Identifikation von Videoinhalten über granulare Stromverbrauchsdaten

Deutsche Zusammenfassung wichtiger Forschungsergebnisse bzgl. der Datenschutzproblematik bei Smartmetern, insbesondere der Möglichkeit, Videodaten über das Stromverbrauchsprofil zu identifizieren.

Sekundenscharfe Ablese-Intervalle bei elektronischen Stromzahlern stellen einen erheblichen Eingriff in die Privatsphare der Stromkunden dar. Das datenschutzrechtliche Gebot der Datensparsamkeit und Datenvermeidung steht einer feingranularen Messgenauigkeit und der vollständigen Speicherung der Stromverbrauchsdaten entgegen. Wir können experimentell nachweisen, dass neben der Erkennung von im Haushalt befindlichen Geräten eine Erkennung des Fernsehprogramms und eine Identifikation des abgespielten Videoinhalts möglich ist. Alle Mess- und Testergebnisse wurden mithilfe eines geeichten und operativen Smart Meters, der alle zwei Sekunden Messwerte aufzeichnet, gewonnen.

Konferenz: Sicherheit 2012 – Sicherheit, Schutz und Zuverlässigkeit, Darmstadt. 2012.
GI Proceedings 195, ISBN 978-3885792895

PDF ist online.

Posted in DaPriM, Datenschutz (deutsch) | Tagged | Kommentare deaktiviert für Identifikation von Videoinhalten über granulare Stromverbrauchsdaten

Multimedia Content Identification Through Smart Meter Power Usage Profiles

Using granular smart metering data it is possible to identify multimedia content by analyzing smart meter generated consumption data. We will discuss our findings at the conference Computers, Privacy and Data Protection (CPDP 2012) on Wednesday, 25 January 2012 in Brussels, Belgium.

Our research shows that the analysis of the household’s electricity usage profile at a 2s sample rate does reveal what content was displayed on a CRT, a Plasma display TV or a LCD television set with dynamic backlighting. Our test results show that two 5 minutes-chunks of consecutive viewing without major interference by other appliances is sufficient to identify the content (e. g. DVD movie).

A preprint online publication can be found here (PDF).

Posted in DaPriM | Kommentare deaktiviert für Multimedia Content Identification Through Smart Meter Power Usage Profiles

Selbstauskunft für Discovergy-Kunden

Kunden des Smart-Meter-Dienstleisters Discovergy können seit heute über unseren experimentellen Selbstauskunftsdienst ihre Verbrauchsdaten grafisch abfragen und als Tabellendaten herunterladen.

Hintergrund: Das Kundenportal zeigt die Verbrauchsdaten derzeit konsolidiert an. Es ist daher für die Kunden nicht möglich, alle über sie gespeicherten Daten im Detail über diesen Weg abzufragen. Da wir für unsere Forschungsarbeiten ohnehin ein Abfragetool erstellen mussten, um über die volle Datenmenge zu verfügen, stellen wir über diesen Dienst nun diese Möglichkeit auch anderen Kunden zur Verfügung.

Wir danken an dieser Stelle dem Projektmitarbeiter Dennis Löhr MSc, der die zugrundeliegende Software erstellt und für diesen experimentellen Webdienst zur Verfügung gestellt hat.

Beachten Sie: Der Dienst wurde experimentell und ohne Kooperation mit der Discovergy GmbH eingerichtet. Es ist nicht absehbar, inwieweit die Funktionsfähigkeit mittelfristig gegeben ist bzw. ob oder wann diese Abfrage unterbunden werden wird. Alle Angaben erfolgen ohne Gewähr.

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für Selbstauskunft für Discovergy-Kunden

Beitrag über DaPriM (Smart-Meter und Datenschutz) in 3SAT.

„Verräterische Daten: Smartmeter können Nutzungsverhalten preisgeben“.
11. Januar 2012, 18.30h. Wissenschaftssendung nano.

 

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für Beitrag über DaPriM (Smart-Meter und Datenschutz) in 3SAT.

28C3 lecture video: Smart Hacking for Privacy

On the 28th Chaos Communication Congress  (annual conference of the Chaos Computer Club Germany) in Berlin a lecture on smart meter security and privacy issues was given. The video is available via Youtube below.

 

 

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für 28C3 lecture video: Smart Hacking for Privacy

Smart Hacking for Privacy (Vortrag am 30.12.2011)

Smart Hacking for Privacy: Smart Meter and Privacy Concerns.

At the 28th Chaos Communication Congress  Stephan Brinkhaus BSc. gives a lecture on smart meter security issues at 16:00h 30.Dec.2011.

Advanced metering devices (aka smart meters) are nowadays being installed throughout electric networks in Germany, in other parts of Europe and in the United States. Due to a recent amendment especially in Germany they become more and more popular and are obligatory for new and refurbished buildings.

Unfortunately, smart meters are able to become surveillance devices that monitor the behavior of the customers leading to unprecedented invasions of consumer privacy. High-resolution energy consumption data is transmitted to the utility company in principle allowing intrusive identification and monitoring of equipment within consumers‘ homes (e. g., TV set, refrigerator, toaster, and oven) as was already shown in different reports.

This talk is about the Discovergy / EasyMeter smart meter used for electricity metering in private homes in Germany. During our analysis we found several security bugs that range from problems with the certificate management of the website to missing security features for the metering data in transit. For example (un)fortunately the metering data is unsigned and unencrypted, although otherwise stated explicitly on the manufacturer’s homepage. It has to be pointed out that all tests were performed on a sealed, fully functionally device.

In our presentation we will mainly focus on two aspects which we revealed during our analysis: first the privacy issues resulting in even allowing to identify the TV program out of the metering data and second the „problem“ that one can easily alter data transmitted even for a third party and thereby potentially fake the amount of consumed power being billed.

In the first part of the talk we show that the analysis of the household’s electricity usage profile can reveal what channel the TV set in the household is displaying. We will also give some test-based assessments whether it is possible to scan for copyright-protected material in the data collected by the smart meter.

In the second part we focus on the data being transmitted by the smart meter via the Internet. We show to what extent the consumption data can be altered and transmitted to the server and visualize this by transmitting some kind of picture data to Discovergy’s consumption data server in a way that the picture content will become visible in the electricity profile. Moreover, we show what happens if the faked power consumption data reflects unrealistic extreme high or negative power consumptions and how that might influence the database and service robustness

abstract

Posted in DaPriM | Kommentare deaktiviert für Smart Hacking for Privacy (Vortrag am 30.12.2011)

Direct Anonymous Attestation: Enhancing Cloud Service User Privacy (paper)

We introduce a privacy enhancing cloud service architecture based on the Direct Anonymous Attestation (DAA) scheme. In order to protect user data, the architecture provides cloud users with the abilities of controlling the extent of data sharing among their service accounts.

A user is then enabled to link Cloud Service applications in such a way, that his/her personal data are shared only among designated applications. The anonymity of the platform identity is preserved while the integrity of the hardware platform (represented by Trusted Computing configuration register values) is proven to the remote servers. Moreover, the cloud service provider can assess user account activities, which leads to efficient security enforcement measures.

Read full paper here (PDF).

Posted in cloud, DaPriM | Kommentare deaktiviert für Direct Anonymous Attestation: Enhancing Cloud Service User Privacy (paper)

A Privacy Preserving System for Cloud Computing (paper)

Cloud computing is changing the way that organizations manage their data, due to its robustness, low cost and ubiquitous nature. Privacy concerns arise whenever sensitive data is outsourced to the cloud. Our paper introduces a cloud database storage architecture that prevents the local administrator as well as the cloud administrator to learn about the outsourced database content.

Moreover, machine readable rights expressions are used in order to limit users of the database to a need-to-know basis. These limitations are not changeable by administrators after the database related application is launched, since a new role of rights editors is defined once an application is launced. Furthermore, trusted computing is applied to bind cryptographic key information to trusted states. By limiting the necessary trust in both corporate as well as external administrators and service providers, we counteract the often criticized privacy and confidentiality risks of corporate cloud computing.

Read full paper here (PDF).

Posted in cloud, DaPriM, prototype | Kommentare deaktiviert für A Privacy Preserving System for Cloud Computing (paper)

Smart Meter und Datenschutz

Bundesweit und auch im europäischen Rahmen ist die Einführung von intelligenten Strommessgeräten (Smart Meter) geplant, die vorhandene Stromzähler ersetzen sollen. Stromkunden können mithilfe dieser Geräte detaillierte Informationen über den Stromverbrauch erhalten und sind in der Lage, Stromverbraucher zu identifizieren, Ursachen für hohen Verbrauch zu bestimmen und damit Abhilfe zu schaffen, d. h. insbesondere Stromverbrauchskosten zu senken (Förderung des bewussten Ener-gieverbrauchs).

Die in der Literatur genannten Identifikationsmöglichkeiten von elektrischen Geräten konnten erfolgreich verifiziert werden. So war es möglich, anhand des Verbrauchsprofils die Aktivität von Kühlschrank, Herd und TV-Gerät aus der Datenmenge zu gewinnen.

Durch Auswertung des Stromverbrauchs eines für Privathaushalte typischen LCD-TV-Gerätes konnte nicht nur die Einschaltzeit des Fernsehers  identifiziert werden. Es war darüber hinaus möglich, das eingeschaltete Programm bzw. den abgespielten Film zu identifizieren!

Weitere Ergebnisse und technische Details im Arbeitspapier zum Download.

 

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für Smart Meter und Datenschutz

Spionage via Webcam (Vortrag am 21.09.2011)

Spionage via Webcam: Welchen Schutz bieten Personal Firewalls und Virenscanner?

Vortrag auf der Konferenz D•A•CH Security 2011 am 21.09.2011 in Oldenburg. Vortragender ist Matthias Wellmeyer, BSc.

Motiviert durch die spektakulären Fälle aus den Jahren 2010 und 2011, die tiefgreifende Verletzungen der Privatsphäre von Nutzern durch heimliche Beobachtung mit der Webcam zum Gegenstand hatten, beschreiben wir den Aufbau und die Analyse einer Webcam-Spionagesoftware.

Neben Industriespionage stellen Voyeurismus und heimliche Überwachung die Motivation für diese Rechtsverletzungen dar. Bei der untersuchten Software wird die Multimediafähigkeit moderner Computer ausgenutzt, um Benutzer, während diese am Rechner (z. B. Notebook) arbeiten, und die Umgebung über die Webcam unbemerkt zu beobachten.

Zu diesem Zweck wurde in einer Laborumgebung ein Demonstrator entwickelt, der in einem festgelegten Zeitintervall das Bild der Webcam zu einem Angreifer überträgt. Der Prototyp demonstriert, dass Firewall und Virenscanner zwar technische Hürden darstellen; diese sind aber – so zeigen es die technischen Laborergebnisse – überwindbar und täuschen dem Benutzer daher einen Schutz vor, der nicht existiert.

Eine Spionagesoftware gerichtet auf ein konkretes Zielsystem (beispielsweise für den einmaligen Einsatz), kann mit geringem technischen Aufwand erstellt werden; eine Erkennung durch Virenscanner und Personal Firewalls kann der Angreifer in Bezug auf die von uns getestete Systemlandschaft wirksam ausschließen. Es genügt, wenn das Opfer die Applikation, die es vorher mit der AV-Software gescannt hat, einmalig ausführt.

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für Spionage via Webcam (Vortrag am 21.09.2011)