοσύνης[14].

Τέλος, είναι σαφές πως αφενός όλα τα παραπάνω θέματα τεχνολογίας θα πρέπει να γίνονται κατανοητά από όσους εμπλέκονται στις διαδικασίες απονομής της δικαιοσύνης, στη βάση κατάλληλης εκπαίδευσης (πρώτοι ανταποκριτές στη σκηνή του εγκλήματος, εισαγγελικοί και δικαστικοί λειτουργοί, κ.λπ.). Αφετέρου, εξειδικευμένη εκπαίδευση απαιτείται για τους εκπροσώπους των Αρχών Επιβολής του Νόμου που εργάζονται στον τομέα των εγκληματολογικών εξετάσεων.

Επίλογος

Το Διαδίκτυο των Πραγμάτων συνιστά ένα τεχνολογικό επίτευγμα που ενσωματώνεται σταδιακά όλο και περισσότερο στη ζωή των ανθρώπων. Στο παρόν άρθρο αρχικά παρουσιάστηκε η έννοιά του και ακολούθως εξηγήθηκε πως το IoT μπορεί να αποτελέσει στόχο και μέσο τέλεσης κυβερνοεγκλημάτων, αλλά ιδίως πως μπορεί να αποτελέσει μάρτυρα εγκλημάτων – όπως, ήδη, έχει αποδειχτεί σε πλήθος εγκλημάτων που έχουν διαπραχθεί. Προκλήσεις, κλείνοντας, που προκύπτουν γύρω από το Διαδίκτυο των πραγμάτων υπάρχουν πολλές και ήδη παρατέθηκαν συνοπτικά οι σημαντικότερες από αυτές.

 

*******

Το άρθρο δημοσιεύθηκε στο Τεύχος 11 – Μάρτιος 2022 του Ενημερωτικού Δελτίου «Έγκλημα και Τιμωρία» της Ελληνικής Εταιρείας Εγκληματολογίας.

[1] https://dataprot.net/statistics/iot-statistics/ (τελ. πρόσβαση 18/2/2022)

[2] Pătru, I. I., Carabaş, M., Bărbulescu, M., & Gheorghe, L. (2016, September). Smart home IoT system. In 2016 15th RoEduNet Conference: Networking in Education and Research (pp. 1-6). IEEE.

[3] Ali, A. M., Shukor, S. A., Rahim, N. A., Razlan, Z. M., Jamal, Z. A. Z., & Kohlhof, K. (2019, June). IoT-based smart air conditioning control for thermal comfort. In 2019 IEEE International Conference on Automatic Control and Intelligent Systems (I2CACIS) (pp. 289-294). IEEE.

[4] Germanos, G., Kavallieros, D., Kolokotronis, N., & Georgiou, N. (2020, October). Privacy Issues in Voice Assistant Ecosystems. In 2020 IEEE World Congress on Services (SERVICES) (pp. 205-212). IEEE.

[5] Abomhara, M., & Køien, G. M. (2015). Cyber security and the internet of things: vulnerabilities, threats, intruders and attacks. Journal of Cyber Security and Mobility, 65-88.

[6] Roohi, A., Adeel, M., & Shah, M. A. (2019, September). DDoS in IoT: a roadmap towards security & countermeasures. In 2019 25th International Conference on Automation and Computing (ICAC) (pp. 1-6). IEEE.

[7] https://usa.kaspersky.com/resource-center/threats/botnet-attacks (τελ. πρόσβαση 18/2/2022)

[8] Kolias, C., Kambourakis, G., Stavrou, A., & Voas, J. (2017). DDoS in the IoT: Mirai and other botnets. Computer50(7), 80-84.

[9] Dawson, L., & Akinbi, A. (2021). Challenges and opportunities for wearable IoT forensics: TomTom Spark 3 as a case study. Forensic Science International: Reports3, 100198.

[10] https://www.kathimerini.gr/society/561405952/egklima-sta-glyka-nera-kinito-kai-roloi-symplirosan-to-pazl-tis-stygeris-dolofonias/ (τελ. πρόσβαση 18/2/2022)

[11] https://www.techrepublic.com/article/amazon-echo-murder-case-raises-iot-privacy-questions-for-enterprise-users/ (τελ. πρόσβαση 18/2/2022)

[12] Le-Khac, N. A., Jacobs, D., Nijhoff, J., Bertens, K., & Choo, K. K. R. (2020). Smart vehicle forensics: Challenges and case study. Future Generation Computer Systems109, 500-510.

[13] Atlam, H. F., & Wills, G. B. (2020). IoT security, privacy, safety and ethics. In Digital twin technologies and smart cities (pp. 123-149). Springer, Cham.

[14] Stoyanova, M., Nikoloudakis, Y., Panagiotakis, S., Pallis, E., & Markakis, E. K. (2020). A survey on the internet of things (IoT) forensics: challenges, approaches, and open issues. IEEE Communications Surveys & Tutorials22(2), 1191-1221.