Jak bronić się przed inwigilacją? Tak atakuje się smartfony

Prowadzona na szeroką skalę inwigilacja komunikacjielektronicznej to nicnowego – jednak wiele wskazuje na to, że wraz z wejściem wżycie nowej ustawy o Policji obywatele naprawdę poczują, czym możebyć prowadzona praktycznie bez ograniczeń tzw. kontrola operacyjna.Nie jest jednak tak, że osoby zatroskane o swoją prywatność, czyteż zobowiązane do utrzymywania wrażliwych informacji w tajemnicy(jak choćby prawnicy, lekarze czy dziennikarze) stoją tu na z góryprzegranej pozycji. Nie trzeba wcale zastępować komputera maszynądo pisania, a smartfonu gołębiami pocztowymi. Korzystanie znowoczesnej techniki nie musi oznaczać utraty prywatności, o ilebędziemy korzystali z niej umiejętnie i rozważnie. W tym cykluartykułów przedstawimy wam wiedzę i narzędzia niezbędne do tego,by uczynić korzystanie z elektronicznej komunikacjibezpieczniejszym. Zaczynamy od analizy zagrożeń dla smartfonów,podstawowych dziś narzędzi, bez których wielu ludzi nie wyobrażajuż sobie życia.

Mówi się niekiedy, że smartfon to urządzenie, które powstałopo to, by śledzić swoich użytkowników. Te kieszonkowe komputerkiz przyspawaną do nich funkcją telefonu są wykorzystywane przecieżdo uruchamiania przeróżnych aplikacji, wysyłania wiadomości,robienia zdjęć, nagrywania rozmów i przede wszystkim – łączeniasię z Siecią. Można by było pomyśleć, że takie urządzeniapowinny zostać zaprojektowane tak, by w najwyższym stopniu chronićprywatność i bezpieczeństwo, ale jak zobaczycie, jest wręczprzeciwnie. Producenci sprzętu robią co mogą, by ograniczyćkontrolę właścicieli smartfonów nad ich działaniem, zarazemułatwiając operatorom usług telekomunikacyjnych monitorowanietego, jak są one wykorzystywane. To zaś oznacza, że napastnik,który jest w stanie zmusić dostawców usług do współpracy, możesporo dowiedzieć się o swoich ofiarach, nie musząc przy tympodejmować praktycznie żadnych aktywnych działań operacyjnych.Przy nieco większym wysiłku, wykorzystaniu narzędzi technicznych,może zaś podsłuchiwać ich rozmowy, wykradać hasła dointernetowych usług, wysyłać w ich imieniu fałszywe wiadomości,a nawet zamieniać smartfon w pasywne urządzenie podsłuchowe.

Zagrożenie dla prywatności użytkownika smartfonu (a takżezwykłej „komórki”) rozpoczyna się już w momencie włączeniaurządzenia i jego zarejestrowania w sieci operatora (co wiąże sięz ujawnieniem identyfikującego urządzenie numeru IMEI, orazujawnieniem identyfikującego kartę SIM numeru IMSI). Już topozwala na namierzenie urządzenia z niezłą dokładnością.Wykorzystuje się w tym celu klasyczną metodę triangulacji zapomocą znajdujących się w okolicy stacji bazowych telefoniikomórkowej. Anteny zamontowane na ich masztach zwykle występujątrójkami, tak, że każda pokrywa 120 stopni łuku okręgu wokółmasztu. Oprogramowanie sterujące stacją bazową jest w stanieocenić odległość od komunikującego się z nim urządzenia,mierząc siłę sygnału i czas między wysłaniem danych tam i zpowrotem, a także wskazać, w którym z wycinków okręgu się onoznajduje.

Przy jednym maszcie pomiar nie będzie dokładny, a im dalej odmasztu, tym błąd jest większy. Wystarczy jednak wykorzystać drugimaszt, z którym telefon negocjuje połączenie, a pomiar zyskuje naprecyzji. W dużych miastach, gdzie sieć telefonii komórkowej jestgęsta, już przy wykorzystaniu trzech masztów można dziś określićpołożenie urządzenia z dokładnością do kilkudziesięciu metrówkwadratowych. Przekonał się o tym niemiecki polityk Malte Spitz,który zażądał od Deutsche Telekom wydania danych lokalizacyjnychdla jego telefonu zebranych między sierpniem 2009 roku a lutym 2010.Po wygranym procesie sądowym (telekom nie kwapił się do wydaniatych danych), we współpracy z magazynem Zeit zdecydował sięupublicznić je na interaktywnejmapie. Z zatrważającą dokładnością, ujawnia ona pół rokużycia polityka partii Zielonych, pokazując gdzie był, jak się tamdostał, kiedy pracował, kiedy odpoczywał, gdzie szedł pić piwo,kiedy rozmawiał przez telefon, a kiedy wysyłał SMS-y. Dla służbprowadzących kontrolę operacyjną takie dane to sama przyjemność.

Można także podejść do sprawy z drugiej strony, zamiastśledzić telefon jednej konkretnej osoby, wziąć na celownik grupęo zadanych cechach. Tzw. zrzut z masztu zinstytucjonalizowanemunapastnikowi pozwala pozyskać kompletną listę urządzeń, któresię łączyły z określonym masztem w określonym miejscu iokreślonym czasie. To idealne rozwiązanie przy np. próbieustalenia, kto np. uczestniczył w demonstracji antyrządowej.

Co gorsze, by namierzyć inwigilowanego, zinstytucjonalizowanynapastnik nie musi się nawet specjalnie kontaktować z operatorem.Istnieją firmy tworzące rozwiązania dla wszelkiej maści służbspecjalnych i policji, których na wolnym rynku się nie znajdzie, aktóre pozwalają na bezpośrednie wpięcie się w sieci operatorówtelefonicznych. Wykorzystując luki w protokole sieci sygnałowejSS7, używanym do nawiązywania połączeń między sieciamioperatorów, nakreślona zostaje lokalizacja inwigilowanych celów nacyfrowych mapach. W zeszłym roku istnienie takich narzędzi ujawniłdziennik Washington Post. Łamią one opracowane ponad 20 lat temuzabezpieczenia, by wysyłać przez sieć SS7 zapytania, z którychmasztów telefonii ofiara ostatnio korzystała. Cykliczne odpytywaniepozwala na dość precyzyjne wytyczenie jej trasy.

Zbieranie takich danych na masową skalę otwiera drogę dozastosowania technik Big Data, pozwalających odnaleźć w nichinteresujące prawidłowości. W ten sposób służby mogą stworzyćnp. mapę powiązań między spotykającymi się fizycznie osobamiczy ustalić, które to telefony zachowują się w sposób„niestandardowy” (dlaczego to lokalizacja telefonu Kowalskiego w90% pokrywa się z lokalizacją innego telefonu z numerem pre-paid?Czyżby Kowalski używał dwóch telefonów?). W ten sposób możnateż odkryć występowanie braku danych lokalizacji, sugerujące żeKowalski mógłby chcieć coś ukryć…

Jeśli napastnik zna numer IMSI ofiary (zawarty w karcie SIM),może przeprowadzić bezpośredni atak na jego urządzenie za pomocątzw. łowcy IMSI. To urządzenie jest niczym innym jak tylko fałszywąstacją bazową, służącą do namierzenia konkretnego telefonu ipodsłuchiwania prowadzonych z niego rozmów i komunikacji. Tolokalny atak, fałszywa stacja bazowa musi znaleźć się w pobliżuatakowanego urządzenia, gdzie będzie udawać stację bazowąoperatora o najsilniejszym sygnale. Będzie przy tym odrzucać próbypołączeń ze wszystkich innych telefonów, poza tym, który zgłaszasię określonym numerem IMSI.

Spotyka się czasem opinie, że służby są w stanie namierzyćsame karty SIM. To oczywiście nieprawda, karty są czysto pasywnymiurządzeniami, pozbawionymi własnego zasilania czy systemówłączności, niewłożone do włączonego telefonu po prostu nieistnieją. Tak samo też operator telefonii komórkowej nie jest wstanie namierzyć telefonu pozbawionego karty SIM – telefon takinie komunikuje się ze stacjami bazowymi, chyba że nawiązanezostanie z niego połączenie alarmowe (niekoniecznie świadomieprzez użytkownika, zrobić to może także złośliweoprogramowanie). Wtedy urządzenie wyszuka dostępne dostępne kanałykontroli rozgłaszania pobliskich stacji bazowych i udostępni imm.in. swój unikatowy kod IMEI.

Jak w ogóle jest możliwe, że taki atak może działać? Towszystko wynika z założeń sieci GSM, niejako potwierdzających, żetworzono ją z myślą o inwigilacji. Otóż o ile urządzeniewłączające się do sieci komórkowej musi się jej uwierzytelnić,to już sama sieć urządzeniu uwierzytelnić się nie musi. Jako zaśże telefony nieustannie szukają stacji bazowych o najsilniejszymsygnale, wystarczy fałszywą stację umieścić w pobliżu – atelefon sam się z nią połączy. Wówczas to łowca IMSI możenawet wyłączyć szyfrowanie połączeń głosowych (uaktywnić tzw.tryb A5/0), czy przełączyć na słabe szyfrowanie A5/1 czy A5/2,którego łamanie możliwe jest dziś w czasie rzeczywistym – iktóre celowo zostało zaprojektowane tak, by nie było zbyt trudnedo złamania.

Uwaga: fałszywe stacje bazowe nie muszą być duże. Na rynku odkilku lat dostępne są urządzenia, które ukryć można podmarynarką. Co ciekawe, łowcę IMSI można wykorzystać też doprzerwania wszelkiej łączności komórkowej w danym obszarze –wystarczy, że będzie odpowiednio szybko odrzucał on próbypołączeń ze stacją bazową dla wszystkich telefonów w okolicy.

Smartfony pozwalają na wyłączenie modemu komórkowego – stająsię wówczas kieszonkowymi komputerkami z Wi-Fi i Bluetoothem. Jeślitelefon jest w pełni kontrolowany przez użytkownika (tzn. niezainstalowano na nim żadnego złośliwego oprogramowania), takiewyłączenie jest skuteczne. Na wszystkie platformy jest dostępnyjednak kod potrafiący zasymulować oznaki wyłączenia modemu,podczas gdy w rzeczywistości pozostanie on włączony. Póki cozałóżmy jednak, że użytkownik skutecznie wyłączył łącznośćkomórkową (np. usuwając kartę SIM z telefonu) i korzysta jedyniez otwartego Wi-Fi. Czy wówczas może zostać namierzony?

Niestety odpowiedź brzmi „tak”. Sygnały Wi-Fi i Bluetoothmają mniejszą moc niż sygnał telefonii komórkowej, alewykorzystując odpowiednio czułe anteny kierunkowe, napastnik możeje namierzyć nawet z odległości wielu kilometrów. Co gorsze,nawet jeśli smartfon nie jest połączony z żadną siecią, torozgłasza drogą radiową swój unikatowy identyfikator – adresMAC. W praktyce raczej nie pozwoli to na precyzyjne namierzenieurządzenia, ale może potwierdzić przekonania napastnika, żeofiara była w określonym czasie w zasięgu danej siecibezprzewodowej (np. hotspotu w restauracji czy na dworcu kolejowym).Nie ma oczywiście gwarancji, że punkt dostępowy Wi-Fi będzie danetakie przechowywał, ale nierzadko tak właśnie jest, tym bardziej,że znane są wypadki namierzania smartfonów przez ich adresy MACnp. w galeriach handlowych do celów komercyjnych i reklamowych.

Trzeba też pamiętać, że po połączeniu z publiczną, otwartąsiecią Wi-Fi zwykle nie możemy liczyć na poufność przesyłanychdanych, o ile sami ich nie szyfrujemy (np. łącząc się z wirtualnąsiecią prywatną VPN). W tym wypadku musimy założyć też, żekorzystając z Internetu za pomocą smartfonu narażeni jesteśmy nate same techniki inwigilacji, jakie zastosować można wobecnormalnych komputerów, które jednak zabezpieczyć jest znaczniełatwiej.

W filmach sensacyjnych ofiary inwigilacji mogą być namierzonedrogą satelitarną. Istnieje przekonanie, że satelita GPS w jakiśsposób „wie”, gdzie znajdują się urządzenia z nawigacjąsatelitarną, w tym oczywiście smartfony. To oczywiście niemożliwe.W smartfonie znajduje się odbiornik GPS, który jedynie odbierasygnał od konstelacji satelitów, i na podstawie czasu odebrania odnich sygnału radiowego wylicza swoją pozycję.

Ujawnienie tej informacji możliwe jest tylko na dwa sposoby.Pierwszy polega na wykorzystaniu elektronicznej pluskwy, któraobliczoną przez GPS pozycję prześle np. przez sieć komórkową donapastnika. Oczywiście to już wymaga wzmożonej kontrolioperacyjnej, a biorąc pod uwagę to, że ludzie rzadko kiedyrozstają się ze swoimi smartfonami, nie jest to łatwe doprzeprowadzenia. Na szczęście (dla napastników), to samo dziśmożna osiągnąć przy użyciu oprogramowania. Dane z GPS urządzeniasą dostępne dla systemu operacyjnego, a działające w nimaplikacje, nie tylko złośliwe, mogą je odczytać i udostępnićstronom trzecim. Domyślne ustawienia w większości urządzeńdopuszczają ujawnienie tych danych systemowym aplikacjom mapowym,których operatorzy (np. Google) wszystko to gromadzą w swoichbazach danych – i nierzadko dane te udostępniają organompaństwowym (choć zwykle żądają wówczas sądowego nakazu).

Największym zagrożeniem jest oczywiście utrata smartfonu.Współczesne narzędzia informatyki śledczej pozwalają wautomatyczny sposób wydobyć dane z przejętego urządzenia,odczytując w ten sposób nie tylko dane łatwo dostępne dla ofiary(np. listę kontaktów czy SMS-y), ale też dane przed nim ukryte,tj. systemowe logi czy nawet skasowane wiadomości. Narzędzia tepozwalają też w wielu wypadkach obejść proste zabezpieczeniatelefonów, takie jak blokada ekranu PIN-em czy wzorem graficznym.

Pozyskanie danych to nie wszystko. Przejęty telefon może zostaćzamieniony w elektroniczną pluskwę. Wiele firm tworzy złośliweoprogramowanie (oficjalnie przeznaczone tylko dla policji i służb),które po zainstalowaniu pozwoli na gromadzenie wszelkich informacji,podsłuchiwanie przez wbudowany mikrofon czy nawet podglądanie przezkamerę i zdalne udostępnianie zawartości ekranu. Aplikacje takiesą projektowane tak, by zwykły użytkownik nie znalazł po ichinstalacji żadnych śladów ich obecności, noszą niewinne nazwy,udające systemowe oprogramowanie (np. com.android.services czy cośw tym stylu).

Nawet jeśli jednak napastnicy nie zdołają uzyskać fizycznegodostępu do smartfonu, wciąż mogą próbować zainfekować gozdalnie, czy to za pomocą złośliwego oprogramowania, które trafiłowcześniej na komputer (wiele osób podłącza przecież smartfony dokomputerów kabelkiem USB), czy wykorzystując luki np. wprzeglądarce internetowej urządzenia.

Pomimo tych wszystkich zagrożeń dla prywatności, jakie wiążąsię z wykorzystaniem smartfonów, wciąż możliwe jestzminimalizowanie ryzyka. Dostępne są narzędzia pozwalającezmieniać numery IMEI i MAC urządzeń, można za pomocą fizycznychśrodków „zniknąć” smartfon, tak że stanie się całkowicieniewidoczny dla operatora. Niedawno pojawiły się też narzędziapozwalajace na wykrycie, czy nie jesteśmy czasem ofiarami ataku zapomocą fałszywej stacji bazowej.

Uchronić można też i dane znajdujące się na smartfonach orazprowadzoną przez nie komunikację. Uszczelnienie systemuoperacyjnego urządzenia, skuteczne zaszyfrowanie znajdujących sięna nim danych, zastąpienie połączeń głosowych i wiadomości SMSszyfrowanymi usługami VoIP i komunikatorami – to wszystko sprawi,że nawet jeśli ofiara nie stanie się całkowicie odporna nainwigilację, to jednak stanie się zbyt twardym orzechem dozgryzienia. Jak wspomnieliśmy na początku, to szczególnie istotnedla ludzi wykonujących zawody zaufania publicznego, ale nie tylko –skorzystają z tej wiedzy przedsiębiorcy, naukowcy, jak i każdy,kto uważa, że życie w „szklanych domach” jest okropnympomysłem.

Sceptycy oczywiście mogą zauważyć, że to człowiek jestnajsłabszym ogniwem bezpieczeństwa i wszystkie te metody zawiodąwobec tzw. kryptoanalizy za pomocą gumowej pałki, ale nie o to tuchodzi – w prowadzonym potajemnie rozpoznaniu operacyjnym chodziprzecież o to, by inwigilowany obywatel nie dowiedział się o tym,że jest obserwowany i podsłuchiwany. Dlatego też inteligentnewykorzystanie techniki stanowi tu właściwe zabezpieczenie przedmetodami bądź co bądź też technicznymi. Metody i narzędzia, pozwalające utrudnić (a nawet uniemożliwić) elektroniczną inwigilację smartfonów przedstawimy Wam w drugiej części cyklu.