Spåra bärbara datortjuvar på ett säkert sätt

Nuförtiden kan en förlorad eller stulen bärbar dator ofta återställas tack vare programvara som automatiskt överför enhetens plats tillbaka till en central server. Vissa experter oroar sig dock för att denna typ av spårningsteknik, utan ytterligare säkerhetsåtgärder, oavsiktligt kan göra användare mer sårbara för spioneri.





Om du tappar bort din bärbara dator kan en kommersiell tjänst berätta var den är just nu, säger Tadayoshi Kohno , en biträdande professor i datavetenskap vid University of Washington, i Seattle. Problemet, ur ett integritetsperspektiv, är att detta också innebär att någon som kan bryta sig in i eller ha tillgång till den kommersiella tjänstens databas kanske kan spåra dig redan innan den bärbara datorn lämnar din ägo.

För att ta itu med denna oro har Kohno och hans kollegor vid University of Washington och University of California, San Diego, utvecklat Adeona , en gratis mjukvara som registrerar platsinformation på ett sådant sätt att endast en legitim användare någonsin ska kunna få tillgång till den. De flesta kommersiella spårningstjänster för bärbar dator kräver programvara installerad på en användares dator för att regelbundet uppdatera en databas med data relaterade till den bärbara datorns fysiska plats, såsom dess nuvarande IP-adress och lokala nätverkstopologi. Om maskinen någon gång blir stulen kommer denna information att överföras nästa gång den ansluts till Internet. Användaren kan sedan ta den till polisen för att hjälpa dem att lokalisera tjuven.

Men Kohno och andra säkerhetsexperter oroar sig för att om dessa data äventyras kommer det att ge ett enkelt sätt att övervaka rörelserna för den bärbara datorns ägare. I en företagsmiljö kan detta möjliggöra företagsspionage, varnar Kohno. Och eftersom denna data kan överföras och lagras i okrypterad form är den särskilt sårbar för avlyssning och attacker mot databasen, säger han. Adeona använder flera kryptografiska tekniker för att hålla platsinformation säker. En bärbar dator som kör programvaran skickar fortfarande platsinformation till en central databas – i det här fallet en helt öppen server – men data är krypterad så att den inte kan läsas utan en privat kryptografisk nyckel.



Även om den bärbara datorn blir stulen förhindrar andra kryptografiska knep att spårningsinformationen hamnar i orätta händer. När en användare installerar programvaran genereras en kryptografisk nyckel (känd som ett frö) och lagras separat – till exempel på ett USB-minne eller en DVD. Fröet används för att generera ett unikt chiffer varje gång en uppdatering skickas till servern. Och för att förhindra en tjuv från att ta reda på det ursprungliga fröet genom att analysera tidigare meddelanden, genererar programvaran också ett nytt frö genom att omvandla det ursprungliga på ett till synes slumpmässigt sätt varje gång en uppdatering skickas.

Adeona fungerar med Windows, Macintosh och Linux. För Mac-användare finns det ett tillägg som med jämna mellanrum tar bilder med den bärbara datorns inbyggda kamera, för att ge ännu mer bevis att visa polisen. Kohno noterar att programvaran är utformad för att förbättra sekretessen för spårningssystem för bärbara datorer. En kunnig tjuv kan fortfarande ta sig runt systemen genom att torka rent en stulen bärbar dators hårddisk innan den ansluts till Internet.

Ändå är vissa andra experter imponerade av idén. När din bärbara dator blir stulen vill du att chansen att den ska återvinnas ska vara så stor som möjligt, säger Lawrence Teo , vice VD för utveckling på Calyptix säkerhet , baserad i Charlotte, NC, som har testat Adeona på sitt eget system i flera månader. En lat eller slarvig tjuv kan lämna verktyget på plats, säger Teo och ger programvaran tillräckligt med tid att arbeta.



Det är mycket lättare att bygga ett återställningssystem för bärbar dator som är skadligt för integriteten snarare än ett som bevarar det, säger Aviel Rubin , en säkerhets- och integritetsforskare och professor i datavetenskap vid Johns Hopkins University. De flesta människor fokuserar på bekvämlighet och datautvinning och glömmer integritet. Att se ett försök att bygga något som inte äventyrar integriteten även om det har all potential att göra det – för mig är det uppfriskande.

Dessutom, eftersom källkoden för Adeona också har publicerats öppet, säger Rubin att användarna borde känna sig bättre kunna lita på dess säkerhet. Människor kan titta på programvaran och se att det inte finns några bakdörrar, och att det verkligen bevarar integriteten på det sätt som de säger, påpekar han. De lägger i princip alla sina kort på bordet.

Forskarna arbetar just nu med en version av Adeona för iPhone, och Kohno hoppas att andra mjukvaruutvecklare ska bidra till projektet. Vi hoppas att andra kommer att ta den här idén och utöka den på andra sätt för att göra den mer användbar – för andra typer av elektroniska enheter eller för andra typer av rättsmedicinsk bekräftelse, säger han.



Dölj