Comments 57
Спасибо, хороший обзор.
Добавьте, пожалуйста, сормово-яровую часть. это важнее чем кажется, потому что метаданные шифрованных соединений (в первую очередь факт его наличия) на сервера пишутся, и если есть данные абонента, то эта информация доступна (в.ч. для сопоставления по времени, например, звонков в ТГ между двумя, кажется, несвязными человеками. 10-20 одновременных активных сессий и наличие коммуникаций можно считать доказанным).
Добавлю, спасибо.
На самом деле не думаю, что это будет работать на практике как метод массовой деанонимизации, поскольку закон яровой предполагает только хранение метаданных, а не их передачу в реальном времени, а СОРМ вообще применяется таргетированно.
Если требуется доказать связь между двумя абонентами — да, но не как средство массового раскрытия социальных связей.
Я не роскомпозор, но это же тривиально
Дано Н. А. Вальный, являющийся подлым трусом и экстремистом. Задача — выяснить с кем он общается. Берётся трафик Вального (трафик его сотового телефона). Там есть моменты активных сессий по любому криптопротоколу.
Дальше делается fuzzy поиск по признаку "начало криптосесси того же типа примерно в то же время". Первый звонок, допустим, находит 30000 совпадений. Второй ещё 30000. 20 запросов и мы просим найти активные сессии, которые были в 10% (30%?) процентах всех выборок.
Дано: когда Н. А. Вальный активирует свою подлую трусливую экстримисткую криптосессию, вот эти люди тоже активируют сессии. Месяц наблюдения — и круг общения вычислен.
Это известная атака на TOR, кстати, там есть умные двухколоночные бумаги с анализом того, насколько это реалистичный сценарий. Ответ: state sponsored атакующий с большой visiblity белого трафика (даже метаданных) может деанонимизировать пользователей. То же касается и поиска "коллег" по факту метаданных трафика.
См про TOR. В TOR всё шифрованное, однако узлы деанонимизируются наблюдаетелем, контролирующим достаточное количество промежуточных узлов.
Смотрите:
Вальный посылает пакеты. Пакеты зашифрованы. Но в общем потоке трафика видно, что произошёл всплеск. Голос вполне себе ест трафик, и его паттерн отправки пакетов очень специфичный. Даже если мы не присматриваемся к размеру пакетов, сам факт всплеска длительностью три минуты 20 секунд есть. Дальше мы смотрим у кого был похожий всплеск? Получаем 9999 ложноположительных. Записываем их. Потом ещё раз. Ещё 9999 ложнопложительных. Примерно через -цать замеров мы замечаем, что Вальный и некий Н.А. выходят на связь одновременно с уверенностью 5 сигма. Бинго.
ЗЫ Ещё задолго до роскомпозора но ещё до моего отъезда из страны я думал про более надёжный VPN в этом смысле. Такой VPN генерирует фиксированный поток трафика через канал (за счёт tc), и замещает мусорный трафик полезным, когда VPN'ом пользуются. Для стороннего наблюдателя это выглядит как ровная полка трафика в которой не видно изменений.
Руки не дошли, но идея осталась.
У идеи два важных правила:
1) Все пакеты всегда добиваются до максимального размера. Вероятнее всего, это потребует возни с VPN-клиентом.
2) Внутри работает генератор трафика (тот же hping) на рейте слегка выше ожидаемого рейта VPN'а.
3) Трафик от hping'а помечается как низкоприоритетный.
4) Всё пропускается через полисер (трафик шейпер), который на выходе даёт фиксированное число пакетов/байт в секунду (пакеты одного размера, так что это одно и то же).
5) Такая штука делается в оба направления.
Жутко неэффективно, но зато не подвержено корреляционному анализу.
Дальше мы смотрим у кого был похожий всплеск?
Для этого нужно, чтобы информация о всех соединениях всех абонентов всех провайдеров стекалась в реальном времени в одно место и анализировалась там. Я думаю, что на данном этапе это технически не достижимо.
Все пакеты всегда добиваются до максимального размера
Не лучше ли как раз рандомизировать размер пакетов? Трафик экономится, а наблюдатель тратит свои ресурсы на попытку отделить реальные паттерны от симулируемых. Не говоря уже о том, что «полка» — это еще один цифровой отпечаток.
Рандомизация пакетов не сработает как только у вас пойдут большие пакеты нагрузки (например, загрузка по TCP). У вас будут характерно-рандомные пакеты в IDLE, и толстые пакеты под нагрузкой. Это очень легко найти. Полка между клиентом и VPN-сервером очень характерна, но она ничего не рассказывает, кроме существования соединения (что и так известно).
А откуда вы знаете, какая там нагрузка? Фактически, атакующему нужно:
а) найти статистическое распределение в idle режиме
б) найти аномалии.
Это можно сделать. Какую бы модель шума вы себе не придумали, она будет отличаться от реального использования (просто потому, что одно — шум, а второе — реальное использование). В условиях реального использования у вас большие пакеты, либо много мелких (download или интерактив).
Вместо этого для защиты от такой атаки вы делаете так, что от вас идут пакеты одинакового размера с одинаковым рейтом. В статистике пакетов и трафика момент использования канала ничем не отличается от момента не использования. Что, собственно, от статистического анализа и защищает.
Я задам вам другой вопрос: ваш, более сложный метод, он а) пытается защитить от статистического анализа, б) что ещё?
Если вы хотите сэкономить трафик, то на этом вас и поймают. Если вы хотите сделать анализ более сложным, то, наоборот, чем более разнообразные паттерны идут в трафике, тем больше статистика в нём наковыряет. Если вы хотите "слиться с большинством" (большинство не делает трафик в полку), то тоже не получится — большинство не генерирует такое количество "пакетов случайного размера", и реже пользуется сервисом; то есть стеганографический подход тут не подойдёт.
1) все люди под 40 лет получали паспорт порядка 20 лет назад и еще не меняли. и фото там скажем совсем не похоже на вас уже. вот интересно по фото 20ти летней давности из паспорта — распознавание лиц сможет определить человека?
2) если паспорт получался в каком ни будь удаленном месте, то данные так же будут в системе или пока что лишь Москва слила всё вместе о своих, а на приезжих забили? не будет ли хорошей практикой в каком ни-будь посёлке Мирный за полярным кругом, получать паспорт?
3) если я не в соцсетях, то откуда могут еще взять моё фото для трэкинга меня по лицу везде? я не увидел например описания работы с банками где вы предъявляете паспорт, банкоматами где так же карту суёте и она с именем… или финансовый сектор не сдаёт данные в нужные места? плюс есть магазины, а там камеры и оплата по карте… они сдают данные? я имею в виду все данные, обо всех, а не только при расследовании дел точечные запросы
1) если не было серьёзных увечий или пластики — да сможет.
2) МВД и ФМС только недавно слили все данные в одну большую базу, поэтому из Москвы доступны паспорта всех.
3) на самом деле привязка к соцсети — такое себе. Можно привязать к совершенно другому человеку. У государства полно фотографий каждого гражданина, главное деанонимизировать одну и все. Вообще, банки, магазины и другие не особо хотят делиться инфой с государством пока из не заставляют (исключая большие зелено-синие банки). Поэтому только сам банк сможет деанонимизировать… Но он это и без фото сделать может.
Почему недавно? Я делал Систему загрузки данных для объединения всех БД регионов в 2015 году, тогда ещё для Техносерва, у которого был контракт с ФМС на ППО Территория (концентратор всех данных по гражданам, иностранцам и организациям). Уже в 2015 мы начали миграцию для небольших республик. Теперь ФМС нет, и бывшие коллеги поговаривают, что МВД пилит что-то своё, но пока вроде софт тот же.
Да, скорее всего сможет. Здесь делали такой тест по старым фотографиям:
Вот результат работы по фотографии 8-летней Эми Уайнхаус:
Не могу вам ответить на этот вопрос. Можете попробовать пробить какого-нибудь вашего знакомого (с его согласия, разумеется), который получал паспорт за полярным кругом.
Насколько мне известно, в банке фотографируют вас только в случае оформления кредита или подключения биометрии. Передают ли они данные московским властям, точно не известно, но я думаю что нет.
2. а смысл? чтобы получить паспорт где-то далеко, надо родиться там или быть прописанным там, так что те же патрули в крупных городах будут еще чаще проверять.
3. Фото ваше набирается прямо с камер в любых местах, где вы подтверждаете личность (банки, салоны опсосов, поликлиники, больницы, мфц, да много где еще), так что ускользнуть это еще сильно постараться надо. А далее поиск по всем камерам — и куча ваших фоток дополнительных для анализа уже есть.
p.s. я думаю система может перейти на работу по «белому списку», т.е. всех нераспознанных камерами будут тормозить патрули и принудительно вносить в базы (если вдруг еще нет).
если у вас фото на паспорте не бьется с реальным внешним видом вас и так могут задержать, так что либо фото, либо внешний вид придется обновить.
Можете привести основания или какие-либо прецеденты? Не встречал ни на уровне законов, ни на уровне частных случаев, что бы нужно было актуализировать «фото или внешность».
чтобы получить паспорт где-то далеко, надо родиться там или быть прописанным там, так что те же патрули в крупных городах будут еще чаще проверять.
А почему будут чаще проверять? И какой факт по Вашему повышает эту вероятность: отсутствие фото в базе или регистрация «где-то далеко»?
я по метро не мог 100 метров пройти, останавливали постоянно все патрули.
подозреваемого наконец нашли или вы себе пластику замутили за счёт государства?
Системы распознавания лиц — это круто. Это можно сказать будущее и от него никуда не убежать. Но есть три так сказать проблемы: массовое распознавание лиц, связывание с персональными данными и связывание с геолокацией. В нормальном правовом обществе эти три пункта должны быть запрещены т.к. Нарушают базовое право на анонимное перемещение. Причём если сделать отпечаток лица и использовать его для конкретных целей с другими обезличенными данными то все ок. Это как подтверждение платежа отпечатком пальца.
А так да, я не представляю как жить в большом городе и быть анонимным, когда сотовый телефон и домашний интернет по паспорту, а любой чих логируется.
А так да, я не представляю как жить в большом городе и быть анонимным...
У меня одна знакомая живет в небольшом городе (менее 10к народу, городом данным населенный пункт видимо считается по недоразумению). Как-то мы в шутку болтали на тему: а чего любовника не заведешь? Она рассмеялась. Мол я с работы до дома могу в принципе идти двумя разными улицами — расстояние одинаковое. Но обычно хожу улицей "А", а тут чего-то захотелось пройти по улице "Б". Пришла домой, а муж и спрашивает: а чего это ты сегодня шла улицей "Б"?
PS. Видимо возвращаемся в общество без анонимности, каким оно было несколько сот лет назад.
PPS. Обычно на вопрос: почему вы хотите жить в большом городе? Люди отвечали: театры, кино, парки и т.д. Хотя одним из мотивов, часто не осознаваемым, было желание анонимности. Что не говорите, но завести любовника/любовницу в малом населенном пункте сильно сложнее, чем в большом городе, где вышел из подъезда и тебя уже никто не знает. Да и в целом, в крупном городе большинству все равно как лично Вы живете, есть у Вас авто и какой марки, во что Вы одеты, как часто Вы пьете или ходите в сауну и т.д. Т.е. социальное давление явно ниже. В деревне, где все друг друга знают, многие вещи не прощаются.
Соглашусь, чем меньше шума тем меньше анонимность. Вопрос в другом, кто кого деанонимизирует и с какой вероятностью, как это хранится, используется и передаётся. Ответив на эти вопросы станет ясно, чем Марь Ивановна отличается от гос. корпорации и чем это черевато. Поэтому жить в маленьком городе это значит тебя все знают, но и ты всех знаешь. Жить в большом городе, это когда ты ничего не знаешь, но про тебя известно все.
P.s. Насчёт подруги, если хочется "гулять" то зачем находится браке. Да и в большом городе встретить знакомого можно с высокой вероятностью. И правило двух рукопожатий никто не отменял.
Серая симка не имеет никакого смысла, если не соблюдать гигиену при обращении с ней.
Все время аппарат активен — его трек коррелирует с вашим основным аппаратом.
Аппарат включается эпизодически — примерно то же самое, но точечная корреляция и еще большие подозрения.
Выключается основной и включается серый — еще больше подозрений по совпадению вкл-выкл.
Да, от спаммеров это спасет. Но от целенаправленной слежки с трекингом по базовым станциям, если вдруг хозяин станет интересен, никак. У серого телефона по трекингу и биллингу должна быть своя жизнь очень похожая на реальную. Тут можно много нафантазировать из жизни шпионов и конспирологов, но я в этом вопросе дилетант. Специалисты смеются надо мной.
Серая симка не имеет никакого смысла, если не соблюдать гигиену при обращении с ней.
Разумеется. Я об этом кстати упоминал в статье, но видимо нужно написать более подробно :)
Я думал тут основная логика в том, что основной аппарат оставляешь дома, не надо его выключать. Второй включаешь и выключаешь уже вдали от дома и его попросту никак с основным уже не связать.
Только если всё бросить и уехать в Урюпинск.
А в России среди обычных людей это понимание всё ещё на уровне анекдотов про товарища майора. Когда же прилетает ответка за участие в каком-нибудь митинге, откуда сделал селфи и выложил у себя в соцсети, начинаются непонятки «как они меня могли узнать, я же шапочку надел задом наперёд»…
Так хорошие компании ничего плохого не могут сделать.
А хорошие потому что дают удобства бесплатно )
Зачем включать мозг.
Кстати, ещё не стоит забывать, что даже если вас в соцсети нет, то на фотках могут ваше лицо по доброте душевной отметить знакомые.
В общем, мы все и так уже в матрице. И выйти из неё гораздо сложнее, чем петицию на чейндж.орг подписать. Всех посчитали. И если вдруг кто-то начнёт всерьёз шифроваться — переходить на наличку, приобретать левые симки и т.п., то он самим этим фактом может привлечь внимание. Особенно если этим начнёт заниматься человек с каким-то политическим прошлым, а не простой школьник.
А большинство считает, что они никому не нужны
Это и есть первое отключение мозга. Сам таким был — нафига напрягаться если ничего не делаю? А то что оно копится и когда нибудь стрельнет против тебя уже потом осознал.
Но все равно, можно просто перестать это делать (отдавать данные о каждом шаге) и инфа просто будет устаревшей )
то на фотках могут ваше лицо по доброте душевной отметить знакомые.
Угу, есть такое.
Перестать отдавать данные сложнее, чем кажется. И это касается многих сфер, не только социальных сетей и удобства оплаты продуктов на кассе. Это также работа, размещение резюме, различные заказы, доставка, телефонная связь, банковские услуги и прочее...
Такова реальность, если идешь в ногу со временем. Я не говорю, что данные нельзя использовать во зло, можно, но это уже проблема защиты данных
Может я не прав или тоже беспечен, но шапочку из фольги пока что приберегу :D, хотя больше осознаности нужно однозначно
Я по этой причине специально не участвую ни в каких групповых съёмках ни на работе, ни на природе — всегда говорю, что против того, чтобы моё фото выложили в инет, но всё равно какой-то идиот не послушает.
Вот я 18 лет назад как-то задал поиск по своим ФИО, и уже тогда столько! нашёл, потом ходил затирал и после старался инфу не оставлять. Даже регистрации на разных сайтах делаю на разные email-ы — завёл под это дело несколько доменов.
Что сольёт Whatsapp интересно? Расскажите, пожалуйста, раз вы так осведомлены. У них только метаданные и контакты. А Signal что сольёт? У них даже список контактов не хранится.
Телеграм понятно сольёт, там сообщения на серверах в открытом виде лежат. Ну кроме секретных чатов, которыми пользуется 0.0001% от общего числа пользователей
Что сольёт Whatsapp интересно?
Номера телефонов для регистрации?
А Signal что сольёт
Номера телефонов для регистрации?
Если для вас даже сам факт просто использования мессенджера является сливом, без раскрытия даты/времени, получателей, отправителей и тем более содержимого сообщения, то случай тяжёлый, тут не помочь, лучше отказаться от использования интернета и гаджетов совсем.
Ну в статье же говорилось, что можно использовать левые симки для регистрации в мессенджерах, с которых больше вообще не совершать никаких звонков и операций. Чтобы утечка номера не привела к раскрытию личности, если так угодно.
Если для вас даже сам факт просто использования мессенджера является сливом, без раскрытия даты/времени, получателей, отправителей и тем более содержимого сообщения, то случай тяжёлый, тут не помочь, лучше отказаться от использования интернета и гаджетов совсем.
Ну в статье же говорилось, что можно использовать левые симки для регистрации в мессенджерах, с которых больше вообще не совершать никаких звонков и операций. Чтобы утечка номера не привела к раскрытию личности, если так угодно.
Контакты, фото — сейчас там распознаются не только лица, но и что находится сзади, на фоне, чтобы под это дело рекламу пропихивать, анализ переписки, распознавание и анализ разговоров.
Ранее единственым, кто не хранил данные на серверах, был Skype, но потом его купил MS, и PtP технологию вырезали, теперь всё идёт через их сервера.
Если всё же используете Wi-Fi, то включайте рандомный MAC адрес своего WiFi адаптера, поддерживается уже на всех современных ОС
Я бы ещё упомянул в статье тот факт, что часто эксплуатируется возможность залезть в вашу жизнь через приложения/сервисы. Строя маршрут на условных Ты.Картах в залогиновой сессии, ваше местоположение в истории останется с гораздо большей точностью. Правда это не только мегаполисов касается, но всё же жители крупных городов чаще пользуются всеми этими благами капитализма.
Если нельзя избежать попадания на радары, то можно создать такое зашумление, что пользоваться радарами станет невозможно. Пора уже к этому переходить:
- Носить маски, которые не просто скрывают лицо, а дают ложное распознавание
- Активно создавать публичные точки доступа и участвовать в качестве промежуточных узлов в TOR / I2P / Yggdrasil сетях, если боитесь или не хотите служить выходной нодой. Тогда действительно можно будет в плотных центральных частях городов отказаться от сим-карты полностью.
- Генерировать мусорный трафик
Если же вы подходите под категорию опасную и вредную для общества- вам эта система не понравится.
Кстати, насчет возрастного распознования камер. ФОтка с паспорта 20-ти летней давности и лицо захваенное камерой, прикрытое с одной стороны трубкой мобильного и кепкой на лоб — совсем не помеха и прекраснейшим образом детектится и матчится.
Благорадя таким системам, в той же Мск бытовая преступность крайне быстро и эффективно раскрывается + даже не бытовая, а спланированная и относительно профессиональная. Увеличить количество камер раза в 2 — 3 и мы избавимся от закладчиков, автоворов и уличного криминиала как факт. Если вы против этого, то мне кажется к вам стоит присмотреться…
Проблема не в системе, а в людях, которые её используют.
Причем даже с обычными ложными срабатываниями потом включаются правоохранительные органы, которые всё делают максимально топорно и незаконно — задерживают людей, собирают без разрешения биометрию, и так далее. Даже если на словах говорят — да, ошибка, продолжают упорно делать, что и делали — нарушать закон.
А если органы, которые должны исполнять законы, сами нарушают закон, то что?
«Ты должен был бороться со злом, а не примкнуть к нему»(с)
У меня для банков отдельная симка, номер которой ни кто не знает, кроме жены. И вот на другие номера мне иногда звонят банковские мошенники.
Так же некоторые магазины передают детализированные чеки оплаты, например, у Тинькова можно посмотреть чек оплаты в Ашане с детализацией по всем позициям.
Забыли про скидочные карточки в магазинах — это уже магазины собирают все данные о покупках, причём все такие карточки при регистрации требуют нормер телефона, который можно использовать для сопоставления между разными магазинами (ранее вообще требовали ФИО, адрес, ДР, где живёшь, сейчас большиство ограничиваются только телефоном, именем без фамилии и телефоном — наверное, чтобы не подпадать под закон о ПД).
Анонимность в современном мегаполисе