Современные российские ВС
38,155,805
99,001
|
orange_runner ( Слушатель ) |
| 05 янв 2012 10:02:38 |
Тред №377929
новая дискуссия Дискуссия 93
Здравствуйте, уважаемы специалисты.
Не думал, что после столь длительного чтения (2.5 года), напишу свой первый комментарий в самой что ни есть непрофильной для меня ветке.
Равиль поднял очень интересную тему по поводу разведки с помощью сотовых телефонов. Я был очень скептичен по поводу датчиков вдоль дорог, пока он не написал про мобильники. После этого все стало очень "несмешно": сейчас почти каждый солдат с мобильником. Что еще хуже: многие из них со смартфонами нового поколения. Ниже немного информации к размышлению касательно реальных проблем с такими телефонами.
Carrier IQ.
Не так давно в США был скандал: один из исследователей в области безопасности занимался изучением уязвимостей платформы Android и "нечаянно" обнаружил руткит глубоко в ядре системы (оригинальную статю можно посмотреть здесь - там же в том числе и скриншоты из руководств, как выглядят данные "в центре"). Руткит устанавливался операторами связи без каких-либо уведомлений пользователей и позволял делать следующие вещи:
- регистрировать нажатия кнопок
- отсылать текущее географическое положение аппарата (об источниках координат чуть позже)
- отсылать параметры передающего канала (мощность сигнала и прочие)
- отсылать URL-ы всех интернет-ресурсов, которые посещались с телефона
Вот-тут лежит отчет и видео с демонстрацией что и в каком виде шлет телефон "в центр".
Дело вышло громким и Carrier IQ даже подали на исследователя в суд, обвинив его в краже интеллектуальной собственности и прочих грехах. Но что-то пошло не так: вмешалась общественность. EFF отправило своих адвокатов, которые отбили атаку лоеров.
После неуклюжей попытки "замять" дело, были не менее неуклюжие попытки оправдаться в СМИ: "Мы измеряем и пердоставляем информацию о производительности устройства, чтобы помочь операторам предоставлять качественные услуги", а сотовые операторы отскочили от компании-изготовителя, как от прокаженного.
Из последних новостей: ФБР отклонило запрос на получение документации, относящейся к ConnectIQ с очень интересной аргументацией отказа: данные записи не могут быть получены так как используются для нужд правосудия (документация?)
Компоненты CarrierIQ были найдены в iPhone (были убраны /заменены?/ относительно недавно - в iOS 5).
Официально RIM отрицает наличие руткита на платформе Blackberry, тем не менее, пользователи рапортуют, что операторы ставят его и туда.
Определение местоположения.
Методов несколько: GPS, триангуляция по башням сотовой связи и привязка по точкам WiFi. Возможности обычной триангуляции я видел лично - сотрудники МВД Республики Беларусь нашли украденный у моей матери телефон за неделю (в совершенно другом городе). Локация по точкам WiFi особенна интересна т.к. устройства под управлением Android и iOS способны собирать информацию о точках даже в "выключенном" состоянии (при условии наличия батареи в телефоне) и отправлять эту информацию на сервера своих компаний при первой возможности. Делается это естественно без какого либо разрешения со стороны пользователя, отключить нельзя* (технически можно - вытащить батарею). До недавнего времени многие телефоны использовали для этих целей продукт под названием Skyhook. Протестировать расположения ваших WiFi устройств, "помеченных" мобильными телефонами можно тут. (моя WiFi точка доступа нанесена с точность до метра).
Обработка сведений
Теперь касательно обработки собранной информации от всего этого хозяйства. В США в большинстве ВУЗов, преподающих Computer Science есть очень новое и популярное направление: Data Mining. Это смесь прикладной статистики и компьютерных дисциплин, ориентированных на обработку огромных массивов данных. В среде специалистов даже термин специальный появился: Big Data. Многие из исследований активно финансируются оборонным ведомством по программе DARPA (вот, к примеру, один из проектов, ориентированный на потрошение социальных сетей, запущенных в прошлом году - Noah's Ark). С точки зрения железа проблемы обработать массивы данных в петабайты вообще нет - ее просто не существует. Я в комнатных условиях за $5-10k могу собрать вычислительный кластер с приемлемой производительностью, чтобы потрошить гигабайтные архивы текстовой информации. Тем более это не проблема при наличии таких монстров с огромными вычислительными мощностями и специалистами, как Google, Amazon и Microsoft. Если интересны технические детали технологий, используемых для организации подобных кластеров, почитайте про MapReduce (публикация от Google на десяток страниц) и Hadoop. Apple в этом году всем наглядно продемонстрировал возможности распознования голоса со своим релизом Siri (правда, пока только на английском). Проблема не в том, как распотрошить данные - проблема лишь в том, как их собрать.
Резюме
При наличии каналов утечки информации, собранной средствами, озвученными выше (а как я понял из предыдущих сообщений участников обусждения - каналы саппорта у операторов "толстые"), не составляет никаких проблем нарисовать "дорожки", по которым катаются любые транспортные средства в стране, если в них находится хотя бы один сотовый телефон. Имея такую информацию за несколько лет, можно вычленять крайне интересную информацию. Также, без соответствующих контрмер, не составляет НИКАКИХ проблем вычислить кто из 2000 (и даже 10000) номеров, приобретенных по контракту "Корпоративный", является генералом: телефон у генерала скорее всего будет иммиджевый, смартфон, а значит с технологией вроде Skyhook, а следовательно его можно отследить по расположению его дома. Делается это элементарно - даже при выключенном GPS, телефон увидит соседей с точками WiFi и, как я уже писал, отрапортует при возможности первой возможности "в центр". Если точки уже в базе (а это скорее всего так), то мы имеем "дорожки" на карте города. Тем более это легко сделать, если выделен диапазон номеров (был довольно громкий случай с агентами ФБР, нелегально ловившего преступников во Франции - попалились на том, что купили 5 последовательных сотовых номеров).
Так что, уважаемые офицеры, по возможности (а как Равиль уже писал, это очень трудно), не давайте личному составу возможностей кататься с телефонами ибо чревато.
Не думал, что после столь длительного чтения (2.5 года), напишу свой первый комментарий в самой что ни есть непрофильной для меня ветке.
Равиль поднял очень интересную тему по поводу разведки с помощью сотовых телефонов. Я был очень скептичен по поводу датчиков вдоль дорог, пока он не написал про мобильники. После этого все стало очень "несмешно": сейчас почти каждый солдат с мобильником. Что еще хуже: многие из них со смартфонами нового поколения. Ниже немного информации к размышлению касательно реальных проблем с такими телефонами.
Carrier IQ.
Не так давно в США был скандал: один из исследователей в области безопасности занимался изучением уязвимостей платформы Android и "нечаянно" обнаружил руткит глубоко в ядре системы (оригинальную статю можно посмотреть здесь - там же в том числе и скриншоты из руководств, как выглядят данные "в центре"). Руткит устанавливался операторами связи без каких-либо уведомлений пользователей и позволял делать следующие вещи:
- регистрировать нажатия кнопок
- отсылать текущее географическое положение аппарата (об источниках координат чуть позже)
- отсылать параметры передающего канала (мощность сигнала и прочие)
- отсылать URL-ы всех интернет-ресурсов, которые посещались с телефона
Вот-тут лежит отчет и видео с демонстрацией что и в каком виде шлет телефон "в центр".
Дело вышло громким и Carrier IQ даже подали на исследователя в суд, обвинив его в краже интеллектуальной собственности и прочих грехах. Но что-то пошло не так: вмешалась общественность. EFF отправило своих адвокатов, которые отбили атаку лоеров.
После неуклюжей попытки "замять" дело, были не менее неуклюжие попытки оправдаться в СМИ: "Мы измеряем и пердоставляем информацию о производительности устройства, чтобы помочь операторам предоставлять качественные услуги", а сотовые операторы отскочили от компании-изготовителя, как от прокаженного.
Из последних новостей: ФБР отклонило запрос на получение документации, относящейся к ConnectIQ с очень интересной аргументацией отказа: данные записи не могут быть получены так как используются для нужд правосудия (документация?)
Компоненты CarrierIQ были найдены в iPhone (были убраны /заменены?/ относительно недавно - в iOS 5).
Официально RIM отрицает наличие руткита на платформе Blackberry, тем не менее, пользователи рапортуют, что операторы ставят его и туда.
Определение местоположения.
Методов несколько: GPS, триангуляция по башням сотовой связи и привязка по точкам WiFi. Возможности обычной триангуляции я видел лично - сотрудники МВД Республики Беларусь нашли украденный у моей матери телефон за неделю (в совершенно другом городе). Локация по точкам WiFi особенна интересна т.к. устройства под управлением Android и iOS способны собирать информацию о точках даже в "выключенном" состоянии (при условии наличия батареи в телефоне) и отправлять эту информацию на сервера своих компаний при первой возможности. Делается это естественно без какого либо разрешения со стороны пользователя, отключить нельзя* (технически можно - вытащить батарею). До недавнего времени многие телефоны использовали для этих целей продукт под названием Skyhook. Протестировать расположения ваших WiFi устройств, "помеченных" мобильными телефонами можно тут. (моя WiFi точка доступа нанесена с точность до метра).
Обработка сведений
Теперь касательно обработки собранной информации от всего этого хозяйства. В США в большинстве ВУЗов, преподающих Computer Science есть очень новое и популярное направление: Data Mining. Это смесь прикладной статистики и компьютерных дисциплин, ориентированных на обработку огромных массивов данных. В среде специалистов даже термин специальный появился: Big Data. Многие из исследований активно финансируются оборонным ведомством по программе DARPA (вот, к примеру, один из проектов, ориентированный на потрошение социальных сетей, запущенных в прошлом году - Noah's Ark). С точки зрения железа проблемы обработать массивы данных в петабайты вообще нет - ее просто не существует. Я в комнатных условиях за $5-10k могу собрать вычислительный кластер с приемлемой производительностью, чтобы потрошить гигабайтные архивы текстовой информации. Тем более это не проблема при наличии таких монстров с огромными вычислительными мощностями и специалистами, как Google, Amazon и Microsoft. Если интересны технические детали технологий, используемых для организации подобных кластеров, почитайте про MapReduce (публикация от Google на десяток страниц) и Hadoop. Apple в этом году всем наглядно продемонстрировал возможности распознования голоса со своим релизом Siri (правда, пока только на английском). Проблема не в том, как распотрошить данные - проблема лишь в том, как их собрать.
Резюме
При наличии каналов утечки информации, собранной средствами, озвученными выше (а как я понял из предыдущих сообщений участников обусждения - каналы саппорта у операторов "толстые"), не составляет никаких проблем нарисовать "дорожки", по которым катаются любые транспортные средства в стране, если в них находится хотя бы один сотовый телефон. Имея такую информацию за несколько лет, можно вычленять крайне интересную информацию. Также, без соответствующих контрмер, не составляет НИКАКИХ проблем вычислить кто из 2000 (и даже 10000) номеров, приобретенных по контракту "Корпоративный", является генералом: телефон у генерала скорее всего будет иммиджевый, смартфон, а значит с технологией вроде Skyhook, а следовательно его можно отследить по расположению его дома. Делается это элементарно - даже при выключенном GPS, телефон увидит соседей с точками WiFi и, как я уже писал, отрапортует при возможности первой возможности "в центр". Если точки уже в базе (а это скорее всего так), то мы имеем "дорожки" на карте города. Тем более это легко сделать, если выделен диапазон номеров (был довольно громкий случай с агентами ФБР, нелегально ловившего преступников во Франции - попалились на том, что купили 5 последовательных сотовых номеров).
Так что, уважаемые офицеры, по возможности (а как Равиль уже писал, это очень трудно), не давайте личному составу возможностей кататься с телефонами ибо чревато.
Отредактировано: BlackShark - 05 янв 2012 12:07:05
ОТВЕТЫ (0)
Комментарии не найдены!