lunes, 6 de mayo de 2013

Cómputo Ubicuo - Laboratorio 10

Laboratorio 10 - Carlos Triana

Hola a todos mis compañeros y la gente que regularmente visita mi blog, esta entrada corresponde a la actividad número 10 de laboratorio de Cómputo Ubicuo. 
La actividad consiste en la elaboración de un resumen y sacar conclusiones sobre un artículo seleccionado por nosotros, que estuviera relacionado con la privacidad en sistemas ubicuos.

Design Guidelines for Analysis and Safeguarding of Privacy Threats in Ubicomp Applications
Elena Vildjiounaite, Petteri Alahuhta, Pasi Ahonen, David Wright, Michael Friedewald


Introducción

La realización de la visión del Cómputo Ubicuo en el mundo real crea una amenaza significativa a la privacidad personal debido a la recolección de información constante por numerosos pequeños sensores, el intercambio activo de información en distancias cortas y largas, de almacenamiento a largo plazo de grandes cantidades de datos. Un análisis de más de 100 escenarios de Cómputo Ubicuo, muestra 
que las aplicaciones de hoy en día a menudo se desarrollan sin tener en cuenta las cuestiones de privacidad. Este documento propone directrices para la estimación de las amenazas a la privacidad, dependiendo de la configuración de aplicaciones del mundo real y sobre la elección de la tecnología, y directrices para el desarrollo de las salvaguardias tecnológicas contra amenazas a la privacidad.

Protección tradicional de la privacidad


La protección de la intimidad requiere la comprensión de cómo las nuevas tecnologías cambian las formas desarrolladas en el mundo físico.
En el mundo físico, la intimidad personal está protegida por las siguientes fronteras:
  • Fronteras naturales: las fronteras físicas de observabilidad, como las paredes, la ropa, la oscuridad, la expresión facial (una frontera natural contra los verdaderos sentimientos de una persona).
  • Bordes sociales: expectativas con respecto a la confidencialidad de determinados grupos sociales, como los familiares, médicos y abogados, por ejemplo, la expectativa de que sus colegas no leen los mensajes de fax personales dirigidas a usted.
  • Bordes temporales: las expectativas de las personas que las partes de su vida puede existir aisladamente de otras partes, tanto temporal como espacialmente, por ejemplo, una fase adolescente salvaje no debería tener una influencia duradera en la vida actual de un padre de cuatro hijos, una fiesta con amigos no debe afectar a las relaciones con los compañeros.
  • Los bordes debido a los efectos efímeros o transitorio: las expectativas que determinada acción o expresiones espontáneas serán pronto olvidados o simplemente desapercibida porque la atención y la memoria de la gente son limitados.

Las dimensiones de análisis de amenazas a la privacidad

Creemos que los riesgos de privacidad se dividen en dos grupos principales: en primer lugar, la aplicación de los riesgos que dependen de la actividad personal o de organización apoyada. Por ejemplo, los datos de salud son considerados sensibles y diseñadores de aplicaciones para 
hospitales siguen las regulaciones de privacidad protectoras correspondientes. 
En segundo lugar, los riesgos de privacidad son causadas por un desequilibrio entre las expectativas personales sobre el nivel de privacidad actual y la realidad, que no dependen de un dominio de aplicación. Si una persona percibe su situación actual como privada (por ejemplo, estar solo en casa), pero en realidad está siendo monitoreado, las posibilidades de que se descubran secretos personales son más altos que si la persona percibe la situación actual como público (por ejemplo, haciendo una presentación en una reunión grande). 


Sugerimos las siguientes dimensiones para el análisis de amenazas a la privacidad:
  • Las dimensiones del mundo real:
    • Personalidades de los seres humanos 
    • La actividad de las personas 
    • Medio Ambiente, donde la actividad se lleva a cabo
  • Dimensiones de la funcionalidad de la tecnología
    • Flujo de Información
    • Nivel de control computacional  vs nivel de control personal
    • Equilibrio entre los diferentes aspectos de la tecnología (de almacenamiento y comunicación vs capacidad de razonamiento y el nivel de control)
Las dimensiones del mundo real: Humanos, actividades y medio ambiente 

La noción de lo que se considera privada y lo que no, depende de una persona y una situación. Por ejemplo, las posibilidades de que una mujer, o hijos accidentalmente
accedan a los datos personales de una persona casada son bastante altas, sin embargo, los secretos de los miembros de una familia no son inusuales.
Sugerimos que los diseñadores de aplicaciones deben tener en cuenta, en primer lugar, la forma en la intimidad de seguridad es una aplicación para un usuario que tiene los secretos de los miembros de una familia (que siempre están cerca), de colegas y superiores de trabajo, y de una compañía de seguros capaz de contratar a buenos especialistas para la adquisición de datos personales.

En segundo lugar, es necesario tener en cuenta el tiempo y el conocimiento necesarios para la configuración de protección de la privacidad en un dispositivo personal, y si alguien puede hacerlo rápido.
La actividad personal es una dimensión importante para el análisis de riesgo para la privacidad ya que una actividad consume y produce el flujo de información, por ejemplo, una gran cantidad de datos financieros están involucrados en el pago de facturas, datos de salud y la identidad están involucrados en una llamada a un médico. 
El medio ambiente es una dimensión importante porque los modelos mentales de las personas a los niveles de la privacidad actual se basan en la percepción tradicional del entorno (por ejemplo, "ahora estoy solo en mi oficina, por lo tanto, nadie puede verme ") y las personas se comportan más o menos libremente en función de la estimación de los niveles actuales de privacidad. 

Sugerimos que las aplicaciones deben tener en cuenta lo siguiente:
  • La percepción tradicional del entorno (por ejemplo, la percepción de una casa como medio ambiente privado; percepción de una pared como un objeto no transparente)
  • Las actividades comunes en el medio ambiente (por ejemplo, en una oficina la gente suele funcionar)
  • Otras actividades posibles en el medio ambiente (por ejemplo, llamar a un médico o coquetear con una compañera en un entorno de oficina).

Dimensiones de la funcionalidad de la tecnología

Una vista típica de una aplicación de cómputo ubicuo se presenta en la siguiente imagen. Las flechas finas indican la información que se recoge 
por el sistema y existe allí por un tiempo corto o largo, lo que conlleva una amenaza potencial que los datos personales estén disponibles, contra los deseos de un usuario, a otras personas (el gobierno, las compañías de seguros, vecinos, etc ) si tienen acceso a ellos. Así, aparecen amenazas tanto si el control de acceso a la información falla (por ejemplo, las comunicaciones son interceptadas o el almacenamiento de datos no está protegido) o si los datos contienen secretos adquirido s accidentalmente (por ejemplo, algo en el fondo de la imagen).



(Vista genérica de una aplicación de cómputo ubicuo: las flechas finas indican la información que se recoge y existe en el sistema, las flechas gruesas indican empuje de información.)

En consecuencia, más amenazas aparecen: en primer lugar, el control de acceso a un mensaje puede fallar, en segundo lugar, el contenido del mensaje puede decirle al receptor más de los que pretende el emisor, en tercer lugar, un mensaje puede ser entregado en un momento equivocado, y por último, el daño puede ser causado por acciones actuadoras (por ejemplo, el fracaso de bloquear una puerta permite a todos a entrar en una habitación).

Instrucciones de diseño para la protección de la privacidad

Diferentes ámbitos y componentes de aplicaciones presentan diferentes amenazas a la privacidad y requieren diferentes salvaguardias. Una de las garantías más genéricas es minimizar la recolección de datos al mínimo para fines de aplicación. En la práctica, sin embargo, no es fácil determinar cuántos son los "datos mínimos requeridos", debido a que los mismos datos se pueden adquirir de muchas maneras, cada uno de ellos presenta diferentes amenazas a la privacidad. Por ejemplo, aplicaciones de recomendaciones de cine necesitan datos de retroalimentación del usuario y las formas de obtenerlo incluyen: el uso de sensores fisiológicos, análisis de las expresiones faciales, el reconocimiento de voz.

Reducción de recopilación de datos, transmisión y almacenamiento

Sugerimos las siguientes medidas de seguridad relativamente ligeras:

1. En lugar de registro de datos brutos, sólo las funciones de datos deben ser registrados utilizando cualquier filtro de hardware o de hacer la mayor cantidad de pre-procesamiento en tiempo real como sea posible.

2. El fechado de tiempo de los datos registrados debe limitarse por lo que es en relación con otra información relacionada con la aplicación o promediando y la generalizando el fechado de tiempo. Esto debería evitar un descubrimiento de que, por ejemplo, la frecuencia cardiaca de un niño se convierte en alto cada vez que se encuentra con cierta chica.

3. El hardware utilizado para la recolección de datos no debe tener memoria extra ni los datos capacidades extra de transmisión. Esto se puede lograr, por ejemplo, dando a cada uno de los derechos de acceso de la aplicación un cierto bloque de memoria en lugar de dar a todas las solicitudes de acceso a la memoria principal.

4. Los datos deben ser eliminados después de un tiempo dependiente de la aplicación, por ejemplo, cuando un usuario compra ropa, toda la información acerca de sus textiles, precios, diseñadores, etc deben suprimirse de las etiquetas RFID de la ropa. Si las aplicaciones requieren etiquetas RFID activas (por ejemplo, para encontrar objetos perdidos), el ID de la etiqueta RFID se debe cambiar, por lo que hay vínculos entre la base de datos de una tienda de ropa personal y se dejan.

5. Las aplicaciones que no requieren supervisión constante deben desconectarse automáticacamente después de un cierto periodo de inactividad (por ejemplo, apagar cámaras de vídeo automáticacamente después del final de un juego).


Protección en la privacidad de las redes (la transferencia de la identidad y los datos personales)

La transferencia de datos en aplicaciones de cómputo ubicuo tiene lugar entre ubicaciones remotas, así como entre los diversos sensores en un espacio elegante y entre los dispositivos que forman parte de una red de área personal (PAN), por ejemplo, varios sensores unidos a un cuerpo humano en diferentes ubicaciones o varios objetos personales. Sugerimos las siguientes medidas de seguridad: 
1. Se debe preferir un filtrado de datos en el dispositivo personal,  si es posible (por ejemplo, en lugar de el envío de las preferencias financieras de un usuario a una tienda de joyas, la aplicación puede consultar la tienda sobre todos los elementos, y ordenarlos por precio y otros criterios ya en el dispositivo personal. Este enfoque requiere mayor transmisión de datos y no permite el uso de ciertas técnicas de recomendación conocido como filtrado colaborativo, pero tiene la ventaja de que los usuarios no sienten que una pieza de metal decide lo que pueden permitirse).

2. Transmisión y almacenamiento de datos, si toman lugar a través de largas distancias, deben permitir el anonimato o pseudoanonimato (utilizando diferentes identidades con los datos personales) mínimamente suficiente en diferentes aplicaciones (por ejemplo, si un usuario compra algo y ha pagado por ello, la identidad del usuario debe estar oculto). Las maneras de hacerlo incluyen, primero, los métodos para probar la autorización del usuario a nivel local y para transmitir a través de una red sólo una confirmación de la autorización; segundo, métodos para ocultar la identidad del usuario, por ejemplo, mediante la distribución de este conocimiento sobre muchos nodos de la red.
 

3. Siempre que sea posible,  implementar imposibilidad de observación en las Redes de Área Personales y espacios inteligentes mediante limitar el alcance de la comunicación para que las señales permanezcan dentro de los límites espaciales deseados (dentro de una habitación o un coche), a diferencia de la situación actual, cuando dos propietarios de teléfonos con Bluetooth son conscientes de la presencia del otro en los apartamentos vecinos.

Una protección de nivel más alto debe incluir lo siguiete:

1. La transmisión de datos no debe utilizar el ID de un dispositivo personal o de un objeto, sino que los ID deben ser utilizados sólo para una sesión de comunicación actual (de lo contrario, es fácil asociar un dispositivo o un objeto, por ejemplo, anteojos, con una persona).

2. Protección de datos por medio de seguridad y métodos de control de accceso de acciones maliciosas (espionaje, las modificaciones de datos, denegación de servicio, etc.)


El control de acceso

La concepción tradicional del término "control de acceso" está en relación con la concesión a una persona del derecho a iniciar una sesión en un sistema o tener acceso a una oficina restringida. Recientemente, el "control de acceso" también ha adquirido un sentido de verificar qué software accede a los datos personales y cómo se procesarán los datos. La aplicación de métodos apropiados de control de acceso es una de las garantías más importantes.
 
Desafortunadamente, los métodos de control de accesos discretos fiables para la protección de la privacidad no existen todavía. Esta situación se ilustra mejor con el uso de los teléfonos móviles (que almacenan una gran cantidad de datos personales), que no están protegidos en absoluto durante mucho tiempo después de la conexión debido a la falta de métodos de autenticación de usuario. En consecuencia, la pérdida o el robo de un teléfono presenta amenazas a la privacidad de su propietario.


Conclusiones propias

Como el artículo lo menciona, los métodos de control de acceso fiables para la protección de la privacidad, no existen todavía. 
Para nuestro proyecto implementamos (estamos en fase de desarrollo) un sistema que aparte de un tag de RFID, el usuario también mostrará diversos ángulos de su rostro, de esa manera mediante una comparación con sus rasgos guardados en el mismo tag de RFID, obtendrá el acceso a su sistema.
A pesar de las múltiples maniobras implementadas para la protección de privacidad en el control de acceso, siempre existe un hueco para romper el sistema, en nuestro caso, la persona que quisiera romper la seguridad podría editar la información de los ragos faciales, que va con el tag de RFID de otro usuario, cambiando las propiedades de los rasgos por los de su rostro, de esa manera al intentar entrar, los datos generados de su rostro coincidirian con los del tag y se le permitiría el acceso.

Elena Vildjiounaite, Petteri Alahuhta, Pasi Ahonen, David Wright, Michael Friedewald. Design Guidelines for Analysis and Safeguarding of Privacy Threats in Ubicomp Applications. Sin lugar especificado. Sin año especificado

¿Cómo hacer referencias bibliográficas?: http://fce.ufm.edu/catedraticos/jhcole/referencias.htm#BIBLIOGRAFIA

Cualquier duda o aclaración pueden dejarla en la caja de comentarios. 

Saludos a todos!

1 comentario:

  1. Los datos sobre cómo ha sido publicado hay que buscarlas: http://publica.fraunhofer.de/dokumente/N-43905.html 7 pts ya que sí intentaste darle formato a tu referencia, pero no habías sacado los datos :P

    ResponderEliminar