Хакер - Call Detail Record. Как полиция вычисляет преступников без сложной техники

Сообщения
29
Оценка реакций
10
Содержание статьи
  • Всевидящее око
  • Не только CDR
  • Одноразовые телефоны
  • Кейс 1
  • Кейс 2
  • Кейс 3
  • Если анонимных устройств много
  • Телефонный терроризм: а если звонок был действительно один?
  • А если звонить через VoIP, используя VPN?
  • Как происходит анализ
  • Как-то это все… ненадежно!
  • Заключение
Представь себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник звонит еще раз. Жертва обращается в полицию, и уже через полчаса там узнают не только настоящий номер звонившего, но и всю историю его перемещений и звонков. И все это без сложной техники, поддельных базовых станций и перехвата сигнала.

Всевидящее око
Мы регулярно пишем об уязвимостях смартфонов, сетей передачи данных и безопасности облачных сервисов. Мы настолько привыкли «думать сложно», что совсем забываем о существовании гораздо более простых и эффективных методов, доступных полиции разных стран.

Зачастую полиция не будет даже пытаться что-то взломать или перехватить, а просто сделает запрос к оператору сотовой связи, и последний отдаст не только историю звонков, но и массу другой интереснейшей информации. Как пример:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, в которой проанализирована информация, собранная о самом журналисте его сотовым оператором за последние два года (и только она).

По австралийским законам операторы сотовой связи обязаны в течение двух лет хранить определенную информацию о пользователях сети, базу

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Сюда входит информация о местоположении устройства в каждый момент времени (кстати, недавно в Швеции был создан прецедент: одной лишь этой информации недостаточно для вынесения приговора), журнал звонков, включая информацию о другом абоненте, и данные о сессиях выхода в интернет. Что касается SMS, то по австралийскому закону об охране частной жизни без предварительной санкции на прослушивание оператор имеет право (и обязан) сохранить лишь метаданные: время отправки, размер сообщения и адресата. Содержимое самих сообщений (а тем более голосовых звонков) не сохраняется.

Так выглядит информация, собранная о журналисте оператором.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Места, которые посетил журналист 1 апреля 2015 года.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Места, которые он чаще всего посещал во время заданного временного отрезка.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

доступны интерактивные версии этих данных.

Метаданные включают информацию о том, кому звонил и писал сообщения пользователь, о длительности звонков и о том, к каким базовым станциям в какой момент времени подключался телефон (такая информация позволяет достаточно точно установить местоположение устройства). В некоторых странах (не будем показывать пальцем, но это США) операторы не только выдают информацию о местоположении пользователя полиции, но и с удовольствием

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Самое интересное, что операторам сотовой связи доступны (и выдаются полиции, а также продаются любому желающему) детали об использовании интернета, включая адреса сайтов и объем переданных данных. Это — совершенно отдельная тема для обсуждения; данные собирают, отслеживая запросы к DNS-серверам провайдера. Этими данными операторы также с радостью приторговывают; кормушка настолько привлекательна, что операторы даже

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Мобильные операторы в США также обязаны хранить записи CDR. Кроме того, в Соединенных Штатах спецслужбами поддерживается единая база

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, записи в которой могут храниться гораздо дольше, чем разрешается по закону самим операторам мобильной связи.

В России же принят так называемый

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, который обязывает операторов сотовой связи в течение трех лет хранить метаданные (их список практически полностью совпадает с австралийским вариантом закона). Кроме того, с октября прошлого года операторы обязаны хранить в течение как минимум 30 суток (но не более шести месяцев) текстовые, голосовые, видео- и другие сообщения пользователей. Соответственно, в России любой звонок должен быть записан оператором и предоставлен полиции по законному требованию.

Не только CDR
В приведенном выше исследовании журналист Уилл Окенден пользовался iPhone. Правильно оформленный запрос в Apple (по терминологии компании — Device Request, то есть такой запрос, в котором у полиции нет ничего, кроме аппаратного идентификатора устройства — IMEI) позволит полиции получить и те данные, которые собирает о пользователе Apple, а туда входит почти все за редкими исключениями. Вот так, например, выглядит статистика запросов к Apple в России.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Для сравнения, в США за тот же год полиция запросила информацию о 19 318 устройствах (успешными оказались 81% запросов). Google предлагает интерактивный график, ознакомиться с которым можно по

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

И если Apple не предоставит полиции такие данные, как пароли пользователя, статистика использования устройства, сообщения SMS/iMessage и данные «Здоровья» (история физической активности пользователя, включая число шагов и частоту сердцебиения в заданном временном промежутке, — полезнейшая вещь для ловли как преступников, так и неверных супругов), то Google отдаст все, в том числе пароли (чтобы быть полностью технически корректным, добавлю, что в Android 9 появилось шифрование резервных копий; соответственно, полиция не получит ни самих бэкапов, ни хранящихся в них SMS и журналов звонков).

Одноразовые телефоны
Преступников, пользующихся своим основным телефоном для звонков с угрозами, вымогательств и прочих уголовно наказуемых деяний, теперь почти не водится; выше мы подробно разобрались почему. Что остается преступнику? Одноразовые SIM-карты (пожалуй, не будем сейчас обсуждать способы, которыми преступники обзаводятся такими картами) и одноразовые (как правило — дешевые кнопочные) устройства, желательно вовсе лишенные возможности выхода в интернет.

Для того чтобы получить хоть какие-то данные о подозреваемом, полиции нужна хотя бы одна зацепка — IMEI вполне достаточно. Но что можно определить по идентификатору устройства, которое включалось всего на несколько минут? Начитавшиеся конспирологических теорий (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

) начинающие преступники трепетно вынимают из телефона аккумулятор, включая устройство, лишь чтобы совершить звонок.

Разумеется, никто из них даже не задумывается о том, что происходит, когда устройство включается и выключается (как штатно, так и аварийно, с извлечением аккумулятора). Тем более мало кто задумывается о том, известно ли оперативным работникам полиции о таком шаблоне.

Уверенный в своей безопасности преступник уходит из дома (если не уходит — с большой вероятностью его местоположение определят сразу же или постфактум, проанализировав логи) и звонит с одноразового телефона. Где при этом находится его основной телефон? Рассмотрим варианты.

Кейс 1
Начнем с рассмотрения самой типичной ситуации: «подозрительный» звонок совершается с одноразового, «анонимного» телефона, при этом собственный телефон преступник взял с собой. Ничего невероятного в этом нет; достаточно почитать полицейские сводки, чтобы понять, что так действует большинство.

Полиция запрашивает у оператора сотовой связи записи CDR за указанный период. В зависимости от страны и действующих в ней законов оператор возвращает либо сырые данные, либо анонимизированный список устройств (каждый аппаратный идентификатор заменяется на хеш-функцию). Фактически полиция получает готовый список устройств, подключенных к соте, где было зарегистрировано устройство, с которого был совершен звонок. Предполагается, что среди этих устройств будет присутствовать и собственный телефон преступника.

К одной и той же соте может быть одновременно подключено несколько тысяч абонентов, поэтому единичный запрос мало что даст полиции. Однако если преступник позвонит жертве еще раз — неважно, из той же соты или из другой (из другой даже лучше), — полиция получит дополнительные выборки. Далее пересекаются множества устройств, которые были зарегистрированы в той же соте на момент совершения звонка с «анонимного» устройства; как правило, на второй-третьей выборке остается всего несколько десятков, а то и единичные идентификаторы.

Разумеется, на практике все несколько сложнее. Например, учитывается не только подключение к конкретной вышке, с которой был сделан звонок, но и данные с соседних вышек. Использование этих данных позволяет (и позволяло, кстати, даже пятнадцать лет назад) произвести триангуляцию, определив местоположение устройства с точностью от нескольких десятков до нескольких сотен метров. Согласись, с такой выборкой работать заметно приятнее.

Впрочем, в больших городах с высокой плотностью населения (анонимные звонки часто совершают в людных местах) круг подозреваемых даже в результате третьей выборки может оказаться слишком широк. В таких случаях (не всегда, но в особо важных делах) в игру вступает анализ «больших данных». Подробно об этом мне удалось узнать два года назад из вступительной речи на полицейском конгрессе в Берлине. Аналитик исследует шаблоны поведения устройств, обозначенных условными идентификаторами. Разговор по телефону, активное потребление трафика, перемещения в пространстве, время регистрации в соте и целый ряд дополнительных параметров позволяют исключить значительную часть устройств, тем самым заметно сократив круг подозреваемых.

Вывод: легче всего засечь преступника, у которого при себе есть персональное устройство (личный смартфон) и который при этом перемещается. Сделал анонимный звонок из одной соты — очерчено множество устройств. Сделал второй звонок из другой соты — и список устройств, следующих тем же маршрутом, сократился на порядок.

Кстати, развенчаю популярный киношный шаблон. Для точного определения местоположения телефона время его нахождения в сети не играет ни малейшей роли: местоположение определяется моментально при регистрации телефона в сети и сохраняется в логах, откуда его можно легко извлечь. Если устройство перемещается, то местоположение можно установить еще точнее. Заодно пройдемся по конспирологам: выключенный телефон не сообщает о своем местоположении, даже если не извлекать из него батарейку (хорошо, iPhone 11 может сообщать благодаря

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, да и то не сейчас, а когда-нибудь в будущем, когда Apple включит эту возможность в прошивке).

Подытожим: преступник включил аппарат, совершил анонимный звонок или отправил SMS, выключил устройство или извлек батарейку. На следующий день снова включил, позвонил из другой части города, выключил. Список устройств, которые могут принадлежать преступнику, сократился до нескольких штук. Третий звонок позволил окончательно идентифицировать преступника, можно выезжать. Все это — без использования каких-либо спецсредств, простой анализ логов по трем включениям.

Кейс 2
«Кто же ходит на дело с включенным телефоном?» — можешь логично поинтересоваться ты. Действительно, предусмотрительный преступник может выключить основной телефон перед тем, как совершить звонок с анонимного устройства. Очень хорошо: теперь полиции достаточно посмотреть список устройств, которые были отключены в момент совершения анонимного звонка. В таком случае хватит и одной итерации. Если же преступник еще и включит свой основной телефон после анонимного звонка, то за ним можно смело отправлять опергруппу.

Почему так? Дело в том, что при отключении телефон посылает соте сигнал, и это позволяет различить устройства, которые были отключены, от тех, которые покинули соту. При включении, соответственно, создается новая запись. Проследить такие активности — дело нескольких кликов.

Кейс 3
«Да кто вообще берет с собой на дело собственный телефон?» Как ни странно, берут и носят, причем далеко не только телефоны. Берут телефоны или оставляют дома телефон, но берут умные часы; кстати, это позволило полиции раскрыть массу преступлений. Большинство «телефонных» преступников — далеко не профессионалы, и знания о том, как функционирует сотовая связь, какие данные собираются и как анализируются, у них в зачаточном состоянии. Человеческий фактор позволяет полиции раскрывать многие преступления простым сопоставлением фактов.

Если же преступник действительно ни разу не возьмет с собой телефон (практика показывает, что обычно хоть раз, но ошибаются все), то вычислить его может помочь анализ больших данных. Многое здесь будет зависеть от того, насколько много времени и насколько серьезные усилия готов приложить злоумышленник для совершения анонимного звонка, а также от того, сколько будет таких звонков.

Если анонимных устройств много
А если преступник хитер и использует не один, а несколько анонимных телефонов, избавляясь от улики каждый раз после звонка? Именно такая практика часто показывается в фильмах. Прочитав предыдущие разделы, ты, вероятно, уже сообразил, что все, что выгадывает преступник при использовании нескольких разных устройств, — это несколько лишних секунд анонимности, тех, что предшествуют собственно звонку. Поскольку звонки со всех анонимных устройств будут приобщены к делу, у полиции появляются дополнительные зацепки: источник происхождения «анонимных» SIM-карт и, возможно, место покупки одноразовых телефонов. Совершался звонок с одного и того же устройства или нескольких разных, не повлияет на ход расследования.

Телефонный терроризм: а если звонок был действительно один?
А что, если звонок был действительно всего один? Для того чтобы сообщить о минировании школы или аэропорта, второй звонок и не нужен: телефонному террористу достаточно сделать ровно один звонок, после чего «засветившееся» устройство можно выбросить или уничтожить вместе с SIM-картой.

Как ни удивительно, и таких преступников часто ловят, используя оперативно-разыскные мероприятия, отработанные еще во времена звонков с уличных таксофонов. Если у преступника есть постоянный смартфон, то круг подозреваемых можно резко ограничить, проведя анализ по первому из описанных в статье методов. Таким образом, даже в городе-миллионнике круг подозреваемых сужается до нескольких сотен (редко — тысяч) абонентов. Если речь идет о «минировании» школы, то множество «подозрительных» абонентов пересекается со множеством учеников школы. С теми, кто остался, оперативнику будет достаточно просто поговорить.

Помогает в раскрытии телефонного терроризма и то, что такие преступники, как правило, слабо представляют себе возможности и особенности работы оперативников и стараются защититься от придуманных, несуществующих опасностей, совершенно игнорируя очевидное. Два года назад офис наших коллег (по случайному совпадению — также разработчиков ПО для полиции) был эвакуирован по звонку от неизвестного, сообщившего о взрывном устройстве в здании. Не прошло и нескольких часов, как полиция уже задержала преступника. Преступником оказалась сумасшедшая бабушка, которая хотела насолить соседям, но перепутала адрес. Не помог ни специально купленный мстительной старушкой кнопочный телефон, ни «анонимная» (а точнее — зарегистрированная на несуществующие ФИО) SIM-карта.

А если звонить через VoIP, используя VPN?
Если тебе в голову пришла мысль, что действительно анонимный звонок можно совершить через сервис VoIP (желательно бесплатный, чтобы не светить платежные средства), да еще и через сервис VPN, который не хранит логи, — поздравляю, ты мыслишь как самый настоящий бандит.

Разумеется, всегда есть вероятность «проколоться», забыв проконтролировать соединение с сервером VPN или случайно войдя с собственными, а не «анонимными» данными для звонков. Чтобы такого не произошло, преступные группировки идут на серьезные траты, заказывая изготовление модифицированных (на программном уровне) телефонов.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, показал масштаб операций. Несмотря на то что эту криминальную сеть полиции удалось накрыть (и получить контроль над инфраструктурой зашифрованных коммуникаций, которой пользовались преступники), в полиции понимают, что это лишь первый шаг. «Преступники неизбежно мигрируют на другие сервисы, и мы представляем, какие именно. Не буду показывать пальцем, но рано или поздно мы доберемся и до них» (помощник комиссара AFP Гоган).

Как происходит анализ
В

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, опубликованном ITU (Республика Гвинея), довольно подробно описаны как методы, так и инструменты, которыми пользуются аналитики. В целом процесс можно изобразить так.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


И чуть более детально.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Все, что нужно полицейским, — это собственно «сырые» данные CDR и софт, при помощи которого их можно загрузить и проанализировать («сырые» данные малопригодны для анализа вручную, но отфильтрованные вполне можно вывести на экран в текстовом виде или распечатать).

О популярности этого способа расследования говорит тот факт, что записи CDR поддерживает чуть ли не каждый серьезный криминалистический пакет. Примеры:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, российский

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и многие другие. Впрочем, нам приходилось общаться и с полицейскими, успешно использующими в работе связку из Google Maps и Microsoft Excel.

Без сомнения, на вооружении у спецслужб есть спецтехника, позволяющая подавить сотовую связь, подменить базовую станцию или подделать координаты GPS. Вот только полиция не использует большую часть этой техники — по крайней мере, в расследовании рутинных преступлений телефонных террористов и вымогателей. Дорого, суетно, затратно по времени, да и по большому счету не нужно, а иногда и неэффективно. Анализ логов CDR (Call Detail Record) — гораздо более эффективное вложение времени и сил.

Показателен случай, произошедший несколько лет назад в Великобритании. Полиция вела наблюдение за одним из боссов наркокартеля. Задержать не проблема, но доказательств нет, дело бы развалилось в суде. По мнению полиции, в телефоне преступника (он пользовался iPhone) могли содержаться жизненно необходимые улики, но взломать код блокировки достаточно свежей модели на тот момент не представлялось возможным. В результате была разработана операция; за преступником велось наблюдение. Как только он взял телефон, разблокировал его и начал набирать текст, наркобарона задержали, а телефон буквально вырвали из рук.

Интересна здесь не предыстория, а такая незначительная деталь: для того чтобы довезти iPhone преступника до лаборатории в разблокированном состоянии, был назначен специальный полицейский, вся работа которого сводилась к тому, чтобы периодически проводить пальцем по экрану, не позволяя устройству заснуть. (Не нужно считать полицейских простофилями: все в курсе, что есть настройка, контролирующая время, через которое экран телефона выключается, а сам телефон блокируется. А вот о том, что на телефон легко, в пару кликов, можно установить профиль конфигурации, который запрещает отключение автоматической блокировки, знают уже не все.) Телефон успешно довезли до лаборатории, данные извлекли, нужные улики получили.

Как-то это все… ненадежно!
Если после прочтения этой статьи у тебя возникло впечатление, что основывать приговор на данных, полученных от сотовых операторов, как-то не совсем правильно, поспешу согласиться. Более того, с тобой согласен и Верховный суд Дании,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Запрет возник не на ровном месте: из 10 700 обвинительных приговоров, основанных на этих данных (что немало для спокойной небольшой страны) уже 32 человека признаны невиновными в результате дополнительных проверок. По словам директора Ассоциации индустрии телекоммуникаций, «эта инфраструктура создавалась для обеспечения услуг связи, а не для слежки за гражданами». «Попытка истолковать эти данные приводит к ошибкам», а «доказательства, которые выглядят основанными на точных технических измерениях, вовсе не обязательно обладают высокой ценностью в суде».

На большинстве курсов повышения квалификации для работников полиции обязательно говорят, что нельзя полностью доверять цифровым уликам независимо от способа, которым те были получены. Рассказывают о делах, когда местоположение подозреваемого определялось на основе метаданных из фотографий, которые были синхронизированы через облако, а не сняты самим устройством.

Показателен случай, когда ответ на входящий звонок был истолкован как «отвлечение внимания при вождении», приведшее к аварийной ситуации. На самом же деле кнопочный тогда еще телефон мирно лежал в кармане у водителя, но из-за случайно зажатой кнопки телефон «ответил» на звонок, что и было зарегистрировано оператором. Защита смогла оправдать водителя, допросив второго абонента, который и показал, что разговор не состоялся (кстати, что там было «на самом деле», неизвестно, но суд встал на сторону обвиняемого).

Уверен, такой случай далеко не единственный. Данные CDR — прекрасный инструмент в руках оперативника, но ненадежный в качестве доказательной базы.

Заключение
Какие выводы можно сделать из этой статьи? Сейчас, когда личный смартфон или хотя бы кнопочный телефон есть практически у каждого, любой человек оставляет «цифровой след». След этот содержит заметно больше информации, а добраться до него значительно проще, чем многие осознают. Для получения всей интересующей информации полиции нужна лишь одна зацепка, которой может стать аппаратный идентификатор личного смартфона преступника, даже если тот ни разу не воспользовался личным устройством в преступных целях. Получение такой зацепки — результат обычного, рутинного анализа логов операторов мобильной связи. Спецсредства не нужны, конспирология не нужна, все происходит и гораздо проще, и интереснее. Вместо погонь и стрельбы — кабинетная работа с аналитической программой, простой базой данных или даже с распечатками
 
  • Like
Реакции: Xamil, jowusod и Admin

HonestMan

Member
Сообщения
13
Оценка реакций
3
Было очень интересно, спасибо за статью
 

Mr.Medved

Pro Member
Сообщения
44
Оценка реакций
2
на одном форуме закидали какашками что древнее говно мамонта скопипастил так на другой пришел
 

Nikiys

New Member
Сообщения
2
Оценка реакций
0
Вот это общение конечно у Вас mostbiggestshark, Mr.Medved,
Читал статью с вырезками из этой видимо, тут более дополнена.
Всё гораздо проще чем мы думаем.
 

gansepisbnk

Member
Сообщения
12
Оценка реакций
0
Содержание статьи
  • Всевидящее око
  • Не только CDR
  • Одноразовые телефоны
  • Кейс 1
  • Кейс 2
  • Кейс 3
  • Если анонимных устройств много
  • Телефонный терроризм: а если звонок был действительно один?
  • А если звонить через VoIP, используя VPN?
  • Как происходит анализ
  • Как-то это все… ненадежно!
  • Заключение
Представь себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник звонит еще раз. Жертва обращается в полицию, и уже через полчаса там узнают не только настоящий номер звонившего, но и всю историю его перемещений и звонков. И все это без сложной техники, поддельных базовых станций и перехвата сигнала.

Всевидящее око
Мы регулярно пишем об уязвимостях смартфонов, сетей передачи данных и безопасности облачных сервисов. Мы настолько привыкли «думать сложно», что совсем забываем о существовании гораздо более простых и эффективных методов, доступных полиции разных стран.

Зачастую полиция не будет даже пытаться что-то взломать или перехватить, а просто сделает запрос к оператору сотовой связи, и последний отдаст не только историю звонков, но и массу другой интереснейшей информации. Как пример:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, в которой проанализирована информация, собранная о самом журналисте его сотовым оператором за последние два года (и только она).

По австралийским законам операторы сотовой связи обязаны в течение двух лет хранить определенную информацию о пользователях сети, базу

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Сюда входит информация о местоположении устройства в каждый момент времени (кстати, недавно в Швеции был создан прецедент: одной лишь этой информации недостаточно для вынесения приговора), журнал звонков, включая информацию о другом абоненте, и данные о сессиях выхода в интернет. Что касается SMS, то по австралийскому закону об охране частной жизни без предварительной санкции на прослушивание оператор имеет право (и обязан) сохранить лишь метаданные: время отправки, размер сообщения и адресата. Содержимое самих сообщений (а тем более голосовых звонков) не сохраняется.

Так выглядит информация, собранная о журналисте оператором.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Места, которые посетил журналист 1 апреля 2015 года.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Места, которые он чаще всего посещал во время заданного временного отрезка.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

доступны интерактивные версии этих данных.

Метаданные включают информацию о том, кому звонил и писал сообщения пользователь, о длительности звонков и о том, к каким базовым станциям в какой момент времени подключался телефон (такая информация позволяет достаточно точно установить местоположение устройства). В некоторых странах (не будем показывать пальцем, но это США) операторы не только выдают информацию о местоположении пользователя полиции, но и с удовольствием

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Самое интересное, что операторам сотовой связи доступны (и выдаются полиции, а также продаются любому желающему) детали об использовании интернета, включая адреса сайтов и объем переданных данных. Это — совершенно отдельная тема для обсуждения; данные собирают, отслеживая запросы к DNS-серверам провайдера. Этими данными операторы также с радостью приторговывают; кормушка настолько привлекательна, что операторы даже

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Мобильные операторы в США также обязаны хранить записи CDR. Кроме того, в Соединенных Штатах спецслужбами поддерживается единая база

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, записи в которой могут храниться гораздо дольше, чем разрешается по закону самим операторам мобильной связи.

В России же принят так называемый

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, который обязывает операторов сотовой связи в течение трех лет хранить метаданные (их список практически полностью совпадает с австралийским вариантом закона). Кроме того, с октября прошлого года операторы обязаны хранить в течение как минимум 30 суток (но не более шести месяцев) текстовые, голосовые, видео- и другие сообщения пользователей. Соответственно, в России любой звонок должен быть записан оператором и предоставлен полиции по законному требованию.

Не только CDR
В приведенном выше исследовании журналист Уилл Окенден пользовался iPhone. Правильно оформленный запрос в Apple (по терминологии компании — Device Request, то есть такой запрос, в котором у полиции нет ничего, кроме аппаратного идентификатора устройства — IMEI) позволит полиции получить и те данные, которые собирает о пользователе Apple, а туда входит почти все за редкими исключениями. Вот так, например, выглядит статистика запросов к Apple в России.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Для сравнения, в США за тот же год полиция запросила информацию о 19 318 устройствах (успешными оказались 81% запросов). Google предлагает интерактивный график, ознакомиться с которым можно по

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

И если Apple не предоставит полиции такие данные, как пароли пользователя, статистика использования устройства, сообщения SMS/iMessage и данные «Здоровья» (история физической активности пользователя, включая число шагов и частоту сердцебиения в заданном временном промежутке, — полезнейшая вещь для ловли как преступников, так и неверных супругов), то Google отдаст все, в том числе пароли (чтобы быть полностью технически корректным, добавлю, что в Android 9 появилось шифрование резервных копий; соответственно, полиция не получит ни самих бэкапов, ни хранящихся в них SMS и журналов звонков).

Одноразовые телефоны
Преступников, пользующихся своим основным телефоном для звонков с угрозами, вымогательств и прочих уголовно наказуемых деяний, теперь почти не водится; выше мы подробно разобрались почему. Что остается преступнику? Одноразовые SIM-карты (пожалуй, не будем сейчас обсуждать способы, которыми преступники обзаводятся такими картами) и одноразовые (как правило — дешевые кнопочные) устройства, желательно вовсе лишенные возможности выхода в интернет.

Для того чтобы получить хоть какие-то данные о подозреваемом, полиции нужна хотя бы одна зацепка — IMEI вполне достаточно. Но что можно определить по идентификатору устройства, которое включалось всего на несколько минут? Начитавшиеся конспирологических теорий (

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

) начинающие преступники трепетно вынимают из телефона аккумулятор, включая устройство, лишь чтобы совершить звонок.

Разумеется, никто из них даже не задумывается о том, что происходит, когда устройство включается и выключается (как штатно, так и аварийно, с извлечением аккумулятора). Тем более мало кто задумывается о том, известно ли оперативным работникам полиции о таком шаблоне.

Уверенный в своей безопасности преступник уходит из дома (если не уходит — с большой вероятностью его местоположение определят сразу же или постфактум, проанализировав логи) и звонит с одноразового телефона. Где при этом находится его основной телефон? Рассмотрим варианты.

Кейс 1
Начнем с рассмотрения самой типичной ситуации: «подозрительный» звонок совершается с одноразового, «анонимного» телефона, при этом собственный телефон преступник взял с собой. Ничего невероятного в этом нет; достаточно почитать полицейские сводки, чтобы понять, что так действует большинство.

Полиция запрашивает у оператора сотовой связи записи CDR за указанный период. В зависимости от страны и действующих в ней законов оператор возвращает либо сырые данные, либо анонимизированный список устройств (каждый аппаратный идентификатор заменяется на хеш-функцию). Фактически полиция получает готовый список устройств, подключенных к соте, где было зарегистрировано устройство, с которого был совершен звонок. Предполагается, что среди этих устройств будет присутствовать и собственный телефон преступника.

К одной и той же соте может быть одновременно подключено несколько тысяч абонентов, поэтому единичный запрос мало что даст полиции. Однако если преступник позвонит жертве еще раз — неважно, из той же соты или из другой (из другой даже лучше), — полиция получит дополнительные выборки. Далее пересекаются множества устройств, которые были зарегистрированы в той же соте на момент совершения звонка с «анонимного» устройства; как правило, на второй-третьей выборке остается всего несколько десятков, а то и единичные идентификаторы.

Разумеется, на практике все несколько сложнее. Например, учитывается не только подключение к конкретной вышке, с которой был сделан звонок, но и данные с соседних вышек. Использование этих данных позволяет (и позволяло, кстати, даже пятнадцать лет назад) произвести триангуляцию, определив местоположение устройства с точностью от нескольких десятков до нескольких сотен метров. Согласись, с такой выборкой работать заметно приятнее.

Впрочем, в больших городах с высокой плотностью населения (анонимные звонки часто совершают в людных местах) круг подозреваемых даже в результате третьей выборки может оказаться слишком широк. В таких случаях (не всегда, но в особо важных делах) в игру вступает анализ «больших данных». Подробно об этом мне удалось узнать два года назад из вступительной речи на полицейском конгрессе в Берлине. Аналитик исследует шаблоны поведения устройств, обозначенных условными идентификаторами. Разговор по телефону, активное потребление трафика, перемещения в пространстве, время регистрации в соте и целый ряд дополнительных параметров позволяют исключить значительную часть устройств, тем самым заметно сократив круг подозреваемых.

Вывод: легче всего засечь преступника, у которого при себе есть персональное устройство (личный смартфон) и который при этом перемещается. Сделал анонимный звонок из одной соты — очерчено множество устройств. Сделал второй звонок из другой соты — и список устройств, следующих тем же маршрутом, сократился на порядок.

Кстати, развенчаю популярный киношный шаблон. Для точного определения местоположения телефона время его нахождения в сети не играет ни малейшей роли: местоположение определяется моментально при регистрации телефона в сети и сохраняется в логах, откуда его можно легко извлечь. Если устройство перемещается, то местоположение можно установить еще точнее. Заодно пройдемся по конспирологам: выключенный телефон не сообщает о своем местоположении, даже если не извлекать из него батарейку (хорошо, iPhone 11 может сообщать благодаря

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, да и то не сейчас, а когда-нибудь в будущем, когда Apple включит эту возможность в прошивке).

Подытожим: преступник включил аппарат, совершил анонимный звонок или отправил SMS, выключил устройство или извлек батарейку. На следующий день снова включил, позвонил из другой части города, выключил. Список устройств, которые могут принадлежать преступнику, сократился до нескольких штук. Третий звонок позволил окончательно идентифицировать преступника, можно выезжать. Все это — без использования каких-либо спецсредств, простой анализ логов по трем включениям.

Кейс 2
«Кто же ходит на дело с включенным телефоном?» — можешь логично поинтересоваться ты. Действительно, предусмотрительный преступник может выключить основной телефон перед тем, как совершить звонок с анонимного устройства. Очень хорошо: теперь полиции достаточно посмотреть список устройств, которые были отключены в момент совершения анонимного звонка. В таком случае хватит и одной итерации. Если же преступник еще и включит свой основной телефон после анонимного звонка, то за ним можно смело отправлять опергруппу.

Почему так? Дело в том, что при отключении телефон посылает соте сигнал, и это позволяет различить устройства, которые были отключены, от тех, которые покинули соту. При включении, соответственно, создается новая запись. Проследить такие активности — дело нескольких кликов.

Кейс 3
«Да кто вообще берет с собой на дело собственный телефон?» Как ни странно, берут и носят, причем далеко не только телефоны. Берут телефоны или оставляют дома телефон, но берут умные часы; кстати, это позволило полиции раскрыть массу преступлений. Большинство «телефонных» преступников — далеко не профессионалы, и знания о том, как функционирует сотовая связь, какие данные собираются и как анализируются, у них в зачаточном состоянии. Человеческий фактор позволяет полиции раскрывать многие преступления простым сопоставлением фактов.

Если же преступник действительно ни разу не возьмет с собой телефон (практика показывает, что обычно хоть раз, но ошибаются все), то вычислить его может помочь анализ больших данных. Многое здесь будет зависеть от того, насколько много времени и насколько серьезные усилия готов приложить злоумышленник для совершения анонимного звонка, а также от того, сколько будет таких звонков.

Если анонимных устройств много
А если преступник хитер и использует не один, а несколько анонимных телефонов, избавляясь от улики каждый раз после звонка? Именно такая практика часто показывается в фильмах. Прочитав предыдущие разделы, ты, вероятно, уже сообразил, что все, что выгадывает преступник при использовании нескольких разных устройств, — это несколько лишних секунд анонимности, тех, что предшествуют собственно звонку. Поскольку звонки со всех анонимных устройств будут приобщены к делу, у полиции появляются дополнительные зацепки: источник происхождения «анонимных» SIM-карт и, возможно, место покупки одноразовых телефонов. Совершался звонок с одного и того же устройства или нескольких разных, не повлияет на ход расследования.

Телефонный терроризм: а если звонок был действительно один?
А что, если звонок был действительно всего один? Для того чтобы сообщить о минировании школы или аэропорта, второй звонок и не нужен: телефонному террористу достаточно сделать ровно один звонок, после чего «засветившееся» устройство можно выбросить или уничтожить вместе с SIM-картой.

Как ни удивительно, и таких преступников часто ловят, используя оперативно-разыскные мероприятия, отработанные еще во времена звонков с уличных таксофонов. Если у преступника есть постоянный смартфон, то круг подозреваемых можно резко ограничить, проведя анализ по первому из описанных в статье методов. Таким образом, даже в городе-миллионнике круг подозреваемых сужается до нескольких сотен (редко — тысяч) абонентов. Если речь идет о «минировании» школы, то множество «подозрительных» абонентов пересекается со множеством учеников школы. С теми, кто остался, оперативнику будет достаточно просто поговорить.

Помогает в раскрытии телефонного терроризма и то, что такие преступники, как правило, слабо представляют себе возможности и особенности работы оперативников и стараются защититься от придуманных, несуществующих опасностей, совершенно игнорируя очевидное. Два года назад офис наших коллег (по случайному совпадению — также разработчиков ПО для полиции) был эвакуирован по звонку от неизвестного, сообщившего о взрывном устройстве в здании. Не прошло и нескольких часов, как полиция уже задержала преступника. Преступником оказалась сумасшедшая бабушка, которая хотела насолить соседям, но перепутала адрес. Не помог ни специально купленный мстительной старушкой кнопочный телефон, ни «анонимная» (а точнее — зарегистрированная на несуществующие ФИО) SIM-карта.

А если звонить через VoIP, используя VPN?
Если тебе в голову пришла мысль, что действительно анонимный звонок можно совершить через сервис VoIP (желательно бесплатный, чтобы не светить платежные средства), да еще и через сервис VPN, который не хранит логи, — поздравляю, ты мыслишь как самый настоящий бандит.

Разумеется, всегда есть вероятность «проколоться», забыв проконтролировать соединение с сервером VPN или случайно войдя с собственными, а не «анонимными» данными для звонков. Чтобы такого не произошло, преступные группировки идут на серьезные траты, заказывая изготовление модифицированных (на программном уровне) телефонов.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, показал масштаб операций. Несмотря на то что эту криминальную сеть полиции удалось накрыть (и получить контроль над инфраструктурой зашифрованных коммуникаций, которой пользовались преступники), в полиции понимают, что это лишь первый шаг. «Преступники неизбежно мигрируют на другие сервисы, и мы представляем, какие именно. Не буду показывать пальцем, но рано или поздно мы доберемся и до них» (помощник комиссара AFP Гоган).

Как происходит анализ
В

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, опубликованном ITU (Республика Гвинея), довольно подробно описаны как методы, так и инструменты, которыми пользуются аналитики. В целом процесс можно изобразить так.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


И чуть более детально.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Все, что нужно полицейским, — это собственно «сырые» данные CDR и софт, при помощи которого их можно загрузить и проанализировать («сырые» данные малопригодны для анализа вручную, но отфильтрованные вполне можно вывести на экран в текстовом виде или распечатать).

О популярности этого способа расследования говорит тот факт, что записи CDR поддерживает чуть ли не каждый серьезный криминалистический пакет. Примеры:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, российский

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и многие другие. Впрочем, нам приходилось общаться и с полицейскими, успешно использующими в работе связку из Google Maps и Microsoft Excel.

Без сомнения, на вооружении у спецслужб есть спецтехника, позволяющая подавить сотовую связь, подменить базовую станцию или подделать координаты GPS. Вот только полиция не использует большую часть этой техники — по крайней мере, в расследовании рутинных преступлений телефонных террористов и вымогателей. Дорого, суетно, затратно по времени, да и по большому счету не нужно, а иногда и неэффективно. Анализ логов CDR (Call Detail Record) — гораздо более эффективное вложение времени и сил.

Показателен случай, произошедший несколько лет назад в Великобритании. Полиция вела наблюдение за одним из боссов наркокартеля. Задержать не проблема, но доказательств нет, дело бы развалилось в суде. По мнению полиции, в телефоне преступника (он пользовался iPhone) могли содержаться жизненно необходимые улики, но взломать код блокировки достаточно свежей модели на тот момент не представлялось возможным. В результате была разработана операция; за преступником велось наблюдение. Как только он взял телефон, разблокировал его и начал набирать текст, наркобарона задержали, а телефон буквально вырвали из рук.

Интересна здесь не предыстория, а такая незначительная деталь: для того чтобы довезти iPhone преступника до лаборатории в разблокированном состоянии, был назначен специальный полицейский, вся работа которого сводилась к тому, чтобы периодически проводить пальцем по экрану, не позволяя устройству заснуть. (Не нужно считать полицейских простофилями: все в курсе, что есть настройка, контролирующая время, через которое экран телефона выключается, а сам телефон блокируется. А вот о том, что на телефон легко, в пару кликов, можно установить профиль конфигурации, который запрещает отключение автоматической блокировки, знают уже не все.) Телефон успешно довезли до лаборатории, данные извлекли, нужные улики получили.

Как-то это все… ненадежно!
Если после прочтения этой статьи у тебя возникло впечатление, что основывать приговор на данных, полученных от сотовых операторов, как-то не совсем правильно, поспешу согласиться. Более того, с тобой согласен и Верховный суд Дании,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Запрет возник не на ровном месте: из 10 700 обвинительных приговоров, основанных на этих данных (что немало для спокойной небольшой страны) уже 32 человека признаны невиновными в результате дополнительных проверок. По словам директора Ассоциации индустрии телекоммуникаций, «эта инфраструктура создавалась для обеспечения услуг связи, а не для слежки за гражданами». «Попытка истолковать эти данные приводит к ошибкам», а «доказательства, которые выглядят основанными на точных технических измерениях, вовсе не обязательно обладают высокой ценностью в суде».

На большинстве курсов повышения квалификации для работников полиции обязательно говорят, что нельзя полностью доверять цифровым уликам независимо от способа, которым те были получены. Рассказывают о делах, когда местоположение подозреваемого определялось на основе метаданных из фотографий, которые были синхронизированы через облако, а не сняты самим устройством.

Показателен случай, когда ответ на входящий звонок был истолкован как «отвлечение внимания при вождении», приведшее к аварийной ситуации. На самом же деле кнопочный тогда еще телефон мирно лежал в кармане у водителя, но из-за случайно зажатой кнопки телефон «ответил» на звонок, что и было зарегистрировано оператором. Защита смогла оправдать водителя, допросив второго абонента, который и показал, что разговор не состоялся (кстати, что там было «на самом деле», неизвестно, но суд встал на сторону обвиняемого).

Уверен, такой случай далеко не единственный. Данные CDR — прекрасный инструмент в руках оперативника, но ненадежный в качестве доказательной базы.

Заключение
Какие выводы можно сделать из этой статьи? Сейчас, когда личный смартфон или хотя бы кнопочный телефон есть практически у каждого, любой человек оставляет «цифровой след». След этот содержит заметно больше информации, а добраться до него значительно проще, чем многие осознают. Для получения всей интересующей информации полиции нужна лишь одна зацепка, которой может стать аппаратный идентификатор личного смартфона преступника, даже если тот ни разу не воспользовался личным устройством в преступных целях. Получение такой зацепки — результат обычного, рутинного анализа логов операторов мобильной связи. Спецсредства не нужны, конспирология не нужна, все происходит и гораздо проще, и интереснее. Вместо погонь и стрельбы — кабинетная работа с аналитической программой, простой базой данных или даже с распечатками
Весьма познавательно, подскажите как сменить мак адрес и айпи устройства что бы оперативники не вычислили