Full text in Polish and abstract in English

Ryszard Sobczak
Politechnika Gdańska, Wydział Fizyki Technicznej i Matematyki Stosowanej, Zakład Matematyki Dyskretnej
ELEKTRONICZNE ŚLEDZENIE W SYSTEMACH TELEFONII KOMÓRKOWEJ
STRESZCZENIE
Artykuł przypomina przydatność informacji uzyskiwanych w procesie zbierania
u operatorów telefonii komórkowej danych retencyjnych oraz omawia rozwiązania techniczne
umożliwiające elektroniczne śledzenie w czasie rzeczywistym z zastosowaniem systemów telefonii komórkowej. Omówione rozwiązania są rekomendowane przez ETSI. W ostatniej części ocenia są mechanizmy uwiarygodniania informacji przetwarzanych w ramach elektronicznego
śledzenia. Pokazano, że dane elektronicznych śledztw prowadzonych w czasie rzeczywistym w
można uznać za wiarygodne, natomiast tej cechy nie mają dane retencyjne.
Słowa kluczowe: telefonia komórkowa, elektroniczne dowody, elektroniczne śledzenie
WSTĘP
Funkcjonowanie systemów telefonii komórkowej znacznie rozszerzyło zakres informacji objętych tajemnicą telekomunikacji. O ile do roku 1990 tajemnicą
telekomunikacji była objęta jedynie treść komunikacji, to stosowanie telefonów
komórkowych wymusiło poszerzenie listy informacji chronionych o „wszelkie dane
przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych”
oraz „dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza
dane niezbędne do transmisji komunikatu lub wystawienia rachunku”. Dodatkowo
prawo chroni również informacje o użytkowniku i „dane o próbach uzyskania połączenia między określonymi zakończeniami sieci telekomunikacyjnej” [1]. Z drugiej strony prawo (kodeks postępowania karnego i tzw. ustawy policyjne) daje
możliwość dostępu do tych informacji uprawnionym organom państwowym. Warto
zastanowić się dlaczego te informacje te są tak atrakcyjne, jak są uzyskiwane i kiedy
należy je traktować jako wiarygodne. Pierwsza cześć pracy ilustruje jak dane retencyjne mogą być wykorzystane do prowadzenia elektronicznego śledztwa. Druga
część pracy przedstawia rozwiązania techniczne umożliwiające uzyskanie informacji chronionych tajemnicą telekomunikacji. Prezentacja rozwiązań jest oparta o
1
Ryszard Sobczak
standardy ETSI dotyczące legalnego elektronicznego śledzenia w systemach telefonii komórkowej. Ostatnia część pracy jest ocenia wiarygodność informacji uzyskiwanych w trakcie prowadzenia elektronicznego śledztwa i kończy się propozycją
zapewnienia wiarygodności tych danych w postępowaniu sądowym, zarówno karnym jak i cywilnym.
ELEKTRONICZNE ŚLEDZENIE
W tytule pracy oraz w podtytule pojawia się określenie „elektroniczne śledzenie”. Tradycyjne śledzenie (prowadzone w ramach czynności operacyjnych)
polega na odtworzeniu położenia osoby w czasie śledzenia, odtworzeniu kontaktów
tej osoby z innymi osobami, odtworzeniu wykonywanych czynności. Jego cechą jest
również pasywny charakter (bez dołączania do celu dodatkowych elementów ułatwiających śledzenie) oraz fakt, że cel śledzenia nie wie, że jest śledzony. W tym
sensie śledzenie położenia samochodu przez firmę przewozową oraz śledzenie przesyłek w firmie prowadzącej działalność kurierską nie jest śledzeniem.
Mówiąc o elektronicznym śledzeniu chcemy uzyskać te same, albo bardzo
zbliżone efekty stosując środki elektroniczne; w tym przypadku telefon komórkowy.
Określenie to uwzględnia szerszy, niż tradycyjne podsłuchiwanie, zakres działania
obejmujący również zbieranie informacji o celu i jego zmieniającej się lokalizacji.
Można od razu zadać pytanie czy poszukiwane informacje są dostępne w systemach
telefonii komórkowej. Odpowiedź jest jednoznaczna: są dostępne i przez to są to
informacje objęte tajemnicą telekomunikacji.
By zilustrować wartość tych informacji zanalizujmy krótki fragment przykładowego zanonimizowanego ‘billingu’ (tabela 1). Zakres informacji może wydawać się niezbyt duży. Położenie jest określone z dokładnością do stacji bazowej.
Jeśli jednak wiadomo, że:
− numer X poruszał się samochodem i pokonał odległość pomiędzy stacjami zlokalizowanymi w miastach i odległymi o 60km (trasą o dużym natężeniu ruchu,
wysyłając kilka SMSów) w ciągu 42 minut (ok. 90 km/h),
− 02.mm.rrrr to piątek, a 05.mm.rrrr to poniedziałek i podobną podróż można
znaleźć w ‘billingu’ numeru X co tydzień,
− rozmowy z miasta B odbywały się tylko z dwóch stacji i stacje MiastoB_S1
MiastoB_S2 to sąsiednie stacje bazowe,
− ‘billingi’ dotyczące innych dni tygodnia wskazują, że godziny rozpoczynania i
kończenia aktywności telekomunikacyjnej, to zawsze po 9.00 i nie wcześniej niż
01.00, a z nocną przerwą zawsze jest związana ta sama stacja bazowa w mieście
A,
2
Zeszyty Naukowe AMW
Elektroniczne śledzenie w systemach telefonii komórkowej
to o trybie życia użytkownika numeru X można już coś powiedzieć i niektóre hipotezy o jego tożsamości odrzucić (np. taką, że jest pracownikiem Urzędu Miejskiego, rozpoczyna pracę o 7.15 i w weekend jeździ na ryby).
Tabela 1. Przykładowy krótki fragment ‘billingu’ numeru X
IMEI
IMEI1_X
IMEI1_X
..
IMEI2_X
IMEI2_X
IMEI2_X
IMEI2_X
IMEI2_X
IMEI2_X
IMEI2_X
..
IMEI1_X
IMEI1_X
IMEI1_X
Do/Od
SMS
SMS
..
Do A
Do A
SMS
Do B
Do D
Do D
Od E
..
Do A
Od B
Do C
Początek
02.mm.rrrr_10:59
02.mm.rrrr_11:41
..
03.mm.rrrr_16:58
03.mm.rrrr_17:06
03.mm.rrrr_17:44
03.mm.rrrr_18:20
03.mm.rrrr_18:32
03.mm.rrrr_18:34
03.mm.rrrr_18:37
..
04.mm.rrrr_23:08
05.mm.rrrr_09:45
Czas
1
1
..
79
111
1
52
57
1
74
..
83
58
Stacja
MiastoA_S1
MiastoB_S1
MiastoB_S1
MiastoB_S1
MiastoB_S1
MiastoB_S1
MiastoB_S2
MiastoB_S1
MiastoB_S1
MiastoB_S1
MiastoB_S2
MiastoB_S2
MiastoA_S1
Za osobą o takiej aktywności w korzystaniu z usług telekomunikacyjnych
nie trzeba wysyłać śledczych. Dokładność zlokalizowania celu wynika z wielkości
komórki, a ta w terenie zabudowanym nie jest już zbyt duża. Nie można co prawda
podać dokładnego adresu nocowania ani w mieście A ani B (czasami ta dokładność
jest wystarczająca), ale koszt wykonania takiego zgrubnego śledzenia nie jest też
wysoki i można je przeprowadzić na podstawie danych, które operator musi przechowywać przez okres od 6 miesięcy do 5 lat (w zależności od kraju).
Kolejnym narzędziem prowadzenia elektronicznego śledzenia jest śledzenie
w czasie rzeczywistym. Śledzenie to poza danymi o lokalizacji celu dostarcza również treść przekazu z realizowanych przez cel usług telekomunikacyjnych. Śledzenie
w czasie rzeczywistym wymaga jednak środków technicznych umożliwiających
jego realizację.
ELEKTRONICZNE ŚLEDZENIE W CZASIE RZECZYWISTYM
Do zapewnienia środków elektronicznego śledzenia oprócz operatorów telekomunikacyjnych (ang. network operator) zobowiązani są też dostawcy usług
(ang. service provider) oraz dostawcy dostępu do sieci (ang. access provider). W
… K/.. 2008
3
Ryszard Sobczak
dalszej części pracy będą oni nazywani dostawcami informacji. W dalszej części
będą nas interesowali jedynie operatorzy telefonii komórkowej. Wymagania na system dostarczania informacji sformułowali odbiorcy tych informacji, czyli uprawnione organy państwowe. Tryb powstawania tych wymagań i ich krótkie
podsumowanie można znaleźć w pracy [2].
Podstawą przekazywania informacji do jej odbiorcy jest interfejs przekazywania. Schemat blokowy tego interfejsu przedstawia rysunek 1.
Domena
odbiorcy
LEMF
Interfejs
HI2
HI1
HI3
przekazywania
Funkcje
administracyjne
dostawcy
Funkcje
przekazywania
informacji związanych
ze śledzeniem
Funkcje przekazywania
treści przekazu
IRI
CC
Domena
dostawcy
Wewnętrzne funkcje sieci
Wewnętrzny
interfejs sieci
Funkcje śledzenia
Rys. 1. Schemat blokowy interfejsu przekazywania
Port HI1 interfejsu jest przeznaczony do przekazywania różnorodnych informacji o charakterze administracyjnym, w szczególności polecenia śledzenia. Polecenie śledzenia zawiera:
− tożsamość i identyfikator celu,
− uzgodniony identyfikator śledzenia (LIID1)
− okres śledzenia
− adres urządzenia odbierającego treść przekazu (adres LEMF CC2) i adres urządzenia odbierającego informacje związane ze śledzeniem (adres LEMF IRI3),
− wartości do uwierzytelniania LEMF, identyfikator dostawcy.
1
LIID Lawful Interception ID
LEMF CC Law Enforcement Monitoring Facility for Content of Communication
3
LEMF IRI Law Enforcement Monitoring Facility for Interception Related Information
2
4
Zeszyty Naukowe AMW
Elektroniczne śledzenie w systemach telefonii komórkowej
Funkcje administracyjne dostawcy powinny umożliwić obsługę wielu odbiorców informacji oraz śledzenie jednego celu przez wielu odbiorców.
Port HI2 interfejsu służy do przesyłania informacji związanych ze śledzeniem, natomiast port HI3 interfejsu służy do przesyłania treści przekazu. Sposób
stosowania tych portów jest zależny od techniki telekomunikacyjnej stosowanej u
dostawcy informacji. Aneksy A oraz F dokumentu standardu ETSI ES 201 671 [3]
definiują zasady funkcjonowania poszczególnych portów interfejsu przekazywania
dla systemów telefonii komórkowej.
Port HI2 przekazuje rekordy IRI zawierające informacje:
− identyfikujące abonentów,
− o typie i charakterystykach stosowanej usługi telekomunikacyjnej,
− o sposobie jej realizacji.
Zawiera ponadto informacje o ośmiu typach zdarzeń:
− rozpoczęcie połączenia (wywołaniu),
− odpowiedź na wywołanie,
− przełączenie połączenia,
− zakończenie połączenia,
− zmiana lokalizacji abonenta,
− pojawienie się dodatkowych danych od abonenta (np. z klawiatury),
− zastosowaniu usługach uzupełniających,
− wysłaniu i treści SMS-a.
Ostatnie zdarzenie oznacza, że treść SMS-ów jest przesyłana za pomocą interfejsu HI2, a nie HI3 (przeznaczonego do przekazywania treści przekazu). Informacje przesyłane przez interfejs HI2 muszą być z oczywistych powodów kodowane
z zastosowaniem notacji ASN.1 [4] i reguł kodowania informacji BER.
Budowę interfejsu HI3 ilustruje kolejny rysunek. Rysunek ilustruje też sposób realizacji zadania przekazania treści połączenia głosowego.
Dla usług wykorzystujących GPRS i inne techniki przeznaczone do tego
samego celu dokumenty ETSI przewidują dwie metody przekazywania informacji:
− kopiowanie, opakowywanie i przesyłanie z zastosowaniem usług UDP i TCP
oraz
− buforowanie i zastosowanie usługi FTP.
W pierwszej metodzie odbierane pakiety (UDP/TCP) są opakowywane w
ramki TCP/IP z nagłówkiem skorelowanym z połączeniem i informacjami przekazywanymi przez interfejs HI2. Zalecane jest stosowanie protokołu IPSec. Drugi
rodzaj realizacji przechwytywania nie zapewnia przechwytywania przesyłanych
informacji w czasie rzeczywistym.
… K/.. 2008
5
Ryszard Sobczak
Domena
odbiorcy
LEMF
Interfejs
HI3
przekazywania
Funkcje przekazywania
treści przekazu
Wewnętrzny
CC
Domena
dostawcy
interfejs sieci
Funkcje śledzenia
Wewnętrzne
funkcje sieci
AbA
AbB
Rys. 2. Interfejs HI3 w usługach połączeniowych
WIARYGODNOŚĆ WYNIKÓW ELEKTRONICZNEGO ŚLEDZENIA
W przypadku śledzenia realizowanego w czasie rzeczywistym wiarygodność dostawcy informacji i jej odbiorcy powinna jest być realizowana z zastosowaniem metod zalecanych przez ETSI, a ETSI zaleca stosowanie rozwiązań proponowanych przez ISO [5]. Dokument ISO 9897-2 opisuje najprostszy protokół
uwierzytelniania, czyli uwierzytelnianie uczestników komunikacji z zastosowaniem
symetrycznych algorytmów kryptograficznych. Poza dokumentami ISO ich omówienie można znaleźć w [6]. Istota rozwiązania polega na zastosowania wspólnego,
wcześniej uzgodnionego, klucza KAB. Protokół wzajemnego uwierzytelniania ilustruje rysunek 3.
A
B
RB
EKAB(RA, RB, B)
EKAB(RA, RB)
Rys. 3. Protokół wzajemnego uwierzytelniania zgodny z ISO 9897-2
6
Zeszyty Naukowe AMW
Elektroniczne śledzenie w systemach telefonii komórkowej
Na rysunku 3 wartości RA, RB to liczby losowe wygenerowane odpowiednio
przez stronę A i B, a E() to zastosowany symetryczny algorytm szyfrowania.
Protokoły uwierzytelniania zaprezentowane w standardach ISO są wystarczające w komunikacji między operatorem telekomunikacyjnym, a uprawnioną organizacją, gdyż obie strony mają możliwość wcześniejszego uzgadniania klucza do
uwierzytelniania i mogą to uczynić poza systemem przekazywania informacji.
Dalej trzeba mieć zaufanie do uprawnionej organizacji, że uzyskane informacje nie zostaną zmodyfikowane (czynimy tak przecież w przypadku dowodów
tradycyjnych). Problem wiarygodności danych nabiera szczególnego znaczenia w
sytuacji, gdy liczba dostawców oraz odbiorców informacji z prowadzonych śledztw
rośnie, Z jednej strony nowi operatorzy (przykładowo wirtualni), a z drugiej strony
Centralne Biuro Antykorupcyjne, czy kolejne służby ubiegające się o podobne
uprawnienia.
Znacznie gorzej wygląda wiarygodność informacji związanych z połączeniami już zrealizowanymi. Retencja danych funkcjonuje dzięki stosunkowo świeżym zapisom w prawie telekomunikacyjnym. Niestety prawo telekomunikacyjne nie
podejmuje wątku wiarygodności danych, które z natury rzeczy są przechowywane w
postaci elektronicznej. W praktyce sądowej nie funkcjonuje praktyka oceny wiarygodności przedstawionych danych retencyjnych. Operator telekomunikacyjny jest
traktowany jak wiarygodne źródło danych. A jak ocenić wiarygodność wydruku
dostarczonego przez operatora w sprawie karnej, w której operator jest stroną postępowania, a wydruk zawiera dopisane uwagi pracownika operatora? Operator jest
zainteresowany wygraniem sprawy, skazaniem winnych i zaksięgowaniem strat o ile
nie jest możliwe ich odzyskanie. Bez wyroku skazującego bardzo trudno wyjaśnić
starty wynikające z niefrasobliwości zarządu operatora. Dane retencyjne, w ich
obecnej postaci, nie mogą być traktowane jak wiarygodne źródło informacji.
Niestety nie ma na tyle precyzyjnej definicji dowodu elektronicznego by
można było wymienić cechy, które muszą posiadać dane retencyjne by mogły być
potraktowane jako elektroniczny dowód [7]. Proponuję zatem zastosowanie podpisu
elektronicznego do podpisywania wszystkich plików zawierających tego typu dane i
podpisywanie ich w momencie ich powstawania (przez notariusza, albo przedstawiciela uprawnionego organu). To jest najprostsza rękojmia ich wiarygodności. Tabelka utworzona w arkuszu kalkulacyjnym, jak było widać, może być bardzo
interesująca, ale nie może być dowodem w postępowaniu sądowym. Cała dyskusja o
okresie przechowywania danych retencyjnych może być bezcelowa, jeśli będzie
można w prosty sposób zakwestionować wiarygodność tych danych.
… K/.. 2008
7
Ryszard Sobczak
WNIOSKI
Powszechne funkcjonowanie systemów telefonii komórkowej stworzyło
możliwości wykorzystania jej jako narzędzia elektronicznego śledzenia. Jednak
sposób jego stosowania musi być w pełni przystosowany do wymagań efektywnego
prowadzenia postępowania sądowego, a warunki narzucane przez postępowanie
sądowe nie są w pełni przestrzegane. Można długo dyskutować o okresie retencji
danych, ale przede wszystkim muszą mieć one wartość procesową.
BIBLIOGRAFIA
[1]
[2]
[3]
[4]
[5]
[6]
[7]
Ustawa z 16.07.2004 “Prawo telekomunikacyjne” Dziennik Ustaw z 2007 nr
82 poz. 556
Sobczak R., Podsłuch w dokumentach ETSI, Materiały VI Krajowej Konferencji Technologie Informacyjne, Gdańsk, 2008 (w druku).
ES 201 671: Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic ,v.3.1.1, ETSI, maj 2007
TR 102 503: ASN.1 Object Identifiers In Lawful Interception Specifications,
11/2007
ISO 9798: Information technology - Entity authentication, part 1 - 5, 19952000
Menezes A.J., van Oorschot P., C., Vanstone S., A.: Kryptografia stosowana,
rozdz. 10: Identyfikacja i uwierzytelnianie podmiotu, Warszawa: Wydawnictwa Naukowo-Techniczne, 2005.
Lach A.: Dowody elektroniczne w procesie karnym, Toruń: TNOiK, 2004
ABSTRACT
This paper recalls usefulness of data retention and lawful interception using cellular networks. It presents how interception interface (recommended by ETSI) is used in lawful interception in this type of networks. The interception interface provides also features to manage security
of communication between network operator and lawful agencies. At the end points at the important weakness of data retention: lack of credibility.
Recenzent
8
Zeszyty Naukowe AMW