Full text in Polish and abstract in English
Transkrypt
Full text in Polish and abstract in English
Ryszard Sobczak Politechnika Gdańska, Wydział Fizyki Technicznej i Matematyki Stosowanej, Zakład Matematyki Dyskretnej ELEKTRONICZNE ŚLEDZENIE W SYSTEMACH TELEFONII KOMÓRKOWEJ STRESZCZENIE Artykuł przypomina przydatność informacji uzyskiwanych w procesie zbierania u operatorów telefonii komórkowej danych retencyjnych oraz omawia rozwiązania techniczne umożliwiające elektroniczne śledzenie w czasie rzeczywistym z zastosowaniem systemów telefonii komórkowej. Omówione rozwiązania są rekomendowane przez ETSI. W ostatniej części ocenia są mechanizmy uwiarygodniania informacji przetwarzanych w ramach elektronicznego śledzenia. Pokazano, że dane elektronicznych śledztw prowadzonych w czasie rzeczywistym w można uznać za wiarygodne, natomiast tej cechy nie mają dane retencyjne. Słowa kluczowe: telefonia komórkowa, elektroniczne dowody, elektroniczne śledzenie WSTĘP Funkcjonowanie systemów telefonii komórkowej znacznie rozszerzyło zakres informacji objętych tajemnicą telekomunikacji. O ile do roku 1990 tajemnicą telekomunikacji była objęta jedynie treść komunikacji, to stosowanie telefonów komórkowych wymusiło poszerzenie listy informacji chronionych o „wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych” oraz „dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku”. Dodatkowo prawo chroni również informacje o użytkowniku i „dane o próbach uzyskania połączenia między określonymi zakończeniami sieci telekomunikacyjnej” [1]. Z drugiej strony prawo (kodeks postępowania karnego i tzw. ustawy policyjne) daje możliwość dostępu do tych informacji uprawnionym organom państwowym. Warto zastanowić się dlaczego te informacje te są tak atrakcyjne, jak są uzyskiwane i kiedy należy je traktować jako wiarygodne. Pierwsza cześć pracy ilustruje jak dane retencyjne mogą być wykorzystane do prowadzenia elektronicznego śledztwa. Druga część pracy przedstawia rozwiązania techniczne umożliwiające uzyskanie informacji chronionych tajemnicą telekomunikacji. Prezentacja rozwiązań jest oparta o 1 Ryszard Sobczak standardy ETSI dotyczące legalnego elektronicznego śledzenia w systemach telefonii komórkowej. Ostatnia część pracy jest ocenia wiarygodność informacji uzyskiwanych w trakcie prowadzenia elektronicznego śledztwa i kończy się propozycją zapewnienia wiarygodności tych danych w postępowaniu sądowym, zarówno karnym jak i cywilnym. ELEKTRONICZNE ŚLEDZENIE W tytule pracy oraz w podtytule pojawia się określenie „elektroniczne śledzenie”. Tradycyjne śledzenie (prowadzone w ramach czynności operacyjnych) polega na odtworzeniu położenia osoby w czasie śledzenia, odtworzeniu kontaktów tej osoby z innymi osobami, odtworzeniu wykonywanych czynności. Jego cechą jest również pasywny charakter (bez dołączania do celu dodatkowych elementów ułatwiających śledzenie) oraz fakt, że cel śledzenia nie wie, że jest śledzony. W tym sensie śledzenie położenia samochodu przez firmę przewozową oraz śledzenie przesyłek w firmie prowadzącej działalność kurierską nie jest śledzeniem. Mówiąc o elektronicznym śledzeniu chcemy uzyskać te same, albo bardzo zbliżone efekty stosując środki elektroniczne; w tym przypadku telefon komórkowy. Określenie to uwzględnia szerszy, niż tradycyjne podsłuchiwanie, zakres działania obejmujący również zbieranie informacji o celu i jego zmieniającej się lokalizacji. Można od razu zadać pytanie czy poszukiwane informacje są dostępne w systemach telefonii komórkowej. Odpowiedź jest jednoznaczna: są dostępne i przez to są to informacje objęte tajemnicą telekomunikacji. By zilustrować wartość tych informacji zanalizujmy krótki fragment przykładowego zanonimizowanego ‘billingu’ (tabela 1). Zakres informacji może wydawać się niezbyt duży. Położenie jest określone z dokładnością do stacji bazowej. Jeśli jednak wiadomo, że: − numer X poruszał się samochodem i pokonał odległość pomiędzy stacjami zlokalizowanymi w miastach i odległymi o 60km (trasą o dużym natężeniu ruchu, wysyłając kilka SMSów) w ciągu 42 minut (ok. 90 km/h), − 02.mm.rrrr to piątek, a 05.mm.rrrr to poniedziałek i podobną podróż można znaleźć w ‘billingu’ numeru X co tydzień, − rozmowy z miasta B odbywały się tylko z dwóch stacji i stacje MiastoB_S1 MiastoB_S2 to sąsiednie stacje bazowe, − ‘billingi’ dotyczące innych dni tygodnia wskazują, że godziny rozpoczynania i kończenia aktywności telekomunikacyjnej, to zawsze po 9.00 i nie wcześniej niż 01.00, a z nocną przerwą zawsze jest związana ta sama stacja bazowa w mieście A, 2 Zeszyty Naukowe AMW Elektroniczne śledzenie w systemach telefonii komórkowej to o trybie życia użytkownika numeru X można już coś powiedzieć i niektóre hipotezy o jego tożsamości odrzucić (np. taką, że jest pracownikiem Urzędu Miejskiego, rozpoczyna pracę o 7.15 i w weekend jeździ na ryby). Tabela 1. Przykładowy krótki fragment ‘billingu’ numeru X IMEI IMEI1_X IMEI1_X .. IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X .. IMEI1_X IMEI1_X IMEI1_X Do/Od SMS SMS .. Do A Do A SMS Do B Do D Do D Od E .. Do A Od B Do C Początek 02.mm.rrrr_10:59 02.mm.rrrr_11:41 .. 03.mm.rrrr_16:58 03.mm.rrrr_17:06 03.mm.rrrr_17:44 03.mm.rrrr_18:20 03.mm.rrrr_18:32 03.mm.rrrr_18:34 03.mm.rrrr_18:37 .. 04.mm.rrrr_23:08 05.mm.rrrr_09:45 Czas 1 1 .. 79 111 1 52 57 1 74 .. 83 58 Stacja MiastoA_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S2 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S2 MiastoB_S2 MiastoA_S1 Za osobą o takiej aktywności w korzystaniu z usług telekomunikacyjnych nie trzeba wysyłać śledczych. Dokładność zlokalizowania celu wynika z wielkości komórki, a ta w terenie zabudowanym nie jest już zbyt duża. Nie można co prawda podać dokładnego adresu nocowania ani w mieście A ani B (czasami ta dokładność jest wystarczająca), ale koszt wykonania takiego zgrubnego śledzenia nie jest też wysoki i można je przeprowadzić na podstawie danych, które operator musi przechowywać przez okres od 6 miesięcy do 5 lat (w zależności od kraju). Kolejnym narzędziem prowadzenia elektronicznego śledzenia jest śledzenie w czasie rzeczywistym. Śledzenie to poza danymi o lokalizacji celu dostarcza również treść przekazu z realizowanych przez cel usług telekomunikacyjnych. Śledzenie w czasie rzeczywistym wymaga jednak środków technicznych umożliwiających jego realizację. ELEKTRONICZNE ŚLEDZENIE W CZASIE RZECZYWISTYM Do zapewnienia środków elektronicznego śledzenia oprócz operatorów telekomunikacyjnych (ang. network operator) zobowiązani są też dostawcy usług (ang. service provider) oraz dostawcy dostępu do sieci (ang. access provider). W … K/.. 2008 3 Ryszard Sobczak dalszej części pracy będą oni nazywani dostawcami informacji. W dalszej części będą nas interesowali jedynie operatorzy telefonii komórkowej. Wymagania na system dostarczania informacji sformułowali odbiorcy tych informacji, czyli uprawnione organy państwowe. Tryb powstawania tych wymagań i ich krótkie podsumowanie można znaleźć w pracy [2]. Podstawą przekazywania informacji do jej odbiorcy jest interfejs przekazywania. Schemat blokowy tego interfejsu przedstawia rysunek 1. Domena odbiorcy LEMF Interfejs HI2 HI1 HI3 przekazywania Funkcje administracyjne dostawcy Funkcje przekazywania informacji związanych ze śledzeniem Funkcje przekazywania treści przekazu IRI CC Domena dostawcy Wewnętrzne funkcje sieci Wewnętrzny interfejs sieci Funkcje śledzenia Rys. 1. Schemat blokowy interfejsu przekazywania Port HI1 interfejsu jest przeznaczony do przekazywania różnorodnych informacji o charakterze administracyjnym, w szczególności polecenia śledzenia. Polecenie śledzenia zawiera: − tożsamość i identyfikator celu, − uzgodniony identyfikator śledzenia (LIID1) − okres śledzenia − adres urządzenia odbierającego treść przekazu (adres LEMF CC2) i adres urządzenia odbierającego informacje związane ze śledzeniem (adres LEMF IRI3), − wartości do uwierzytelniania LEMF, identyfikator dostawcy. 1 LIID Lawful Interception ID LEMF CC Law Enforcement Monitoring Facility for Content of Communication 3 LEMF IRI Law Enforcement Monitoring Facility for Interception Related Information 2 4 Zeszyty Naukowe AMW Elektroniczne śledzenie w systemach telefonii komórkowej Funkcje administracyjne dostawcy powinny umożliwić obsługę wielu odbiorców informacji oraz śledzenie jednego celu przez wielu odbiorców. Port HI2 interfejsu służy do przesyłania informacji związanych ze śledzeniem, natomiast port HI3 interfejsu służy do przesyłania treści przekazu. Sposób stosowania tych portów jest zależny od techniki telekomunikacyjnej stosowanej u dostawcy informacji. Aneksy A oraz F dokumentu standardu ETSI ES 201 671 [3] definiują zasady funkcjonowania poszczególnych portów interfejsu przekazywania dla systemów telefonii komórkowej. Port HI2 przekazuje rekordy IRI zawierające informacje: − identyfikujące abonentów, − o typie i charakterystykach stosowanej usługi telekomunikacyjnej, − o sposobie jej realizacji. Zawiera ponadto informacje o ośmiu typach zdarzeń: − rozpoczęcie połączenia (wywołaniu), − odpowiedź na wywołanie, − przełączenie połączenia, − zakończenie połączenia, − zmiana lokalizacji abonenta, − pojawienie się dodatkowych danych od abonenta (np. z klawiatury), − zastosowaniu usługach uzupełniających, − wysłaniu i treści SMS-a. Ostatnie zdarzenie oznacza, że treść SMS-ów jest przesyłana za pomocą interfejsu HI2, a nie HI3 (przeznaczonego do przekazywania treści przekazu). Informacje przesyłane przez interfejs HI2 muszą być z oczywistych powodów kodowane z zastosowaniem notacji ASN.1 [4] i reguł kodowania informacji BER. Budowę interfejsu HI3 ilustruje kolejny rysunek. Rysunek ilustruje też sposób realizacji zadania przekazania treści połączenia głosowego. Dla usług wykorzystujących GPRS i inne techniki przeznaczone do tego samego celu dokumenty ETSI przewidują dwie metody przekazywania informacji: − kopiowanie, opakowywanie i przesyłanie z zastosowaniem usług UDP i TCP oraz − buforowanie i zastosowanie usługi FTP. W pierwszej metodzie odbierane pakiety (UDP/TCP) są opakowywane w ramki TCP/IP z nagłówkiem skorelowanym z połączeniem i informacjami przekazywanymi przez interfejs HI2. Zalecane jest stosowanie protokołu IPSec. Drugi rodzaj realizacji przechwytywania nie zapewnia przechwytywania przesyłanych informacji w czasie rzeczywistym. … K/.. 2008 5 Ryszard Sobczak Domena odbiorcy LEMF Interfejs HI3 przekazywania Funkcje przekazywania treści przekazu Wewnętrzny CC Domena dostawcy interfejs sieci Funkcje śledzenia Wewnętrzne funkcje sieci AbA AbB Rys. 2. Interfejs HI3 w usługach połączeniowych WIARYGODNOŚĆ WYNIKÓW ELEKTRONICZNEGO ŚLEDZENIA W przypadku śledzenia realizowanego w czasie rzeczywistym wiarygodność dostawcy informacji i jej odbiorcy powinna jest być realizowana z zastosowaniem metod zalecanych przez ETSI, a ETSI zaleca stosowanie rozwiązań proponowanych przez ISO [5]. Dokument ISO 9897-2 opisuje najprostszy protokół uwierzytelniania, czyli uwierzytelnianie uczestników komunikacji z zastosowaniem symetrycznych algorytmów kryptograficznych. Poza dokumentami ISO ich omówienie można znaleźć w [6]. Istota rozwiązania polega na zastosowania wspólnego, wcześniej uzgodnionego, klucza KAB. Protokół wzajemnego uwierzytelniania ilustruje rysunek 3. A B RB EKAB(RA, RB, B) EKAB(RA, RB) Rys. 3. Protokół wzajemnego uwierzytelniania zgodny z ISO 9897-2 6 Zeszyty Naukowe AMW Elektroniczne śledzenie w systemach telefonii komórkowej Na rysunku 3 wartości RA, RB to liczby losowe wygenerowane odpowiednio przez stronę A i B, a E() to zastosowany symetryczny algorytm szyfrowania. Protokoły uwierzytelniania zaprezentowane w standardach ISO są wystarczające w komunikacji między operatorem telekomunikacyjnym, a uprawnioną organizacją, gdyż obie strony mają możliwość wcześniejszego uzgadniania klucza do uwierzytelniania i mogą to uczynić poza systemem przekazywania informacji. Dalej trzeba mieć zaufanie do uprawnionej organizacji, że uzyskane informacje nie zostaną zmodyfikowane (czynimy tak przecież w przypadku dowodów tradycyjnych). Problem wiarygodności danych nabiera szczególnego znaczenia w sytuacji, gdy liczba dostawców oraz odbiorców informacji z prowadzonych śledztw rośnie, Z jednej strony nowi operatorzy (przykładowo wirtualni), a z drugiej strony Centralne Biuro Antykorupcyjne, czy kolejne służby ubiegające się o podobne uprawnienia. Znacznie gorzej wygląda wiarygodność informacji związanych z połączeniami już zrealizowanymi. Retencja danych funkcjonuje dzięki stosunkowo świeżym zapisom w prawie telekomunikacyjnym. Niestety prawo telekomunikacyjne nie podejmuje wątku wiarygodności danych, które z natury rzeczy są przechowywane w postaci elektronicznej. W praktyce sądowej nie funkcjonuje praktyka oceny wiarygodności przedstawionych danych retencyjnych. Operator telekomunikacyjny jest traktowany jak wiarygodne źródło danych. A jak ocenić wiarygodność wydruku dostarczonego przez operatora w sprawie karnej, w której operator jest stroną postępowania, a wydruk zawiera dopisane uwagi pracownika operatora? Operator jest zainteresowany wygraniem sprawy, skazaniem winnych i zaksięgowaniem strat o ile nie jest możliwe ich odzyskanie. Bez wyroku skazującego bardzo trudno wyjaśnić starty wynikające z niefrasobliwości zarządu operatora. Dane retencyjne, w ich obecnej postaci, nie mogą być traktowane jak wiarygodne źródło informacji. Niestety nie ma na tyle precyzyjnej definicji dowodu elektronicznego by można było wymienić cechy, które muszą posiadać dane retencyjne by mogły być potraktowane jako elektroniczny dowód [7]. Proponuję zatem zastosowanie podpisu elektronicznego do podpisywania wszystkich plików zawierających tego typu dane i podpisywanie ich w momencie ich powstawania (przez notariusza, albo przedstawiciela uprawnionego organu). To jest najprostsza rękojmia ich wiarygodności. Tabelka utworzona w arkuszu kalkulacyjnym, jak było widać, może być bardzo interesująca, ale nie może być dowodem w postępowaniu sądowym. Cała dyskusja o okresie przechowywania danych retencyjnych może być bezcelowa, jeśli będzie można w prosty sposób zakwestionować wiarygodność tych danych. … K/.. 2008 7 Ryszard Sobczak WNIOSKI Powszechne funkcjonowanie systemów telefonii komórkowej stworzyło możliwości wykorzystania jej jako narzędzia elektronicznego śledzenia. Jednak sposób jego stosowania musi być w pełni przystosowany do wymagań efektywnego prowadzenia postępowania sądowego, a warunki narzucane przez postępowanie sądowe nie są w pełni przestrzegane. Można długo dyskutować o okresie retencji danych, ale przede wszystkim muszą mieć one wartość procesową. BIBLIOGRAFIA [1] [2] [3] [4] [5] [6] [7] Ustawa z 16.07.2004 “Prawo telekomunikacyjne” Dziennik Ustaw z 2007 nr 82 poz. 556 Sobczak R., Podsłuch w dokumentach ETSI, Materiały VI Krajowej Konferencji Technologie Informacyjne, Gdańsk, 2008 (w druku). ES 201 671: Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic ,v.3.1.1, ETSI, maj 2007 TR 102 503: ASN.1 Object Identifiers In Lawful Interception Specifications, 11/2007 ISO 9798: Information technology - Entity authentication, part 1 - 5, 19952000 Menezes A.J., van Oorschot P., C., Vanstone S., A.: Kryptografia stosowana, rozdz. 10: Identyfikacja i uwierzytelnianie podmiotu, Warszawa: Wydawnictwa Naukowo-Techniczne, 2005. Lach A.: Dowody elektroniczne w procesie karnym, Toruń: TNOiK, 2004 ABSTRACT This paper recalls usefulness of data retention and lawful interception using cellular networks. It presents how interception interface (recommended by ETSI) is used in lawful interception in this type of networks. The interception interface provides also features to manage security of communication between network operator and lawful agencies. At the end points at the important weakness of data retention: lack of credibility. Recenzent 8 Zeszyty Naukowe AMW