Представь себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник звонит еще раз. Жертва обращается в полицию, и уже через полчаса там узнают не только настоящий номер звонившего, но и всю историю его перемещений и звонков. И все это без сложной техники, поддельных базовых станций и перехвата сигнала.
 

Всевидящее око

Мы регулярно пишем об уязвимостях смартфонов, сетей передачи данных и безопасности облачных сервисов. Мы настолько привыкли «думать сложно», что совсем забываем о существовании гораздо более простых и эффективных методов, доступных полиции разных стран.

Зачастую полиция не будет даже пытаться что-то взломать или перехватить, а просто сделает запрос к оператору сотовой связи, и последний отдаст не только историю звонков, но и массу другой интереснейшей информации. Как пример: статья об австралийском журналисте, в которой проанализирована информация, собранная о самом журналисте его сотовым оператором за последние два года (и только она).

По австралийским законам операторы сотовой связи обязаны в течение двух лет хранить определенную информацию о пользователях сети, базу Call detail record. Сюда входит информация о местоположении устройства в каждый момент времени (кстати, недавно в Швеции был создан прецедент: одной лишь этой информации недостаточно для вынесения приговора), журнал звонков, включая информацию о другом абоненте, и данные о сессиях выхода в интернет. Что касается SMS, то по австралийскому закону об охране частной жизни без предварительной санкции на прослушивание оператор имеет право (и обязан) сохранить лишь метаданные: время отправки, размер сообщения и адресата. Содержимое самих сообщений (а тем более голосовых звонков) не сохраняется.

Так выглядит информация, собранная о журналисте оператором.


Места, которые посетил журналист 1 апреля 2015 года.


Места, которые он чаще всего посещал во время заданного временного отрезка.


По ссылке доступны интерактивные версии этих данных.

Метаданные включают информацию о том, кому звонил и писал сообщения пользователь, о длительности звонков и о том, к каким базовым станциям в какой момент времени подключался телефон (такая информация позволяет достаточно точно установить местоположение устройства). В некоторых странах (не будем показывать пальцем, но это США) операторы не только выдают информацию о местоположении пользователя полиции, но и с удовольствием приторговывают такими данными.

Самое интересное, что операторам сотовой связи доступны (и выдаются полиции, а также продаются любому желающему) детали об использовании интернета, включая адреса сайтов и объем переданных данных. Это — совершенно отдельная тема для обсуждения; данные собирают, отслеживая запросы к DNS-серверам провайдера. Этими данными операторы также с радостью приторговывают; кормушка настолько привлекательна, что операторы даже пытались блокировать использование клиентами сторонних DNS-серверов.

INFO

К слову говоря, выданные (навязанные) стационарными интернет-провайдерами устройства (обычно — комбинированный кабельный или ADSL-модем + роутер) зачастую не позволяют сменить DNS-сервер на роутере. Если хочешь — меняй на компьютере, на каждом отдельном телефоне, умном телевизоре и колонке, но защитить свою частную жизнь полностью, просто задав настройки роутера, у пользователя не выйдет.

Мобильные операторы в США также обязаны хранить записи CDR. Кроме того, в Соединенных Штатах спецслужбами поддерживается единая база MAINWAY, записи в которой могут храниться гораздо дольше, чем разрешается по закону самим операторам мобильной связи.

В России же принят так называемый закон Яровой, который обязывает операторов сотовой связи в течение трех лет хранить метаданные (их список практически полностью совпадает с австралийским вариантом закона). Кроме того, с октября прошлого года операторы обязаны хранить в течение как минимум 30 суток (но не более шести месяцев) текстовые, голосовые, видео- и другие сообщения пользователей. Соответственно, в России любой звонок должен быть записан оператором и предоставлен полиции по законному требованию.

 

Не только CDR

В приведенном выше исследовании журналист Уилл Окенден пользовался iPhone. Правильно оформленный запрос в Apple (по терминологии компании — Device Request, то есть такой запрос, в котором у полиции нет ничего, кроме аппаратного идентификатора устройства — IMEI) позволит полиции получить и те данные, которые собирает о пользователе Apple, а туда входит почти все за редкими исключениями. Вот так, например, выглядит статистика запросов к Apple в России.


Для сравнения, в США за тот же год полиция запросила информацию о 19 318 устройствах (успешными оказались 81% запросов). Google предлагает интерактивный график, ознакомиться с которым можно по ссылке.

И если Apple не предоставит полиции такие данные, как пароли пользователя, статистика использования устройства, сообщения SMS/iMessage и данные «Здоровья» (история физической активности пользователя, включая число шагов и частоту сердцебиения в заданном временном промежутке, — полезнейшая вещь для ловли как преступников, так и неверных супругов), то Google отдаст все, в том числе пароли (чтобы быть полностью технически корректным, добавлю, что в Android 9 появилось шифрование резервных копий; соответственно, полиция не получит ни самих бэкапов, ни хранящихся в них SMS и журналов звонков).

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Check Also

Malware vs WordPress. Проверяем защитные плагины в боевых условиях

Wordpress — одна из самых распространенных систем управления сайтом и поэтому вызывает при…

7 комментариев

  1. Аватар

    antony

    07.11.2019 at 16:28

    Выглядит как предупреждение «школьникам-террористам».

  2. Аватар

    dendeni

    07.11.2019 at 22:05

    В теории всё это так. Но на практике в России это наверное используют только какие-то супер спец службы и только при прямой угрозе президенту.
    А вообще конечно хочется чтобы этой технологией пользовались в обычных участках. Сейчас даже мошенников не могут (не хотят) поймать которые не меняют номера.

    • Олег Афонин

      Олег Афонин

      12.11.2019 at 12:39

      Нет, как раз анализ CDR используется в рутинной работе. Для того и сделано. Правда, мы в основном общаемся с сотрудниками подразделений, которые занимаются именно киберпреступностью.

  3. Аватар

    slinkin

    08.11.2019 at 23:36

    Спасибо за статью!
    Не понял правда кейс с одноразовым звонком (случай с минированием) и ещё вот детальная схема анализа CDR-ов вызывает вопросы — откуда такие мощности, чтобы в реал тайме осуществлять просессинг данных? Там же недюжинные силы нужны — из практики (не обширной, но все же), CDR-ы пишутся для пост обработки, а потоки пропускаются в сеть если базовые проверки (PCRF, Блэклист номера/IP) были пройдены. Это делается в силу отсутствия достаточно мощного железа — если делать просессинг в реал-тайме, то неизбежно будут дропы, таймауты сессий и прочее. Короче сеть будет лагать у абонентов.

    Также по CDR-ам — они ещё используются? На сколько я знаю, новый формат данных это IPDR. Он же используется и для звонков, ибо внутри сети оператора для трафик ходит по IP сети и каждый IP назначается абоненту когда он появляется в сети (не помню на каком узле — кажется на этапе прохождения SGSN/GGSN). Этот формат более полный и с ним удобнее работать.

    • Олег Афонин

      Олег Афонин

      12.11.2019 at 12:36

      В режиме реального времени CDR не обрабатывают. Процедура выглядит так:
      1. Данные запрашиваются у провайдера; указывается промежуток времени и объём данных (конкретный идентификатор устройства, анонимный хэш идентификатора устройства, все устройства подключенные к конкретной соте в заданный временной промежуток и так далее). Запросить можно много данных сразу.
      2. Если в запросе нет указания конкретного идентификатора устройства, данные провайдером должны возвращаться в анонимизированном виде (т.е. не список IMEI, а хэши IMEI). Этот момент зависит от страны и её законодательства.
      3. Оператор осуществляет выборку и предоставляет данные.

      Насчёт того, используется ли именно формат CDR как формат данных — все полицейские, с которыми мы общались, называют полученные данные именно CDR. Насколько это на самом деле CDR или, может быть, уже IDPR — зависит от страны/оператора. Я не уверен, что полицию это интересует; главное, чтобы софт открывал.

  4. Аватар

    Anon

    12.11.2019 at 19:18

    Благодарю за статью, читал неотрывно!

  5. Аватар

    Алексей Федоренко

    12.11.2019 at 20:48

Оставить мнение