В метро под колпаком?

Информация о грядущем отслеживании всех перемещений абонентов в метро вызвала бурные обсуждения и очень далеко идущие выводы. Однако при изучении «сенсационных открытий», интриг и разоблачений желательно отделить факты от домыслов. И по возможности хоть как-то систематизировать предъявленные факты.

Популярные СМИ делают свою работу, подчеркивая и выделяя «звонкие» факты и комментарии, которые должны заинтересовать читающую публику. Нудную аналитику и технические подробности прочитают немногие, поймут и оценят не все даже из осиливших скучный текст. Сенсации не получится, зато будет потрачена уйма времени на подготовку материала. Нынешняя «сенсация» интересна не только методикой её выстраивания, но и спецификой заявлений, положенных в основу получившейся конструкции.

Таинственные датчики

Саму статью об «интеллектуальной системе безопасности» можно почитать на сайте «Известий». Несколько ключевых цитат, в которых речь идет об организационной и технической сторонах вопроса.

«В столичной подземке должны появиться датчики, считывающие информацию о мобильных телефонах пассажиров. Они станут частью интеллектуальной системы безопасности, которую уже начали внедрять в метро, рассказал «Известиям» начальник оперативного отдела УВД на Московском метрополитене Андрей Мохов. <...> Система будет работать следующим образом, рассказывает начальник оперативного отдела: когда пассажир пройдет в зоне действия датчика — ее радиус около 5 м, — система зафиксирует, что мимо пронесли SIM-карту с определенным номером. Если карта находится в розыске, система автоматически проложит маршрут ее передвижения и передаст информацию на пульт дежурного.

— Для полноценной работы датчики должны быть установлены на всех камерах системы видеонаблюдения на станциях, в вагонах метро и вестибюлях, — пояснил Мохов. — Если у человека украли телефон и он обратился к сотрудникам полиции, дежурный тут же забьет номер мобильника в систему, и та покажет станции, на которых была зафиксирована эта «симка». Полицейский сможет просмотреть изображения с камер в момент, когда датчик зафиксировал карту, чтобы определить круг подозреваемых и направить ориентировки коллегам на станции, на которую преступник может отправиться дальше. При этом неважно, включен телефон или нет. Главное, чтобы внутри оставалась SIM-карта».

Помимо этого — мысли автора о настоящем предназначении умной системы (тотальная слежка?), опросы адвокатов, представителей Союза потребителей и других экспертов с обсуждением тонкостей и эффективности использования системы для поиска краденных телефонов, юридических аспектов и т. п. Технических специалистов к обсуждению не привлекли, зачем? Ведь всё и так абсолютно ясно изложено журналистом со слов эксперта, начальника оперативного отдела УВД на Московском метрополитене. Сколковские нано-технологии в действии.

Всё-таки жаль, что не привлекли технических специалистов. Самое интересное — объявленная работоспособность системы даже с выключенным телефоном. Не знаю, как «системе» удаётся заставить обесточенную SIM-карту отозваться и передать в интеллектуальную систему номер телефона абонента. И опрошенные специалисты тоже недоумевают. Находящиеся в обращении SIM-карты работать автономно не могут, их процессорам требуются питание и задание тактовой частоты. И даже если бы такая зомби-симка вдруг ожила и начала что-то передавать, то сообщить работникам УВД метрополитена телефонный номер владельца она бы отказалась. Не в силу своей безграничной преданности хозяину и стойкости к пыткам, нет. А просто потому, что она телефонный номер не знает, в SIM-карте он не прошит. Идентификатор, который отдаёт в сеть SIM-карта, сопоставляется с телефонным номером уже на коммутационном оборудовании оператора, а не в УВД метрополитена. И какую оперативную информацию дала бы полицейским километровая колонка бессмысленных комбинаций цифр со всех многочисленных «датчиков в вестибюлях и вагонах метро»?

Можно выстраивать какие угодно гипотезы по принципу «нет дыма без огня». Дескать, цитируемый специалист из УВД чего-то не так понял или журналист ошибся, имелась в виду симка во включенном телефоне. А операторы с удовольствием предоставят полный доступ к своему оборудованию и базам данных с компьютеров в каждой комнате полиции московского метрополитена, ага. Какие там СОРМы и судебные постановления, вы о чём вообще? Поупражняться в версиях того, что могло иметься в виду и было ли «оно» вообще, бывает даже забавно. Но столкнувшись с первой очевидной нелепицей, обсуждать дальнейшие гипотезы не хочется, подождем развития событий. Однако «сенсация» получилась знатная, этого у автора материала не отнять.

Действительно, современные чипы кредитных карт, поддерживающих бесконтактные платежи, умеют и могут отдавать информацию в ответ на запрос извне, по пока это совершенно «из другой оперы». Недавно по этому поводу на «диком Западе» был небольшой скандальчик, когда случайных прохожих «выцепляли» из толпы, проводили сканером вдоль кармана и обращались к ним по имени/фамилии, добытым из чипа кредитной карты владельца. Необходимое оборудование, включая ноутбук, помещалось в небольшом чемоданчике. Вся процедура снималась на камеру, а изумлённые лица и комментарии озадаченных «жертв» показали в телепередаче. Но к сотовой связи и действующим моделям SIM-карт это никакого отношения не имеет, несмотря на внешнее сходство чипов.

Про SIM-паспорт

Еще одно свежее наблюдение «в тему». 31 июля прошло очередное «Заседание президиума Совета при Президенте Российской Федерации по модернизации экономики и инновационному развитию России». Среди прочих важных вопросов там мимоходом обсудили перспективу идентификации граждан на всяких порталах госуслуг и заодно выяснили, что у правительства до сих пор нет полного представления о том, что принять за единый идентификатор граждан. Генеральный директор ООО «Центр идентификации» Владимир Завитков предложил приспособить для этого дела уже существующую и успешно работающую структуру регистрации абонентов у сотовых операторов. Суть предложения: выдавать гражданам SIM-карты нового образца при подключении или поменять существующие карты на новые модернизированные, при этом производить идентификацию гражданина и генерировать ключ электронной подписи в удостоверяющем центре. Затем все услуги гражданин сможет получать, вводя пин-код, по аналогии с банковскими картами. Цитируя господина Завиткова: «...Если правительство примет решение поддержать внедрение этой технологии, в течение полутора лет можно массово распространить усиленную квалифицированную электронную подпись среди граждан». Помнится, еще несколько лет назад что-то там говорили-писали про УЭК и даже какие-то карты кому-то успели выдать, но это было давно, и проект, похоже, откровенно чахнет.

Судя по публикациям, господин Медведев этой новой идеей с SIM-картами заинтересовался и предложил её обсудить. Действительно, почему бы и нет? Всего-навсего еще один промежуточный центр обработки данных со своим «хранителем», бюджетом в 400 млн. долларов в год и обязательной интеграцией оборудования всех операторов, как уже согласовано для переносимости номера. Где один центр, там и два, какая разница? Между делом решим государственную проблему хранения персональных данных, которые нынче продаются оптом и в розницу (раздельно по ведомствам) чуть ли не в подземных переходах. Раз сотовым операторам худо-бедно удается (ну, почти всегда удается) уберечь свои базы данных от появления на всяких радиорынках, то им и симкарты в руки. Пусть занимаются электронной паспортизацией населения России, у них всё получится.

А если помечтать о светлом будущем? Приспособить операторов вести регистрационный учёт граждан — самое оно, операторы ведь в любом случае отслеживают и пишут в логи перемещения SIM-карт и телефонов для нужд компетентных органов. Пусть заодно контролируют нахождение граждан по местам их прописки. Не появлялась SIM-карта три месяца по адресу регистрации - хозяин платит налог с имущества. О, и плату за коммунальные услуги можно рассчитывать онлайн в зависимости от числа переночевавших в квартире симок, операторским биллингам это будет совершенно не в тягость. Регистрационные данные транспортных средств тоже загнать в SIM-карты автовладельцев, штрафы списывать в онлайн-режиме с баланса телефона. Сразу после проезда фотокамеры. Заодно работодателей обязать перечислять зарплату на баланс SIM-карты. На ту самую, идентифицированную и квалифицированную в удостоверяющем центре по проекту господина Завиткова.

Шутки шутками, а способов «трудоустроить» SIM-карту и/или телефон в качестве уникального идентификатора владельца можно придумать немало. Вопрос в том, насколько все эти конструкции будут надежны? Вон, если верить отзывам пользователей, знаменитый IMEI (уникальный «паспорт» аппарата) уже можно менять через приложение смартфона хоть по 10 раз на день.

SIM-карта тоже не всегда справляется с ролью банковской ячейки для хранения данных, у неё совершенно другие задачи. Недавно в немецкой лаборатории Security Research Labs продемонстрировали метод установки в SIM-карту вредоносного кода в виде java-апплета злоумышленника. Цитата из любопытного обзора:

«Для того чтобы взломать SIM-карту, на первом этапе необходимо получить ключ шифрования DES. Делается это следующим образом: атакующий посредством OTA отправляет на мобильный телефон SMS-сообщение с произвольным бинарным кодом. Телефон, получив неправильную команду, в ответ отправляет аналогичное бинарное сообщение об ошибке, в котором содержится ключ шифрования. Далее с помощью радужных таблиц данный 56-битный ключ расшифровывается на обычном персональном компьютере за 2 минуты. На втором этапе атакующий снова отправляет на телефон SMS-сообщение с бинарным кодом, которое, благодаря раскрытию ключа шифрования, имеет подлинный вид и принимается телефоном. Данное сообщение содержит в себе Java-апплет, который успешно устанавливается на SIM-карту. Такой апплет может без согласия и ведома пользователя отправлять SMS-сообщения, изменять номера голосовых ящиков, передавать информацию для определения местоположения телефона и пр.

Помимо прочего, Java-апплет может передавать платежные данные пользователя, которые в некоторых случаях хранятся на SIM-картах, добавляют исследователи в своем блоге. "Перед хакерами открывается масса возможностей для совершения преступлений", - считают эксперты».

Не берусь судить о технических аспектах и справедливости изложенного, специалистам виднее. Но даже неспециалисту очевидно, что взваливать на SIM-карту и мобильный телефон несвойственные им функции не всегда разумно. Операторам бы тоже лучше связью заниматься, а не развлекаться мобильной коммерцией и организовывать собственные службы безопасности для борьбы с мошенниками. Примеров хватает, и, к сожалению, материалов для регулярных публикаций мне тоже хватает с избытком.

Возможно, уровни безопасности и защиты достаточны для голосовой связи, обмена сообщениями и сбережения не бог весть какого баланса лицевого счета. Подходят ли существующие сотовые технологии для управления многотысячными банковскими транзакциями и для гарантированной идентификации гражданина при его общении с государственными органами? Не уверен. Полезешь из любопытства на портал госуслуг и неожиданно обнаружишь, что злобный java-апплет успел от твоего имени зарегистрировать пяток-другой ООО, украсть сотню гектар кировского леса и оформить чистосердечное признание, подписав всё это дело твоей «усиленной квалифицированной» электронной подписью. Апплеты, они ведь такие апплеты.

Сергей Потресов ([email protected])
Twitter
Опубликовано - 03 августа 2013 г.

Поделиться:

Мы в социальных сетях: