Конфиденциальность в сетях связи

    В мою жизнь стационарный телефон вошел как средство общения где-то в 1994 году (до этого у меня его просто не было), а сейчас я (и многие другие) не представляю свою жизнь без общения по мобильному телефону и через Интернет. Быть всегда на связи очень удобно, всегда можно связаться с человеком, узнать его мнение по какому-то вопросу, согласовать действия, поделиться впечатлениями. Но не все так красиво, как кажется на первый взгляд.

    Так сложились обстоятельства, что я стал свидетелем ситуации, в которой человек пострадал от нарушения конфиденциальности его личного общения через средства связи. В частности через SMS и Интернет (почта, IM). Если с Интернетом все понятно, там хакеров «немеряно», нужно самому побеспокоиться о своей защите, то с нарушением конфиденциальности личного общения по SMS я столкнулся впервые. Мой топик о защите прав абонента операторов связи на конфиденциальность общения.

    image

    В ситуации, с которой я столкнулся, объект внимания злоумышленников далек от ИТ, ИБ и даже не является «продвинутым» пользователем ПК. Но понимая, что в такой ситуации может оказаться каждый, я понимаю, что свое общение через Интернет я еще как-то могу защитить (VPN, SSL, PGP, etc), то как быть с мобильной связью? У абонента, каким продвинутым бы он ни был, крайне ограничены средства защиты, а применение многих из них (аудиошифраторы, например) запрещено законом и, по мнению специалистов, мониторится соответствующими службами.

    Я могу только строить догадки, каким образом нарушается конфиденциальность разговоров — мониторинг эфира или несанкционированное использование систем СОРМ. В сложившейся ситуации известно, что интерес недоброжелателя не связан с правовыми вопросами или коммерческой деятельностью (его проявления об этом говорят однозначно). Ситуация, о которой я говорю, стала, скорее всего, следствием стечения множества обстоятельств, но ведь если кто-то так легко может перехватывать личные разговоры, то сделать это инструментом мошенничества или шантажа — проще простого. И ладно бы еще конфиденциальность разговоров нарушали бы силовые ведомства (работа у них такая), но ведь это делают частные лица.

    Вопрос который для меня остается открытым — как защитить свои права на конфиденциальность общения через сети связи? Как найти злоумышленника, в случае нарушения этих прав? Каковы юридические аспекты этого вопроса? Какова ответственность оператора связи, за нарушение конфиденциальности? Как доказать оператору или соответствующему органу, что такой факт имеет место? У меня есть большие сомнения, что, например, полученная от недоброжелателя SMS будет являться вещественным(?) доказательством нарушения конфиденциальности.

    И самое интересное. Если сейчас дела с этим обстоят таким образом, то чего нам ждать через лет эдак 5?

    ОБНВ: Если грубо, то факты нарушения конфиденциальности были такого характера — Есть люди одного круга общения: Алиса, Боб, Чарли. Алиса отправляет СМС Бобу, после этого Чарли получает эту СМС с комментариями от неизвестного Дейва (припейд). Такое действие не в интересах ни одного из первых трех лиц, что исключает их участие.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 144

      +6
      Ваши слова меня очень обеспокоили. Достаточно ли gpg при передаче файлов по https через SSH туннель? Или следует использовать расширенные средства безопасности?
        0
        Я считаю, что точка утечки — СОРМ, который юзают в личных целях. Вот и думаем, если в тракте сидит MIM, то как от него защищаться?
          +1
          э… И что mim будет делать с ssh? А с gpg внутри вложения?
            0
            Речь идет о средствах для общения в открытой группе через обычный телефон. Организовать свою спецсвязь — не проблема, как быть в общении с «обычными» людьми?
              0
              Выписывание gpg сертификата обычному человеку — это так сложно? Я знаю одну из контор, там главбух, ничего так, вполне успешно юзает (через Enigmail для Thunderbird). И даже адекватно реагирует на письма с неправильной подписью.
                0
                >в открытой группе через обычный телефон
                  0
                  Это типа незаконно.
                  С днем России!
                    +1
                    что именно незаконно? Запуск gpg? Так (секрет!) все debian-based дистрибьютивы (включая бубунту) юзают его вместе с аптитьюдом для контроля репозитария.
                      0
                      Если не наказывают, это ведь еще не значит, что законно, просто не успели наказать.
                      Но для убунты, то есть «программных операционных систем,
                      криптографические возможности которых не могут быть изменены
                      пользователями, которые разработаны для установки пользователем
                      самостоятельно без дальнейшей существенной поддержки поставщиком и
                      техническая документация (описание алгоритмов криптографических
                      преобразований, протоколы взаимодействия, описание интерфейсов и т.д.)
                      на которые является доступной, в том числе для проверки» есть исключение.

                      pgpшники чтото сами до сих пор не могут определиться законно или нет
                      www.pgpru.com/faq/proekt#h47-5

                        +2
                        тогда в чём проблема? Не запрещено, значит разрешено.
                          +1
                          Действительно не могу найти прямого запрета использования шифрования в личных целях.
                          Но возникает другой вопрос:
                          где вы это pgp взяли? кто вам его продал? где лицензия на ввоз и распространение?
                            +2
                            А мне его никто не продавал. Опять же, если в законе нет запрета на бесплатное получение средств криптографии, значит, это разрешено.
                              0
                              Есть регулирование импорта.
                              Получается, вы лично сами бесплатно занимались Контрабандой в собственных целях.
                              На кол.
                                +3
                                Вы в непонятных мне терминах говорите. Цитируйте ГК/УК, тогда уж. Каким образом я осуществлял контрабанду, если ПО не перевозилось через границы, а было скачано с ближайшего мне зеркала в РФ?
                                  –4
                                  отмазка ok.
            • UFO just landed and posted this here
              • UFO just landed and posted this here
                  0
                  ssh/vpn туннель до своего сервера, по нему гонять sip.
                  туннель на смарте поднять реально.
                  сип-клиенты есть.
                  сип сервер поставить то же не сложно. для корпоративных нужд подойдет, для случайных звонков посторонним людям, кстати то же, во всяком случае исключим прослушку на канале телефон-сервер.
            +4
            Пора бы снимать «розовые очки».
            Не бывает той конфиденциальности, о которой вы не позаботились, и дело не в нашей стране.
            Лучшее правило — научить самого себя что, где и при каких обстоятельствах (а также в каком месте) можно говорить, а что лучше отложить для личной встречи в «бронированной камере» (с) М. Булгаков, «Мастер и Маргарита».
              0
              Так ведь очков нет уже давно, но когда сам попадаешь в такое, очень хочется найти средство набить морду «доброжелателю», который прячется за одноразовым припейдом.
              0
              Если информация может быть «прочитана» — она будет «прочитана» рано или поздно.
              Защититься можно только одним способом. Нужно понимать, что делаешь, и представлять риски. Любой телефон (про спецсвязь не говорим) — не место для конфиденциальной информации.
                +1
                Речь идет не о конфиденциальной информации в привычном понимании, а просто о личной (круг общения, родственники, друзья, личные события — ничего «особенного»). Имея ее злоумышленник может с помощью «социального инжиниринга» причинить существенный ущерб. Понятное дело, что вещи, которые уж очень «конфиденциальные» по телефону никто не говорит.
              • UFO just landed and posted this here
                  –1
                  Люди, которые пробовали пользоваться аудиоскремблерами в личных целях, говорят, что им звонили и предлагали этого больше не делать.
                    0
                    Кто им звонил? Какими устройствами пользовались?
                      0
                      Об этом они мне не рассказали.
                        +1
                        Это называется слухи.
                          +3
                          Да. Ведь у меня есть основания верить источнику, но у вас нет оснований верить мне. Ничего личного, прекрасно понимаю ситуацию.
                          • UFO just landed and posted this here
                              0
                              Опять же, никто не сможет гарантировать подлинность подобного разговора. Так что тут пока сам не попробуешь, не узнаешь (:
                                0
                                Я бы не рискнул.
                                Тем более что об этом наверняка тоже упоминают.
                      • UFO just landed and posted this here
                        0
                        Насколько мне известно, в Москве шифрование GSM отключено в целях экономии и снижения нагрузки на БС. Во всяком случае, телефоны нокиа при совершении вызова показывают иконку с открытым замком, что вроде как означает «небезопасное соединение».

                        И по поводу трамвая: иногда покупка девайса (достаточно компактного, кстати) с недвусмысленным названием GSM Interceptor дешевле и создает меньше «шума», нежели попытки заполучить данные о разговорах абонента через СОРМ. К сожалению, купить такой интерцептор, во всяком случае, в России — задача не очень трудная.
                          0
                          Это вряди, но вероятно. Скорее используется упрощенная схема шифрования. А телефоны Sony Ericsson, на сколько мне известно, вообще работают только с поддержкой шифрования, иначе никак! Поэтому, скорее всего, это слухи про отключение шифрования GSM!
                          • UFO just landed and posted this here
                            0
                            судя по личному опыту не всякий скайп на телефоне шифрует траффик.
                            фринг, насколько мне известно, передает голос по своему проприетарному протоколу, который не весьма криптостойкий. По крайней мере решения для извлечение голосового и чат трафика фринга существуют.
                            Насчет скайпа на мобильном на 100% не уверен, поскольку вполне возможно, что ресурсы аппарата не позволяют проводить шифрование и передачу траффика по криптостойкому алгоритму на лету.
                            • UFO just landed and posted this here
                          0
                          в свое время советовал людям использовать SIP протокол и свои сервера, но так удавалось обезопасить общение только закрытой группы
                            0
                            Да, речь идет именно об открытой группе и «непродвинутых» пользователях. Вспоминлся вариант развода пенсионеров на дорогие «иностранные лекарства» с помощью телефона и методов социального инжиниринга.
                              +2
                              я уже привык к тому что вся информация которую можна сохранить имеет статус публичный, а не приватный.
                            +1
                            Телепатические связи пока не прослушиваются. Предлагаю на них и перейти ;)
                              0
                              откуда Вы знаете? ;)
                                +1
                                libastral.so уже давно разобран на куски )
                                0
                                1. А всё же, что конкретно за ситуация? Одни недомолвки и намёки.
                                2. В известном мне случае, когда номера абонентов и получателей SMS стали известны некоему лицу, никакого отношения к безопасности сетей сотовой связи это не имело. Простой «человеческий фактор». У опсосов работают обычные люди.
                                3. Оператор обязан обеспечивать тайну связи: www.zakonrf.info/zosvyazi/63/ подробнее про ответственность можно прочитать в википедии и на тематических форумах.
                                  0
                                  Если вы можете помочь с вычислением «доброжелателей», детали сообщу в личку. Не хочу открывать названия операторов, чтоб не выглядело как антиреклама. ИМХО, подвержены все.
                                    0
                                    Помочь Вам могут только: 1) оператор — они заинтересованы больше всех 2) правоохранительные органы.
                                    Любая «частная инициатива» будет незаконна. Для антирекламы — пока не усматриваю никаких оснований, т.к. абсолютно непонятна сама ситуация.
                                      0
                                      То, что они могут помочь — понятно, только как я могу доказать факты? Показать СМС? И я не вижу их мотивации для решения моей проблемы.
                                        +1
                                        У оператора мотивация есть — поймать инсайдера, который своими действиями ставит под угрозу репутацию компании. Тем более, не известно, какую еще информацию и кому именно сливает инсайдер.
                                        Ну а у правоохранительных органов мотивация в том, что это их работа и они обязаны этим заниматься.

                                        Насчет доказательств ничего сказать не могу, так как из описания абсолютно ничего не понятно.
                                          0
                                          Про доказательства я говорю потому, что у нас электронные записи не могут являться прямыми доказательствами. Мне известны случаи, когда запечатленный в системе видеонаблюдения злоумышленник «в тупую» отрицал свою личность на записи и его не могли привлечь к ответственности.
                                            0
                                            электронные записи не могут являться прямыми доказательствами

                                            Могут. Просто должна быть проведена компьютерно-техническая экспертиза, которая подтвердит достоверность данных.

                                            Просто в Вашем случае даже непонятно, что именно Вы собираетесь предъявлять. Если это СМС-сообщение на телефоне, так проверить подлинность можно — экспертиза + логи оператора.

                                            Мне известны случаи, когда запечатленный в системе видеонаблюдения злоумышленник «в тупую» отрицал свою личность на записи и его не могли привлечь к ответственности.

                                            Ну многие видеозаписи с камер наблюдения такого качества, что там действительно невозможно понять, кто именно заснят.
                                              0
                                              Электронной записи в логах систем оператора сотовой связи будет достаточно для проведения внутреннего расследования.
                                                0
                                                описывайте более детально с указанием оператора (можно без номеров). Хабр регулярно читают сотрудники операторов :)
                                            +3
                                            Если, по Вашему мнению, нарушили тайну связи, то Ваша претензия более чем обоснованная.
                                            SMS — имеет отправителя, текст, получателя. И есть логи у оператора (в том или ином виде).
                                            А пока о проблеме понятно только то, что она как то связана с телефоном.
                                      +2
                                      Не знал, что аудиошифраторы запрещены законом… А может кто-нибудь ссылку дать на этот закон и что именно под него подпадает?
                                        +1
                                        Года три назад мне на телефон вечером пришло SMS сообщение примерно такого содержания от неизвестного мне отправителя:
                                        1. Привет Маша, давно не виделись, как у тебя сейчас дела, чем занимаешься?

                                        т.к. я не Маша, я подумал что ошиблись номер и временно проигнорировал это сообщение. Спустя несколько минут пришло второе сообщение с другого номера:
                                        2. Привет, Петя! Действительно не виделись очень давно, я женилась, надо бы встретиться, пообщаться.

                                        Таким образом в течении получаса мне пришло порядка 5 сообщений из их переписки. Я как порядочный человек набрал телефон поддержки сотового оператора и сообщил что мне приходят копии SMS сообщений незнакомых мне людей, на что представитель оператора сказал мне:
                                        «а вы их игнорируйте, просто не отвечайте и всё». И только на мой вопрос, что неужели оператора не интересует конфиденциальность переписки его абонентов они нехотя спросили мой номер и номера с которых приходят копии.

                                        Спустя только года 2 от человека который в теме я узнал что был сбой и многие сообщения уходили на левые номера.
                                          0
                                          От сбоев и ошибок ни кто не застрахован ;)
                                          И как как говорилось выше перед тем как рассказывать какие то тайны друг другу нужно понимать риски связанные с ним. И при подключении к оператору, даже на контракт, ни разу не видел пункта оговаривающий 100% защиту разговора. Прошу не путать п. в которых оговаривается не разглашения Ваших личных данных (ФИО, адрес, № паспорта).

                                          ЗЫ. А то что большой брат следит — это уже аксиома и не нада страдать пароноей ;). Подслушать Вас могут и на улице и потом применить методы той же Соц. инженерии.
                                            +1
                                            Интересен не сам факт сбоя, а отношение представителя компании к факту нарушения конфиденциальности клиентов — типа основные услуги мы предоставляем, а остальное нас не волнует. И в большинстве компаний с которыми я общался по этому вопросу тоже не особо запариваются по этому поводу.

                                            Буквально неделю назад обнаружил на сайте крупной торговой сети список с персональными данными их клиентов (ФИО, телефон, email, день рождения...). Попытался написать им об утечке через контактный email указанный на самом сайте, на что получил ответ от почтового сервера, что этот email не существует. Хорошо что компания разработчик этого сайта оказалась более доступной и к их чести в течении 5 минут они закрыли доступ и отписались что «да мол бы косяк, устранили».
                                              0
                                              Отношение это отдельная тема для разговора ;)
                                                +1
                                                Звонил к оператору, сказали, что в отношения между абонентами не вмешиваются, если мне что-то не нравится, я могу поехать в ближайший РОВД и написать заявление. А на счет конфиденциальности переговоров заявили, что это исключено, потому что это невозможно. На мои слова о СОРМ и т.п. предложили подъехать в центр обслуживания и там сделать письменный запрос.
                                              +3
                                              Я женилАсь — это мощно :)
                                                +3
                                                Ой :) А вы оправдываете свой ник! ;)
                                                  0
                                                  Неужели вы первый, кто вспомнил откуда этот ник? )
                                                    0
                                                    Я имею в виду, из Гарри Поттера )
                                                0
                                                Хм, никогда не писал в СМС обращение, и мне не писали
                                                  0
                                                  Если многие сообщение уходили на левые номера, то скорее это было в рандоме или в каком-то порядке.
                                                  Ну очень мала вероятность того что два сообщения от разных людей что пришли к вам были связаны одной беседой.
                                                  Смахивает скорее на развод, кто-то прикалывался из ваших знакомых :)
                                                  Это как «бородатый» прикол со звонками с подобным смыслом чтобы достать «жертву».
                                                    –1
                                                    Обычно мои знакомые спят часа в 2 ночи и не имеют сим-карт из других регионов России. Да и на развод даже намёка не было.
                                                  0
                                                  имхо ответ очевиден, к сожаленю, только для жителей ДС и только для тех, у кого есть ~лишние 500р в месяц.
                                                  давно начал задумываться о подобной схеме… купить себе смартфон в wimax, подключить к нему йоту, поставить на него скайп, после этого получить защищенность линии связи хотя бы с одной стороны( с моей), бесплатность звонков на других юзеров скайпа и более дешевые расценки звонков на городские номера.
                                                  был бы рад выслушать конструктивную критику по поводу такого общения, кроме того, что пока покрытие хреновое и только до мкада.
                                                  п.с. дешевле выходит если брать тарифы, которые предлагают операторы, и услуги операторов, которые снимают с нас деньги и не уведомляют(операторы) нас об этом.
                                                  к слову у меня мтс тариф онлайнер, при этом у меня ~6р минута звонка Стоимость 1 Мбайта GPRS-Интернет — от 2,35 руб. при этом траффик не округляется как на других тарифах.
                                                    0
                                                    Пробовал провернуть подобное в СПб. Ничего путёвого из этого не вышло. Говорить на ходу невозможно совершенно.

                                                    И это СПб, у нас тут сети довольно свободны по сравнению с МСК, где половина станций просто в ноль перегружена.
                                                    +4
                                                    Блин, что за ужимки, недоговорки и аллегории?
                                                    Можно без конкретных людей, раз речь идет об ущербе, но, во-первых, с названиями операторов(народ должен знать своих героев, нет?), и с изложением фактов, проверенных лично вами или людьми, которым вы безоговорочно в данном случае верите.
                                                    Потому что, если(например), речь идет о том, что Чарли — законный супруг Алисы, а в тексте SMS была благодарность за прекрасную ночь, то вся остальная часть истории не стоит выеденного яйца — на месте Дейва вполне может оказаться кто угодно, начиная от супруги Боба и до вымышленных персонажей(если об истории вы знаете, например, от Алисы).
                                                    А так — история из разряда «один знакомый знакомого подруги жены брата моей тещи рассказал».
                                                      +1
                                                      Прочитал. Ничего не понял. В чем суть топика? Как и кто конкретно спиздил прочитал смски? Раньше (более 5 лет назад) у некоторых сотрудников ОСС был доступ к этой информации и это дело можно было купить. На сколько я знаю, в последнее время, это нереально (все существующие «предложение» не более чем развод на деньги). Если же речь о том, что доступ к вашим СМСкам имеет СОРМ, то эм… А вы не знали?
                                                        +2
                                                        Очаровательный постинг-пугалка с информационной ценностью 0 бит:)
                                                          0
                                                          Вы меня успокоили, но что делать человеку, которому приходят смс с комментариями к его личной переписке?
                                                          0
                                                          Александр, хотел бы задать Вам несколько вопросов.

                                                          Почему Вы уверены в том, что сообщения были прочитаны сотрудниками оператора? Описанная Вами ситуация может иметь еще несколько обьяснений. Например, на телефоне стороны Б (принимающей сообщения) было установлено програмное обеспечение «пересылающее» сообщения на некоторый другой номер (сейчас такое ПО можно найти в продаже и установить его на телефон с целью слежения).
                                                          Или, сообщение было прочитано третьей стороной в следствии некоторых недокументированных фич блютуса?
                                                            +1
                                                            Вы меня опередили, как раз хотел рассказать как в 2004-2005 будучи фрилансером несколько раз получал заказы именно на такого рода ПО. Так что тоже склоняюсь к версии, что у Алисы или Боба стоит некое ПО которое снифает СМСки, ну или еще, что более вероятно, кто-то просто имеет физический доступ к их телефонам.
                                                              0
                                                              В большинстве случаев все такого рода обращения абонентов по причине доступа к телефонам с данными 3-х лиц. Сколько я таких обращений еще по работе с колцентра помню…
                                                              сотрудникам оператора заниматься таким не резон. Причины:

                                                              — потеря работы (с далеко не низкой зарплатой)
                                                              — репутация (после такого инцидента больше в телекоме работать на нормальной должности не дадут)
                                                                0
                                                                Если бы все сначала думали, а потом делали то давно бы уже наступил рай на земле, коммунизм или что-то в этом роде.
                                                                  0
                                                                  поверьте мне, те, кто не думают, в операторах не работают :) или долго не работают. Те, кто работает с конф. инфой, думают трижды перед тем, как что-то сделать.
                                                                    0
                                                                    Наверное именно поэтому столько служб разведки, контрразведки и прочих режимов секретности, именно от того, что все, кто работает с «конф. инфой» ответственны и сдержаны, да? ;-)
                                                                      0
                                                                      доверяй, но проверяй.
                                                                      Если Вы будете владельцем конторы с информацией, разглашение которой может принести Вам многомиллиардные убытки, Вы будете старатся ее охранять весьма тщательно. И будете держать у себя несколько служб для этого
                                                              0
                                                              Я не могу утверждать, что это был сотрудник оператора. Я не исключаю наличия spyware на стороне абонента, хотя слабо знаком с технической стороной вопроса (iPhone). Затруднение вызывает вопрос, как это ПО могло быть установлено в телефон без ведома владельца, хотя я мало чему удивляюсь в последнее время. Я могу лишь утверждать о целенаправленной работе по нарушению конфиденциальности личной жизни человека.
                                                                0
                                                                для айфона есть програмы для удаленного мониторинга в скрытом режиме.
                                                                Также, есть баги, которые, теоретически, позволяют такое ПО установить в скрытном режиме (сам не тестировал, смотрел описание такого рода ПО в интернетах)

                                                                скиньте название оператора в личку (насколько я понимаю, Вы в УА), есть у меня кое-какие мысли по поводу энтой ситуации.
                                                              +2
                                                              Господа, раз уж речь зашла об обязанностях и правах оператора…

                                                              Вкратце ситуация: жили-были М. и Ж. В один прекрасный день Ж. перестала реагировать на звонки и смс М. и скрылась в неизвестном направлении. У М. в компании ОСС работает некто, хорошо знакомый с М., но неизвестный Ж. По этой самой дружбе этот некто сливает инфо об смс, контактах адресной книги, географическом положении Ж., чем причиняет уйму морального ущерба (нервотрепки) Ж.

                                                              Вопрос: что можно было сделать в данной ситуации, кроме как выбросить симку данного ОСС и перейти на другого оператора?
                                                                0
                                                                Обратиться с официальным письменным заявлением с указанием всей информации, например, отправив письмо на адрес оператора. были В указанный законом строк Вы бы получили от оператора ответ по Вашему обращению.

                                                                Кстати, контакты с телефона, сотрудник оператора ниоткуда взять не смог бы, это пользовательские данные, которые не передаются телефоном.
                                                                  0
                                                                  Я сам удивлен, но факт остается фактом — М. обзвонил практически все контакты Ж. Другого способа заполучить эти номера у него не было.

                                                                  По поводу заявления. Конкретной-то информации о «соучастнике» нет. Разве был бы толк от «пустого» заявления?
                                                                    +1
                                                                    номер телефона Ж — известен. Этого факта достаточно.
                                                                    Теоретически М.-у могли передать список звонков за некоторый период, но не контакты.
                                                                      0
                                                                      Понял. Насчет «практически всех» контактов я, конечно, погорячился, так что этот вариант наиболее правдоподобен. Спасибо.
                                                                      0
                                                                      Зато есть логи доступа к CRM или БД абонентов. Оператору лишь нужен повод, что бы проводить проверку, ибо операционную деятельность проверять постоянно практически нереально.
                                                                        0
                                                                        Не допускали, что М. заранее озаботился проблемой?
                                                                        например, имя доступ к телефону заказал интернет-кабинет (или как он там) и через интернет все контролировал долгое время?
                                                                        Мог просто слить адресную книгу.
                                                                          0
                                                                          Исключено. Человек несведущь в этом вопросе.
                                                                      0
                                                                      Весьма похожая ситуация, за исключение того, что неизвестный действовал в своих интересах, а не в интересах одной из сторон.
                                                                        0
                                                                        тексты смс, как правило, не сохраняются и не доступны из ЦРМ и БД.
                                                                        Та ситуация была немного попроще (не фигурировал параметр «текст СМС»)
                                                                          +1
                                                                          Тексты SMS как правило сохраняются. Но Вы правы — не доступны из CRM.
                                                                      0
                                                                      Недавно при просмотре "Прослушанного" испытывал странные чувства от сжимающегося сфинкера. Если коротко, то тамошние умельцы прослушивали телефон даже когда тот был включен. Для полной безопасности необходимо было вытащить батарейку.
                                                                        +1
                                                                        Я, конечно, не гуру в области мобильной связи, но, по моим скудным познаниям и следуя здравой логике, прослушать выключенный телефон нереально (за исключением случаев, когда в аппарат было всунуто хардварную прослушку, или софт аппарата был модивицирован и при вроде бы «выключенном» телефоне работал как блютус гарнитура).
                                                                          0
                                                                          Имхо, такое будущее не за горами. Сейчас телефоны уже почти компьютеры. Статистику по троянам думаю приводить не надо, целые выводки мирно поживают на почти каждой машине не слишком продвинутого пользователя.

                                                                          Мой знакомый заразился трояном скачивая электронную книгу, чтобы почитать в поезде. Для рядового пользователя расширения файлов не говорят толком ни о чем, а запуская что-нибудь на телефоне они упорно жмут «ок», пока это не установится. Так что даже дырки искать не надо — небольшого опыта программирования + раскрутки сайта достаточно чтобы заразить далеко не один телефон.

                                                                          Вел себя вирус примитивно — пытался отправить СМС, что было замечено моим зорким взглядом (мы сидели рядом и он сразу как запустил хотел мне показать скачанную книгу). Конечно, многие телефоны выводят запрос при попытке доступа к файловой системе(меня это даже раздражает, т.к. надо давать разрешение на вход в каждую папку или доступ к каждому файлу), но я думаю, обход этой защиты вопрос времени.
                                                                            0
                                                                            Вы немного путаете понятия.
                                                                            Написать джава, симбиан или ВМ програмку, или даже троян (симбиан или ВМ), которые отправляют СМС с преопределенным текстом на определенной номер (и даже подписать ее сертификатом, который не будет спрашивать пользователя разрешения для отправки смс) дело весьма простое и это может сделать даже хакер-недоучка.
                                                                            Я же говорю о модификации прошивки телефона и модификации работы блютус модуля аппарата, которые делают следующее:
                                                                            — при выключении телефона аппарат отключает джсм модуль, питание на основных модулях и экран
                                                                            — при этом блютус переводится в режим гарнитуры и разрешает подключение к себе только девайса с некоторым предопределенным мак адресом

                                                                            Сделать такую модификацию весьма и весьма непросто, поскольку надо быть специальстом сразу в нескольких узких специализациях.
                                                                              +1
                                                                              проще. телефон может включаться по приходу прерывания, например от блютуза, прошивку которого можно патчить на ходу.
                                                                                0
                                                                                А не проще будет сделать вид, что телефон выключен? «Хукнуть» кнопку выключения, потушить экран и ждать звонка с определенного номера?

                                                                                У меня на симбиане стоит программа, которая делает все это по моему желанию — дело только за кнопкой выключения. Если это, конечно, возможно.
                                                                                  0
                                                                                  со звонком проще немного, но «паливнее».
                                                                                  как вы сэмулируете «the subscriber can not receive your call at this moment» для пользователя, который звонит с неавторизированного для прослушки номера? в таком случае у Вас получается только сэмулировать сигнал занято, или отключть вибро и сигнал и убрать ремайндео о пропущенных вызовах.
                                                                                    +1
                                                                                    >как вы сэмулируете «the subscriber can not receive your call at this moment»

                                                                                    Включив переадресацию на номер который вечно недоступен.
                                                                                      0
                                                                                      вы очевидно имели в виду безусловную переадресацию.
                                                                                      Не пройдет, тогда входящий вызов с авторизированного для прослушки номера не пройдет.
                                                                                        0
                                                                                        Нет, очевидно переадресацию «если занят», и сбрасывать звонки (:
                                                                                          0
                                                                                          Переадресация по занятости абонента срабатывает если абонент занят, а если он сбрасывает звонок, значит он сбрасывает звонок и никакой переадресации не будет.
                                                                                            0
                                                                                            ошибаетесь
                                                                              0
                                                                              В текущих реалиях заставить телефон позвонить на какой-то номер совершенно реально (при помощи сигнализации).
                                                                                0
                                                                                И конечно же, микрофон будет при этом работать, передавай все неизвестной стороне.
                                                                                  0
                                                                                  сорри, не понял.
                                                                                  С помощью какой сигнализации?
                                                                                    +1
                                                                                    Программа «слушает» и если есть звуки выше порога — звонит. Есть такие программы. Например «SkyeSpy» для Нокии.
                                                                                      0
                                                                                      я подумал, что здесь термин «сигнализация» использовался как телекомовский и очень удивился.
                                                                                      Спасибо, теперь понятно, что имелось в виду.
                                                                                        0
                                                                                        Я именно телекомовскую сигнализацию (MAP подсистему, например) и имел ввиду. Но для этого злоумышленнику необходим доступ к сети сигнализации оператора.
                                                                                          +1
                                                                                          сигнализация позволяет заставить телефон абонента инициировать исходящий звонок на заданный номер? ИМХО, это сказка.
                                                                                            0
                                                                                            Первый пришедший на ум пример — уязвимости iPhone и Symbian, которые при получении бинарных SMS 50-го класса (вроде бы) начинают рассылать спам через SMS. SMS конечно же использует сигнализацию как транспорт…
                                                                              0
                                                                              ваш рашинский gsm дыряв десять лет en.wikipedia.org/wiki/A5/2

                                                                              самое печальное в том, что шифратор-дешифратор A5 — это хардварная фича мобильных процессоров и никаких апдейтов там не бывает.

                                                                              только полный переход на SIP, да еще с ssl туннелем спасет вашу нечистую совесть
                                                                                0
                                                                                Илья, все в мире «дырявое», для мониторинга сипа есть тоже решения. Некоторые, между прочим, в комплект бектрека 3-го и 4-го входят…
                                                                                  0
                                                                                  для мониторинга сипа, бегущего по туннелю? дайте две, хочу видеть!
                                                                                    0
                                                                                    извините, всего писать не могу :)
                                                                                    давайте упростим и будем говорить о сипе без тоннеля, это реально и для обычных пользователей, верно?
                                                                                      0
                                                                                      неверно. зачем менять древнее дырявое криптованное говно на voip без шифрования вообще?

                                                                                      реально и для обычных пользователей — это gsm в котором голосовй трафик шифруется древними befective by design чиперами, на стороне оператора сливается гебне и шифрование просто отключается оператором или вообще кем попало «когда надо».

                                                                                      и обычным пользователям обычно пофиг, что их слушают.

                                                                                      это параноикам и прячущимся от гебни — end-to-end шифрование, спайпы и туннели будут в самый раз.
                                                                                        0
                                                                                        реальные живие приборы для прослушки A5/2 вы видели?
                                                                                        мне не посчастливилось.
                                                                                        Свои переговоры я не скрываю ни от кого — мне особо скрывать нечего.
                                                                                        а параноики могут использовать массу средств для маскировки и если их переговоры действительно нужно пррослушать серьезным дядям, то разговоры прослушают, как бы не параноились.
                                                                                          0
                                                                                          >реальные живие приборы для прослушки A5/2 вы видели?

                                                                                          приборы не видел и не искал. штука наверное дороговатая и сложная.

                                                                                          а вот самоотключающееся шифрование видел. кого и где ловили или слушали не знаю.

                                                                                          >если их переговоры действительно нужно пррослушать серьезным дядям, то разговоры прослушают, как бы не параноились.

                                                                                          интересно, как же так прослушаются переговоры двух человек по сипу, трафик которого завернут в vpn со стойким шифрованием? тут уже проще взять паяльник и напрямую спросить.

                                                                                          >Свои переговоры я не скрываю ни от кого — мне особо скрывать нечего.

                                                                                          а мне есть чего и по телефону я не говорю почти
                                                                                            0
                                                                                            Насчет паяльника очень верно подмечено. У нас с этим особо не церемонятся, кстати. Для тех кому есть что скрывать, лучше иметь капсулу с цианидом — на всякий случай. У меня от «гэбни» секретов нет именно по этой причине — приходилось видеть как они работают. Я предпочитаю быть честным, чем мертвым.

                                                                                            А прослушать могут и на выезде — при встрече. Так же, как и «купить» вашего собеседника, что зачастую даже проще, чем паяльник. Ведь тот, с кем вы встречаетесь — тоже что-то скрывает. Думаю они всегда смогут предложить ему то, от чего он не сможет отказаться.
                                                                                              0
                                                                                              в шпионов играем?
                                                                                +1
                                                                                Перехват смс не обязательно подразумевает участие сотрудников оператора или СОРМ. Если у злоумышленника есть физический доступ к телефону, то он может снабдить его простой программкой, которая перехватывает смс и выгружает их на удаленный сервер. Подобные программные решения сейчас активно развиваются и доступны для WM, Symbian, Blackberry и Iphone. Вот пример: www.flexispy.com и их русскоязычные «коллеги»: www.007-mobile.ru

                                                                                Что касается защиты разговора, то существуют программные решения для шифрования голосового трафика и смс. Другое дело, что все они формально не могут использоваться на территории РФ, но никто не может Вам запретить купить иностранный софт для защиты личной информации.

                                                                                Если Вы захотите купить аналоги на территории РФ, любой подобный софт должен иметь или лицензии ФСТЭК или ФСБ. А это, в свою очередь, означает, что у " кого надо" будет возможность Вас послушать и почитать.

                                                                                P.S.: В статье упомянуты скремблеры — их можно использовать и даже производить без лицензий, поскольку это никакое не шифрование, а простая аппаратная звуковая нарезка — собираемая всегда по одному простому алгоритму.
                                                                                  0
                                                                                  Скремблеры скремблерам рознь
                                                                                    0
                                                                                    >Если у злоумышленника есть физический доступ к телефону, то он может снабдить его простой программкой, которая перехватывает смс и выгружает их на удаленный сервер
                                                                                    не… не эффективно! если идет подключение к интернету, то это заметно по индикации на экране, если отправляется копия смс, то детализация счета это выявит, детализация даже подключение к интернету может выявить.
                                                                                      0
                                                                                      Ну с какой стороны посмотреть.
                                                                                      Если мы говорим об идеальном прослушивании в вакууме, то да — эффективность стремиться к нулю.
                                                                                      Однако будем честны до конца, сколько людей знает чем отличается GPRS от WAP и что лучше подключать (не смотря на уверения оператора — что WAP рулит). О индикации и детализации говорить даже не приходиться… Воистину, простота хуже воровства…
                                                                                    +2
                                                                                    в последнее время украсть смски становится всё проще, т.к. операторы начинают выводить их в Интернет.

                                                                                    Для примера: МегаФон с сервисом СмсПлюс smsplus.megafonmoscow.ru

                                                                                    Авторизация: банальная пара телефон+пароль.
                                                                                    Достаточно зайти в сервис с компьютера с кейлоггером\вирусом и всё, вся смс переписка у злоумышленника в руках.
                                                                                    И даже не надо никакий софт на телефон жертвы устанавливать. Надо только единожды подключить услугу (списание по рублю в день за услугу вряд ли кто-нибудь заметит).

                                                                                    P.S. Кстати, тут дело уже не просто нарушение тайны переписи — таким способом может обходиться защита всех «продвинутых» интернет-банков…
                                                                                      0
                                                                                      насколько мне известна внутренняя архитектура этой системы, там есть опция не архивировать сообщения с коротких номеров, очень часто ее при интеграции включают, поэтому по поводу банковских OTP особо волноваться не стоит, да и банки уже в курсе этой фичи (по крайней мере несколько из тех, которые one time pass шлют по смс)
                                                                                        0
                                                                                        такой настройки там нет. Там в принципе вообще нет никаких настроек, кроме автоответа на смс, переадресации и подписи.

                                                                                        Если говорить с указанием конкретных названий: Смски с паролями от альфабанка у меня очень даже отображаются в этом сервисе.
                                                                                          0
                                                                                            0
                                                                                            это не у вас должны быть такие настройки, а у оператора на платформе. Значит не отключили архивирование с коротких и альфа номеров.
                                                                                          0
                                                                                          забавно, но это уже другая музыка, т.к. это уже распрастранение вредоностого ПО, а не взлом систем сотовой связи!
                                                                                        • UFO just landed and posted this here
                                                                                            0
                                                                                            Что такое «ОБНВ»?
                                                                                              0
                                                                                              Недавно пришлось стать свидетелем любопытного курьеза — друг обнаружил разбитым свой автомобиль на одном из паркингов в Милане и ничего другого не оставалось, как позвонить в полицию.

                                                                                              Вот он и решил воспользоваться случаем, проверив насколько реальны слухи о том, что от полиции секретов нет, позвонив им с закрытым номером (набрав до номера код #31# который закрывает номер звонящего). Выслушав его, приказали дождаться их приезда. Спустя несколько минут раздался звонок, звонили из патрульной машины, спросили дополнительную информацию о местоположении (дело было загородом).

                                                                                              Я совершенно не удивлюсь, если когда-нибудь узнаю, что у представителей так называемой Власти, была возможность подключаться к определенным телефонным аппаратам и получать их местоположение а то и подслушивать. Не думаю, что для Них представляется сложным изьять партию мобильных аппаратов, внедрить в них что-то типа руткита, и выпустить затем на рынок.

                                                                                              Для чего? Чтобы например знать, чем народ дышит и чтобы зомбировать было еще легче…

                                                                                              Обнаружить такое простому народу будет практически невозможно, а если кто-то что-то и пронюхает, всегда в итоге отмажутся под
                                                                                              Их протекцией, да и вроде приходилось уже читать новости на подобные темы, если кто чего накопает, было бы интересно обсудить это на сами знаете каком Хабре, так уж ли все это случается случайно?
                                                                                                0
                                                                                                Блокирование определения номера — сугубо операторская фича, и, ясное дело, в случае звонка в экстренную службу, сотрудникам последней будет предоставлен сразу номер звонящего (что делается, кстати, в его же интересах: не знаю, как в Милане, а среди жителей России хватает людей, у которых антиопределитель включен для всех исходящих).

                                                                                                А руткиты встраивать в телефон никому не нужно. Куда какой народ ходит можно узнать по логам регистраций на БС, про «подслушивать» же писали выше. Всё уже встроено до нас, если можно так выразиться.
                                                                                                –2
                                                                                                Что-то я сомневаюсь, что из-за как говориться «простого» смертного будут использовать СОРМ в личных целях. Либо это не «простой» смертный, либо… Это если мы конечно о СОРМ…
                                                                                                  0
                                                                                                  Ну вот я простой смертный, тем не менее у меня есть очень сильные подозрения, что по крайней мере один раз против меня такой системой пользовались, причем в сугубо личных целях (никак не связанных с каким-либо расследованием).

                                                                                                  У меня, конечно, нет на это доказательств и, может быть, это просто параноя с моей стороны, но совпадений слишком много, к тому же там был личный конфликт с человеком, который как раз может «иметь доступ».
                                                                                                    0
                                                                                                    :) с таким же успехом можно подозревать:

                                                                                                    1. Девочку оператора, слившую детализацию ваших разговоров
                                                                                                    2. Людей имеющих доступ к коммутатору
                                                                                                    3. Человека получившего доступ к вашему интернет помошнику
                                                                                                    4. «Случайного» прохожего, услышавшего ваш разговор
                                                                                                    5. Вон-того парня с монтировкой, после которого вы резко повстречались с асфальтом и распрощались с телефоном

                                                                                                    :)
                                                                                                  –2
                                                                                                  Мои пять копеек, ежели позволите…
                                                                                                  Во-первых, в статье речь идёт о банальной СМС — куске (весьма небольшом куске) текста. Чтобы этот кусочек заполучить, вовсе необязательно подкупать сотрудников на СОРМе и т.д., равно как и бегать за объектом со всякими вумными железками. Достаточно договориться с кем-то, кто обслуживает сервера ОпСоСа, маршрутизирующие эти самые СМС. С учётом того, какой бардак царит у российских операторов — нет ничего проще.
                                                                                                  Во-вторых, видимо, все эти Бобы, Дэйвы и Алисы забыли об основном правиле супершпиона — всякие конфиденциальные разговоры вести лично с глазу на глаз.
                                                                                                  В-третьих, кто-то в Гугле говорил, что честному человеку нечего скрывать.
                                                                                                  • UFO just landed and posted this here
                                                                                                    0
                                                                                                    1984 уже настал
                                                                                                      +1
                                                                                                      Настал еще в 1984, но мы тогда не заметили.

                                                                                                    Only users with full accounts can post comments. Log in, please.