ELEKTRONICZNE Ś LEDZENIE W SYSTE- MACH TELEFONII KOMÓRKOWEJ

Transkrypt

1 Politechnika Gdań ska, Wydział Fizyki Technicznej i Matematyki Stosowanej, Zakł ad Matematyki Dyskretnej ELEKTRONICZNE Ś LEDZENIE W SYSTE- MACH TELEFONII KOMÓRKOWEJ STRESZCZENIE Artykuł przypomina przydatność informacji uzyskiwanych w procesie zbierania u operatorów telefonii komórkowej danych retencyjnych oraz omawia rozwiązania techniczne umożliwiające elektroniczne śledzenie w czasie rzeczywistym z zastosowaniem systemów telefonii komórkowej. Omówione rozwiązania są rekomendowane przez ETSI. W ostatniej części ocenia są mechanizmy uwiarygodniania informacji przetwarzanych w ramach elektronicznego śledzenia. Pokazano, że dane elektronicznych śledztw prowadzonych w czasie rzeczywistym w można uznać za wiarygodne, natomiast tej cechy nie mają dane retencyjne. Słowa kluczowe: telefonia komórkowa, elektroniczne dowody, elektroniczne śledzenie WSTĘP Funkcjonowanie systemów telefonii komórkowej znacznie rozszerzyło zakres informacji objętych tajemnicą telekomunikacji. O ile do roku 1990 tajemnicą telekomunikacji była objęta jedynie treść komunikacji, to stosowanie telefonów komórkowych wymusiło poszerzenie listy informacji chronionych o wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych oraz dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku. Dodatkowo prawo chroni również informacje o użytkowniku i dane o próbach uzyskania połączenia między określonymi zakończeniami sieci telekomunikacyjnej [1]. Z drugiej strony prawo (kodeks postępowania karnego i tzw. ustawy policyjne) daje możliwość dostępu do tych informacji uprawnionym organom państwowym. Warto zastanowić się dlaczego te informacje te są tak atrakcyjne, jak są uzyskiwane i kiedy należy je traktować jako wiarygodne. Pierwsza cześć pracy ilustruje jak dane retencyjne mogą być wykorzystane do prowadzenia elektronicznego śledztwa. Druga część pracy przedstawia rozwiązania techniczne umożliwiające uzyskanie informacji chronionych tajemnicą telekomunikacji. Prezentacja rozwiązań jest oparta o 1

2 standardy ETSI dotyczące legalnego elektronicznego śledzenia w systemach telefonii komórkowej. Ostatnia część pracy jest ocenia wiarygodność informacji uzyskiwanych w trakcie prowadzenia elektronicznego śledztwa i kończy się propozycją zapewnienia wiarygodności tych danych w postępowaniu sądowym, zarówno karnym jak i cywilnym. ELEKTRONICZNE ŚLEDZENIE W tytule pracy oraz w podtytule pojawia się określenie elektroniczne śledzenie. Tradycyjne śledzenie (prowadzone w ramach czynności operacyjnych) polega na odtworzeniu położenia osoby w czasie śledzenia, odtworzeniu kontaktów tej osoby z innymi osobami, odtworzeniu wykonywanych czynności. Jego cechą jest również pasywny charakter (bez dołączania do celu dodatkowych elementów ułatwiających śledzenie) oraz fakt, że cel śledzenia nie wie, że jest śledzony. W tym sensie śledzenie położenia samochodu przez firmę przewozową oraz śledzenie przesyłek w firmie prowadzącej działalność kurierską nie jest śledzeniem. Mówiąc o elektronicznym śledzeniu chcemy uzyskać te same, albo bardzo zbliżone efekty stosując środki elektroniczne; w tym przypadku telefon komórkowy. Określenie to uwzględnia szerszy, niż tradycyjne podsłuchiwanie, zakres działania obejmujący również zbieranie informacji o celu i jego zmieniającej się lokalizacji. Można od razu zadać pytanie czy poszukiwane informacje są dostępne w systemach telefonii komórkowej. Odpowiedź jest jednoznaczna: są dostępne i przez to są to informacje objęte tajemnicą telekomunikacji. By zilustrować wartość tych informacji zanalizujmy krótki fragment przykładowego zanonimizowanego billingu (tabela 1). Zakres informacji może wydawać się niezbyt duży. Położenie jest określone z dokładnością do stacji bazowej. Jeśli jednak wiadomo, że: numer X poruszał się samochodem i pokonał odległość pomiędzy stacjami zlokalizowanymi w miastach i odległymi o 60km (trasą o dużym natężeniu ruchu, wysyłając kilka SMSów) w ciągu 42 minut (ok. 90 km/h), 02.mm.rrrr to piątek, a 05.mm.rrrr to poniedziałek i podobną podróż można znaleźć w billingu numeru X co tydzień, rozmowy z miasta B odbywały się tylko z dwóch stacji i stacje MiastoB_S1 MiastoB_S2 to sąsiednie stacje bazowe, billingi dotyczące innych dni tygodnia wskazują, że godziny rozpoczynania i kończenia aktywności telekomunikacyjnej, to zawsze po 9.00 i nie wcześniej niż 01.00, a z nocną przerwą zawsze jest związana ta sama stacja bazowa w mieście A, 2 Zeszyty Naukowe AMW

3 Elektroniczne śledzenie w systemach telefonii komórkowej to o trybie życia użytkownika numeru X można już coś powiedzieć i niektóre hipotezy o jego tożsamości odrzucić (np. taką, że jest pracownikiem Urzędu Miejskiego, rozpoczyna pracę o 7.15 i w weekend jeździ na ryby). Tabela 1. Przykładowy krótki fragment billingu numeru X IMEI Do/Od Początek Czas Stacja IMEI1_X SMS 02.mm.rrrr_10:59 1 MiastoA_S1 IMEI1_X SMS 02.mm.rrrr_11:41 1 MiastoB_S MiastoB_S1 IMEI2_X Do A 03.mm.rrrr_16:58 79 MiastoB_S1 IMEI2_X Do A 03.mm.rrrr_17: MiastoB_S1 IMEI2_X SMS 03.mm.rrrr_17:44 1 MiastoB_S1 IMEI2_X Do B 03.mm.rrrr_18:20 52 MiastoB_S2 IMEI2_X Do D 03.mm.rrrr_18:32 57 MiastoB_S1 IMEI2_X Do D 03.mm.rrrr_18:34 1 MiastoB_S1 IMEI2_X Od E 03.mm.rrrr_18:37 74 MiastoB_S MiastoB_S2 IMEI1_X Do A 04.mm.rrrr_23:08 83 MiastoB_S2 IMEI1_X Od B 05.mm.rrrr_09:45 58 MiastoA_S1 IMEI1_X Do C Za osobą o takiej aktywności w korzystaniu z usług telekomunikacyjnych nie trzeba wysyłać śledczych. Dokładność zlokalizowania celu wynika z wielkości komórki, a ta w terenie zabudowanym nie jest już zbyt duża. Nie można co prawda podać dokładnego adresu nocowania ani w mieście A ani B (czasami ta dokładność jest wystarczająca), ale koszt wykonania takiego zgrubnego śledzenia nie jest też wysoki i można je przeprowadzić na podstawie danych, które operator musi przechowywać przez okres od 6 miesięcy do 5 lat (w zależności od kraju). Kolejnym narzędziem prowadzenia elektronicznego śledzenia jest śledzenie w czasie rzeczywistym. Śledzenie to poza danymi o lokalizacji celu dostarcza również treść przekazu z realizowanych przez cel usług telekomunikacyjnych. Śledzenie w czasie rzeczywistym wymaga jednak środków technicznych umożliwiających jego realizację. ELEKTRONICZNE ŚLEDZENIE W CZASIE RZECZYWISTYM Do zapewnienia środków elektronicznego śledzenia oprócz operatorów telekomunikacyjnych (ang. network operator) zobowiązani są też dostawcy usług (ang. service provider) oraz dostawcy dostępu do sieci (ang. access provider). W K/

4 dalszej części pracy będą oni nazywani dostawcami informacji. W dalszej części będą nas interesowali jedynie operatorzy telefonii komórkowej. Wymagania na system dostarczania informacji sformułowali odbiorcy tych informacji, czyli uprawnione organy państwowe. Tryb powstawania tych wymagań i ich krótkie podsumowanie można znaleźć w pracy [2]. Podstawą przekazywania informacji do jej odbiorcy jest interfejs przekazywania. Schemat blokowy tego interfejsu przedstawia rysunek 1. Domena odbiorcy Interfejs przekazywania Domena dostawcy HI1 Funkcje administracyjne dostawcy Wewnętrzne funkcje sieci HI2 LEMF Funkcje przekazywania informacji związanych ze śledzeniem IRI HI3 Funkcje przekazywania treści przekazu CC Funkcje śledzenia Wewnętrzny interfejs sieci Rys. 1. Schemat blokowy interfejsu przekazywania Port HI1 interfejsu jest przeznaczony do przekazywania różnorodnych informacji o charakterze administracyjnym, w szczególności polecenia śledzenia. Polecenie śledzenia zawiera: tożsamość i identyfikator celu, uzgodniony identyfikator śledzenia (LIID 1 ) okres śledzenia adres urządzenia odbierającego treść przekazu (adres LEMF CC 2 ) i adres urządzenia odbierającego informacje związane ze śledzeniem (adres LEMF IRI 3 ), wartości do uwierzytelniania LEMF, identyfikator dostawcy. 1 LIID Lawful Interception ID 2 LEMF CC Law Enforcement Monitoring Facility for Content of Communication 3 LEMF IRI Law Enforcement Monitoring Facility for Interception Related Information 4 Zeszyty Naukowe AMW

5 Elektroniczne śledzenie w systemach telefonii komórkowej Funkcje administracyjne dostawcy powinny umożliwić obsługę wielu odbiorców informacji oraz śledzenie jednego celu przez wielu odbiorców. Port HI2 interfejsu służy do przesyłania informacji związanych ze śledzeniem, natomiast port HI3 interfejsu służy do przesyłania treści przekazu. Sposób stosowania tych portów jest zależny od techniki telekomunikacyjnej stosowanej u dostawcy informacji. Aneksy A oraz F dokumentu standardu ETSI ES [3] definiują zasady funkcjonowania poszczególnych portów interfejsu przekazywania dla systemów telefonii komórkowej. Port HI2 przekazuje rekordy IRI zawierające informacje: identyfikujące abonentów, o typie i charakterystykach stosowanej usługi telekomunikacyjnej, o sposobie jej realizacji. Zawiera ponadto informacje o ośmiu typach zdarzeń: rozpoczęcie połączenia (wywołaniu), odpowiedź na wywołanie, przełączenie połączenia, zakończenie połączenia, zmiana lokalizacji abonenta, pojawienie się dodatkowych danych od abonenta (np. z klawiatury), zastosowaniu usługach uzupełniających, wysłaniu i treści SMS-a. Ostatnie zdarzenie oznacza, że treść SMS-ów jest przesyłana za pomocą interfejsu HI2, a nie HI3 (przeznaczonego do przekazywania treści przekazu). Informacje przesyłane przez interfejs HI2 muszą być z oczywistych powodów kodowane z zastosowaniem notacji ASN.1 [4] i reguł kodowania informacji BER. Budowę interfejsu HI3 ilustruje kolejny rysunek. Rysunek ilustruje też sposób realizacji zadania przekazania treści połączenia głosowego. Dla usług wykorzystujących GPRS i inne techniki przeznaczone do tego samego celu dokumenty ETSI przewidują dwie metody przekazywania informacji: kopiowanie, opakowywanie i przesyłanie z zastosowaniem usług UDP i TCP oraz buforowanie i zastosowanie usługi FTP. W pierwszej metodzie odbierane pakiety (UDP/TCP) są opakowywane w ramki TCP/IP z nagłówkiem skorelowanym z połączeniem i informacjami przekazywanymi przez interfejs HI2. Zalecane jest stosowanie protokołu IPSec. Drugi rodzaj realizacji przechwytywania nie zapewnia przechwytywania przesyłanych informacji w czasie rzeczywistym. K/

6 Domena odbiorcy LEMF Interfejs przekazywania HI3 Funkcje przekazywania treści przekazu Domena dostawcy Wewnętrzne funkcje sieci CC Funkcje śledzenia Wewnętrzny interfejs sieci AbA AbB Rys. 2. Interfejs HI3 w usługach połączeniowych WIARYGODNOŚĆ WYNIKÓW ELEKTRONICZNEGO ŚLEDZENIA W przypadku śledzenia realizowanego w czasie rzeczywistym wiarygodność dostawcy informacji i jej odbiorcy powinna jest być realizowana z zastosowaniem metod zalecanych przez ETSI, a ETSI zaleca stosowanie rozwiązań proponowanych przez ISO [5]. Dokument ISO opisuje najprostszy protokół uwierzytelniania, czyli uwierzytelnianie uczestników komunikacji z zastosowaniem symetrycznych algorytmów kryptograficznych. Poza dokumentami ISO ich omówienie można znaleźć w [6]. Istota rozwiązania polega na zastosowania wspólnego, wcześniej uzgodnionego, klucza K AB. Protokół wzajemnego uwierzytelniania ilustruje rysunek 3. A R B B E KAB(R A, R B, B) E KAB(R A, R B ) Rys. 3. Protokół wzajemnego uwierzytelniania zgodny z ISO Zeszyty Naukowe AMW

7 Elektroniczne śledzenie w systemach telefonii komórkowej Na rysunku 3 wartości R A, R B to liczby losowe wygenerowane odpowiednio przez stronę A i B, a E() to zastosowany symetryczny algorytm szyfrowania. Protokoły uwierzytelniania zaprezentowane w standardach ISO są wystarczające w komunikacji między operatorem telekomunikacyjnym, a uprawnioną organizacją, gdyż obie strony mają możliwość wcześniejszego uzgadniania klucza do uwierzytelniania i mogą to uczynić poza systemem przekazywania informacji. Dalej trzeba mieć zaufanie do uprawnionej organizacji, że uzyskane informacje nie zostaną zmodyfikowane (czynimy tak przecież w przypadku dowodów tradycyjnych). Problem wiarygodności danych nabiera szczególnego znaczenia w sytuacji, gdy liczba dostawców oraz odbiorców informacji z prowadzonych śledztw rośnie, Z jednej strony nowi operatorzy (przykładowo wirtualni), a z drugiej strony Centralne Biuro Antykorupcyjne, czy kolejne służby ubiegające się o podobne uprawnienia. Znacznie gorzej wygląda wiarygodność informacji związanych z połączeniami już zrealizowanymi. Retencja danych funkcjonuje dzięki stosunkowo świeżym zapisom w prawie telekomunikacyjnym. Niestety prawo telekomunikacyjne nie podejmuje wątku wiarygodności danych, które z natury rzeczy są przechowywane w postaci elektronicznej. W praktyce sądowej nie funkcjonuje praktyka oceny wiarygodności przedstawionych danych retencyjnych. Operator telekomunikacyjny jest traktowany jak wiarygodne źródło danych. A jak ocenić wiarygodność wydruku dostarczonego przez operatora w sprawie karnej, w której operator jest stroną postępowania, a wydruk zawiera dopisane uwagi pracownika operatora? Operator jest zainteresowany wygraniem sprawy, skazaniem winnych i zaksięgowaniem strat o ile nie jest możliwe ich odzyskanie. Bez wyroku skazującego bardzo trudno wyjaśnić starty wynikające z niefrasobliwości zarządu operatora. Dane retencyjne, w ich obecnej postaci, nie mogą być traktowane jak wiarygodne źródło informacji. Niestety nie ma na tyle precyzyjnej definicji dowodu elektronicznego by można było wymienić cechy, które muszą posiadać dane retencyjne by mogły być potraktowane jako elektroniczny dowód [7]. Proponuję zatem zastosowanie podpisu elektronicznego do podpisywania wszystkich plików zawierających tego typu dane i podpisywanie ich w momencie ich powstawania (przez notariusza, albo przedstawiciela uprawnionego organu). To jest najprostsza rękojmia ich wiarygodności. Tabelka utworzona w arkuszu kalkulacyjnym, jak było widać, może być bardzo interesująca, ale nie może być dowodem w postępowaniu sądowym. Cała dyskusja o okresie przechowywania danych retencyjnych może być bezcelowa, jeśli będzie można w prosty sposób zakwestionować wiarygodność tych danych. K/

8 WNIOSKI Powszechne funkcjonowanie systemów telefonii komórkowej stworzyło możliwości wykorzystania jej jako narzędzia elektronicznego śledzenia. Jednak sposób jego stosowania musi być w pełni przystosowany do wymagań efektywnego prowadzenia postępowania sądowego, a warunki narzucane przez postępowanie sądowe nie są w pełni przestrzegane. Można długo dyskutować o okresie retencji danych, ale przede wszystkim muszą mieć one wartość procesową. BIBLIOGRAFIA [1] Ustawa z Prawo telekomunikacyjne Dziennik Ustaw z 2007 nr 82 poz. 556 [2] Sobczak R., Podsłuch w dokumentach ETSI, Materiały VI Krajowej Konferencji Technologie Informacyjne, Gdańsk, 2008 (w druku). [3] ES : Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic,v.3.1.1, ETSI, maj 2007 [4] TR : ASN.1 Object Identifiers In Lawful Interception Specifications, 11/2007 [5] ISO 9798: Information technology - Entity authentication, part 1-5, [6] Menezes A.J., van Oorschot P., C., Vanstone S., A.: Kryptografia stosowana, rozdz. 10: Identyfikacja i uwierzytelnianie podmiotu, Warszawa: Wydawnictwa Naukowo-Techniczne, [7] Lach A.: Dowody elektroniczne w procesie karnym, Toruń: TNOiK, 2004 ABSTRACT This paper recalls usefulness of data retention and lawful interception using cellular networks. It presents how interception interface (recommended by ETSI) is used in lawful interception in this type of networks. The interception interface provides also features to manage security of communication between network operator and lawful agencies. At the end points at the important weakness of data retention: lack of credibility. Recenzent 8 Zeszyty Naukowe AMW