Jak nie dać się znaleźć podręcznik przetrwania dla paranoików Wstęp Jeszcze nie tak dawno temu dynamiczna lokalizacja GPS kojarzyła się głównie z monitorowaniem flot transportowych i systemami alarmowymi w drogich samochodach. Dziś, dzięki szybkiemu rozwojowi i popularyzacji technologii mobilnych rozwiązania te trafiły do kieszeni zwykłych ludzi. Dosłownie. Nawigacja samochodowa czy namierzanie dzieci przez rodziców to tylko niewielka część tego ciągle rosnącego rynku rynku na którym najważniejsza jest informacja o tym gdzie jesteśmy. Możemy już wysłać SMS z pytaniem o najbliższy bankomat, kino czy restaurację. Nowe programy pomogą nam wezwać taksówkę, ostrzegą przed niebezpieczną dzielnicą lub automatycznie wyciszą telefon po wejściu do teatru. Wszystko to dzięki nawigacji satelitarnej. Nie dajmy się jednak zwieść informacje o naszym położeniu nie przydają się tylko nam. Pierwsze próby z wykorzystaniem tych danych w kierowanej kampanii reklamowej zakończyły się już pomyślnie i wkrótce spodziewać się można będzie kolejnych tego typu eksperymentów. Wraz ze wzrostem ich przydatności rosnąć będzie ich wartość i zainteresowanie nimi. W końcu która firma nie chciałaby wiedzieć gdzie mieszkają klienci konkurencji? Dzięki przywiązaniu ludzi do telefonów komórkowych możliwe jest także zdobywanie informacji innych niż te związane z ich lokalizacją. Poziom kontroli jaki operatorzy sprawują nad tymi urządzeniami pozwala im nie tylko na typowe rejestrowanie rozmów telefonicznych. Możliwość zdalnego włączenia mikrofonu telefonu bez wiedzy
0A jego użytkownika pozwala rejestrować wszystko co dzieje się w jego pobliżu. Co więcej, złożone metody analizy samych billingów telefonicznych umożliwiają zdobywanie danych na temat całych organizacji, wskazując w nich kluczowe osoby. Czy wymienione możliwości urządzeń mobilnych i technologii z nimi związanych mogą stanowić zagrożenie dla naszej prywatności? Czego można dowiedzieć się o kimś dzięki jego komórce? Czy jest jakiś sposób na ochronę informacji o nas? Na pytania te postaram się odpowiedzieć w poniższym artykule. Zaprezentuję w nim także przykład rozwiązania uniemożliwiającego zastosowanie wymienionych technik. Pluskwa w kieszeni Możliwość lokalizowania telefonów komórkowych nie jest niczym nowym. Sama identyfikacja anteny, z którą łączy się telefon pozwala na określenie jego położenia z dokładnością do kilkuset metrów. Wykorzystanie danych z kilku anten pozwala na zwiększenie dokładności pomiaru nawet do 50 metrów. Największą zaletą metod wykorzystujących do lokalizacji infrastrukturę sieci GSM jest brak konieczności ingerowania w sam telefon zarówno jego hardware jak i software. Do ich wykorzystania wystarczy sam fakt obecności telefonu w sieci. Metody te wymagają jednak współpracy z operatorami GSM, przez co dostęp do informacji o położeniu telefonu regulowany jest przez specjalne przepisy. Przykładem wykorzystania takich regulacji jest używany w Stanach Zjednoczonych system E911. Nakłada on na operatorów sieci telefonicznych obowiązek zlokalizowania każdego telefonu wykonującego połączenie z numerem alarmowych 911 i przekazanie tej informacji do odpowiedniego punktu dyspozycyjnego. W przypadku sieci bezprzewodowych dokładne regulacje mówią o określeniu położenia z dokładnością do 50-300 metrów w ciągu sześciu minut. W Polce, podobnie jak w większości państw europejskich z konstytucyjnie zagwarantowaną ochroną tajemnicy komunikowania się, dane o położeniu traktowane są tak jak sama komunikacja. Za naruszenie tajemnicy korespondencji kodeks karny przewiduje do dwóch lat pozbawienia wolności. Ochrona tych danych podlega oczywiście ograniczeniom. Dostęp do nich uzyskać może np. policja czego przykłady nietrudno jest znaleźć w mediach. Inną kategorię metod lokalizacji tworzą metody oparte o aparat telefoniczny. Wykorzystują one specjalne oprogramowanie zainstalowane na telefonie, które określa jego lokalizację a następnie przesyła uzyskane dane do odpowiedniego serwera. Możliwości zastosowania tej metody ograniczone są przez różnorodność systemów działających na telefonach poszczególnych producentów jednak dzięki coraz większej popularności smart phonów sytuacja ta ulega zmianie. Rosnąca liczba użytkowników konkretnych aparatów (np. iphone) lub systemów mobilnych (np. Android) sprawia, że opłacalne staje się tworzenie rozwiązań dedykowanych tylko tym konkretnym aparatom lub systemom. Dostępny na rynku program FlexiSPY reklamuje się np. sloganem Chroń swoje dzieci. Złap niewiernego współmałżonka. Program dostępny jest na platformy iphone, Symbian, Windows Mobile i Blackberry a po zainstalowaniu umożliwia nie tylko lokalizowanie telefonu ale także przechwytywanie i logowanie połączeń oraz używanie telefonu jako podsłuchu. Do lokalizacji telefonu używane jest wbudowane urządzenie GPS. Wiemy już jak może nas znaleźć policja i mąż/żona/kolega z pracy. Co z przypadkowym człowiekiem mijanym na ulicy, który nie ma szans aby uzyskać fizyczny dostęp
Jak nie dać się znaleźć podręcznik przetrwania dla paranoików 0B do naszego telefonu? Okazuje się, że i dla niego może znaleźć się odpowiednie rozwiązanie. Przykład wirusa ikee pokazuje, że stworzenie samo-rozprzestrzeniającego się robaka atakującego telefony jest możliwe. Pomimo tego, że na atak narażone były jedynie telefony z usuniętymi zabezpieczeniami ( jailbreaked ), zainstalowanym programem ssh i ustawionym domyślnym hasłem, samemu autorowi wirusa udało się zainfekować ponad 100 telefonów. Szkodliwość ikee ograniczała się do zmiany tapety ale łatwo wyobrazić sobie dużo groźniejsze skutki działania takiego programu. Oczywiście zdobywanie danych o czyimś położeniu wcale nie musi być takie trudne. Użytkownicy często sami je udostępniają za pośrednictwem portali społecznościowych, specjalnego oprogramowanie (np. navizon.com) lub używając usług typu Google SMS. Informacje o tym gdzie byliśmy to nie wszystko czego można dowiedzieć się o nas dzięki naszym telefonom. To jak często pojawiają się w mediach zwroty bilingi telefoniczne i stenogramy rozmów pokazuje jak wiele istotnych informacji przekazywanych jest za pomocą telefonów. Pokazuje to też jak proste i skuteczne jest przechwytywanie tych danych. Niektórzy poszli zresztą krok dalej. FBI wykorzystuje możliwość zdalnego włączenia mikrofonu w telefonie i używa tych urządzeń jako zwykłych podsłuchów. Umożliwia im to rejestrowanie wszystkich rozmów odbywających się w pobliżu telefonu a nie tylko rozmów telefonicznych. Wszystko wskazuje na to, że ta droga zdobywania informacji będzie rozwijana i wykorzystywana coraz częściej. Do rozwiązania pozostaje tylko jeden problem skąd wiadomo kogo należy śledzić? Rozplątywanie sieci Zaletą używania sieci telefonii komórkowej jako źródła informacji jest to, że poza danymi na temat poszczególnych jednostek dostarcza ona także danych na temat całej sieci powiązań pomiędzy nimi. Ogromna ilość tych danych sprawia, że znalezienie w nich informacji istotnych staje się bardzo trudne ale jednocześnie ich szczegółowość umożliwia wykorzystanie specjalnych metod analizy. Mowa tu o metodzie sieci społecznych. Zasadniczą różnicą pomiędzy klasycznymi metodami analizy danych i metodami działającymi w oparciu o ideę sieci społecznych jest wybór istotnych cech badanych jednostek. Podczas gdy w klasycznym podejściu gromadzone są dane dotyczące atrybutów przypisanych poszczególnym jednostkom, sieci społeczne skupiają się na połączeniach pomiędzy nimi. Skutkiem tego jest konieczność stosowania innych metod pozyskiwania oraz reprezentacji informacji. W podejściu klasycznym zastosowana może być analiza statystyczna polegająca na badaniu jedynie pewnej części społeczeństwa. Wybór reprezentatywnej grupy gwarantuje nam uzyskanie wystarczających informacji na temat występowania poszczególnych cech. Sieci społeczne wymagają z kolei kompletnej analizy wszystkich połączeń występujących w badanej grupie. Dlatego właśnie tak często używane są one do badania billingów telefonicznych. Co można dzięki nim uzyskać? Po pierwsze, pozwalają one na badanie struktury sieci wskazując słabe punkty, wąskie gardła czy występujące w niej podstruktury. Po drugie, umożliwiają one wskazanie funkcji jakie pełnią w niej poszczególne jednostki. Program KASS pozwala np. przypisać członkom analizowanej grupy takie role jak organizator (kieruje organizacją), izolator (chroni organizatorów) czy łącznik (działa w kilku niezależnych grupach). W przypadku interesujących nas
0C billingów telefonicznych oznacza to możliwość wskazania osób faktycznie działających w badanej organizacji i wytypowanie kluczowych jednostek, które następnie poddane mogą zostać dokładniejszej obserwacji. Dodatkowo, dzięki analizie schematów połączeń telefonicznych możliwe jest wykrywanie takich sytuacji jak np. zmiana numeru telefonu danego użytkownika. Na rynku istnieję wiele programów umożliwiających analizowanie danych metodami sieci społecznych. Program ORA (Organizational Risk Analyzer) umożliwia np. badanie struktury organizacji pod kątem przepływu informacji, kluczowych jednostek oraz dostępu do zasobów. Inne programy umożliwiające analizę i wizualizację sieci to Pajek, Siena, igraph, KrackPlot czy Network Workbench. Wszystkie te programy dostępne są za darmo. Polska policja już kilka lat temu do analizy połączeń używała programu De billing stworzonego przez prokuratorów z Katowic. Najwidoczniej okazał się on skuteczny bo Ministerstwo Sprawiedliwości informuje też o zakupie specjalistycznego oprogramowania tego typu. Na koniec jeszcze dwa zdania odnośnie kwestii prawnych. Sam fakt zaistnienia komunikacji podlega takiej samej ochronie jak jej treść. Polskie prawo wyraźnie stwierdza, że billingi telefoniczne mogą zostać udostępnione policji wyłącznie w celu zapobiegania lub wykrywania przestępstw. Jak się ukryć Zastanówmy się jakie podstawowe wymagania musiało by spełniać rozwiązanie uniemożliwiające zlokalizowanie i podsłuchanie kogoś przy użyciu jego telefonu, umożliwiając mu jednocześnie używanie telefonu do obustronnego komunikowania się z innymi osobami. Przede wszystkim musi ono zapewniać całkowitą anonimowość używanego numeru. Oczywiście dyskwalifikuje to numery abonamentowe. To na ile anonimowy jest numer prepaid zależy od wielu czynników jak np. sposób płacenia za doładowania oraz to jak długo i regularnie z niego korzystamy. Tak więc jeżeli używamy telefonu wyłącznie do wzywania taksówki to ryzyko powiązania nas z danym numerem jest niewielkie. Jeśli używamy go do regularnej komunikacji z innymi członkami organizacji przestępczej ryzyko to jest bardzo duże. Skutecznym sposobem ograniczenia tego ryzyka jest natomiast zmiana numeru. Należy przy tym pamiętać, że ponieważ do zlokalizowania telefonu wystarczy jego numer IMEI, sama zmiana numeru telefonu jest niewystarczająca konieczne jest zmiana numeru i aparatu. Opisane metody analizy sieci społecznych nakładają na potencjalne rozwiązanie jeszcze dwa ograniczenia. Ponieważ do rozpoznania użytkownika telefonu wykorzystać można informacje o schematach połączeń, zmiana numerów musi następować w całej organizacji, w której on działa a zmiany te muszą następować na tyle często, aby wzorce komunikacji nie znajdowały odzwierciedlenia w billingach telefonicznych. Takie rozwiązanie, w którym wszyscy użytkownicy telefonów co chwilę zmieniają aparaty na pewno zapewniłoby anonimowość komunikacji. Ale co z drugim wymogiem czyli możliwością komunikowania się? Zrealizowanie go możliwe byłoby poprzez wykorzystanie zewnętrznej bazy numerów, w której powiązanie danej osoby z jej aktualnym numerem odbywało by się dynamicznie, przy każdej próbie nawiązania z nią połączenia. W praktyce, wykorzystanie takiego rozwiązania mogłoby wyglądać następująco:
Jak nie dać się znaleźć podręcznik przetrwania dla paranoików 0D 1. Użytkownik A wkłada do nowego telefonu kartę pamięci zawierającą odpowiedni program i jego konfigurację 2. Po jego uruchomieniu podaje login, hasło oraz numer telefonu, z którego korzysta 3. Program łączy się ze wskazanym serwerem i umieszcza na nim podany numer telefonu 4. Użytkownik B, posiadający na liście kontaktów swojego programu użytkownika A żąda nawiązania z nim połączenia 5. Program użytkownika B łączy się z serwerem przypisanym do użytkownika A i pobiera z niego aktualny numer telefonu 6. Program nawiązuje połączenie z numerem otrzymanym od serwera Przy zastosowaniu takiego rozwiązania nasz aktualny numer telefonu jest tak bezpieczny jak bezpieczny jest serwer na którym się on znajduje. Oczywiście nadal istnieje ryzyko infiltracji organizacji od wewnątrz. Ograniczenie go możliwe byłoby przez dodanie do opisanej metody notyfikacji o każdorazowym pobraniu naszego numeru z serwera. Chroniłoby to nas przed sytuacjami, w których jedna osoba poprzez częste odpytywanie serwera monitorowałaby wszystkie zmiany naszego numeru. To jak często dany członek organizacji uzyskuje nasz aktualny numer zależałoby wtedy od tego jak często się z nim kontaktujemy. Znając poziom zaufania jakim darzymy poszczególnych użytkowników możemy z kolei tak zarządzać zmianami numerów, aby ryzyko wycieku informacji było jak najmniejsze. Według pierwotnych założeń rozdział ten tworzyć miał część paranoicznoteoretyczną. Przecież nikt normalny nie zrezygnuje z używania telefonu aby ukrywać się przed śledzącym go systemem... Pamiętajmy jednak, że fakt stosowania opisanych metod śledzenia oznacza, że istnieją osoby zainteresowane ochroną przed nimi. Chociaż uciążliwość potencjalnych metod ochrony sugerować może, że są to rozwiązania czysto teoretyczne, w rzeczywistości o możliwości ich praktycznego zastosowania decyduje jedynie to, jak bardzo zależy komuś na tym aby się ukryć. W sytuacji kiedy informacje zdobywane dzięki telefonom mogą w prosty sposób przyczynić się do zakończenia czyjejś kariery politycznej lub skazania kogoś na długoletnie więzienie może okazać się, że korzyści wynikające z zastosowania danej metody mogą przewyższać niedogodności z nią związane.