Carrier IQ je zlata jama za FBI

Mandi

14. dec 2011 ob 11:06:59

Na prelomu meseca je precej odmevala varnostna analiza Trevorja Eckharta, ki si je podrobneje pogledal "diagnostični" program Carrier IQ na svojem HTC mobilnem telefonu. Kot danes vemo, je Carrier IQ prednameščen na ~150 milijonih droidih, robidah (oboje predvsem ameriških modelov) ter iPhonih. Uradno je namenjen mobilnim operaterjem, ki naj bi s prejemom periodične diagnostike in podatkov o uporabi, npr. statistike prekinjenih klicev, porabe baterije, sesutih aplikacij, lahko dosegli boljšo kvaliteto storitve za svoje stranke. Neuradno pa program, kot se izkaže, zbira vse živo -- od klicanih številk in vsebine SMSov, pa do GPS in celičnih koordinat telefona, celo pritiske po tipkovnici (glej video). Vse to brez uporabnikove privolitve ali vedenja, in z razmeroma težavno odstranitvijo. Droide je npr. potrebno rootniti, za iPhone zadostuje klik po nastavitvah.

Prva analiza je bila na voljo že na začetku novembra in niti ni dobila pretirane publicitete zunaj ozkih Droid in varnostnih krogov, a proizvajalec programa se je odločil igrati grdo in je Eckhartu zagrozil s tožbo in znatno odškodnino (ti. shoot the messenger pristop). Ker v hekerjevem delu pravzaprav ni bilo nič spornega, mu je pri mirjenju IQ-jevih kravatarjev pomagala ugledna organizacija Electronic Frontier Foundation. Podjetje se je javno opravičilo, a s tem so zgodbo (in drugi Eckhatov youtube posnetek) pobrali vsi večji mediji. Temu danes popularno pravimo Streissand efekt.

Ko se je prah polegel, se je izkazalo, da gre za resnično sposobni vohunski program (po besedah Googla kar keylogger), vendar pa je zgolj od operaterja odvisno, katere funkcije bo vklopil in katere ne. To bo verjetno vplivalo na pol ducata razrednih tožb, ki so že vložene proti podjetju in jih bo zdaj treba uperiti na operaterje (ki sicer imajo sorazmerno široko imuniteto na tem področju). Škoda je sicer že storjena, ker številni operaterji razmišljajo o opustitvi uporabe, Apple pa jo je že tudi potrdil za vse svoje naprave.

Zanimivo pri tem je, da se ameriški zvezni preiskovalni urad (FBI) ni zganil, čeprav so praviloma zelo občutljivi na vdore v informacijski sistem in še posebej na prisluškovanje. Po drugi strani pa gojijo strašno ljubezen do telekomunikacijskih podatkov kot prvovrstnem viru informacij, najsi gre za prometne podatke, GPS koordinate ali kar vsebino komunikacije. Carrier IQ se specializira za poglobljene analize zbranih podatkov in celo njihovo opazovanje v realnem času, kar je vse zelo zelo zanimivo za zvezne preiskovalce. In slednji so minuli vikend na pritisk posebej zainteresiranega senatorja priznali, da te podatke dejansko uporabljajo za potrebe raziskovanja kaznivih dejanj. Ker je pravna podlaga za to še vprašljiva, je organizacija MuckRock, ki se specializira za pridobivanje informacij javnega značaja, na FBI takoj poslala ZDIJZ zahtevek za pojasnilo. Posebej jih je zanimalo, kako FBI definira notranji postopek za pridobitev teh podatkov. Odgovor že imajo, a je odklonilen: FBI jih informacij ni pripravljen posredovati, ker bi to "lahko vplivalo na odprte in tudi bodoče (?!) zadeve". Viru se očitno niso pripravljeni odpovedati.

Ameriški mobilni operaterji imajo bogato zgodovino plodnega sodelovanja z oblastmi. Veliko stvari se še danes ne ve (ker se zahtevki za informacije zavračajo, kot zgoraj), ampak že leta 2009 je varnostni strokovnjak Christopher Soghoian potrdil, da je operater Sprint različnim pravosodnim organom izročil vsaj 8 milijonov enot GPS podatkov v razdobju dobrega leta, vse brez sodne odredbe, a vsaj z vodenjem evidence o zahtevkih (1x bravo in 1x hura). Kot odgovor na javno ogorčenje je operater kasneje pripravil avtomatiziran sistem za dostop do večje količine podatkov naenkrat, brez vodenja evidenc o posameznih zahtevkih (2x bravo in 0x hura). Odličen vir podatkov so tudi lokacijske baze Google in Appla, ki jih telefon redoma pošilja v centralo in so vsi dosegljivi oblastem, tokrat sicer z nalogom. O dolgem roku hranjenja teh podatkov na telefonu se je razmeroma veliko govorilo spomladi, a to je samo manjši del širšega problema.

Splošna razlaga policije in tožilstva je, da ti podatki ne padejo pod varstvo zasebnosti, zato sodni nalog tudi ni potreben. To s sabo prinese številne ugodnosti. Najprej odpade potreba po koordiniranju s tožilstvom in sodiščem, kar je nekako del organizacijske arogance v pravosodju. Drugič, volumen zahtevkov je bistveno bistveno večji. Tretjič, možno je ti. ribarjenje ("fishing expedition"), ker se preveri sorazmerno veliko podatkov v upanju, da se bo našlo kaj potencialno nezakonitega [1]. Četrtič, preverja se lahko tudi osebe, zoper katere še ni dovolj dokazov, da bi sploh lahko dobili nalog.

Če se s tega lahko kaj naučimo, je to to, da bodo pravosodni organi znova in znova iskali načine, kako bi do zasebnih podatkov prišli, in to vedno. Pri nas sicer imamo retencijsko direktivo, ki za dostop do prometnih podatkov zahteva sodni nalog, ampak to je za policijo samo ultima ratio. Mnogo raje do podatkov prihajajo na podlagi zaprosil na mobilne operaterje, ponudnike interneta oz. storitev informacijske družbe, ti pa jih vzamejo iz svojih notranjih evidenc in izročijo prostovoljno kot del svoje državotvorne dolžnosti. To je povsem standardna praksa za pridobivanje identitete slovenskih uporabnikov interneta. Podateki o imetnikih statičnih IP naslovov se vlečejo iz naročniške pogodbe, predlagana novela ZEKom-a pa bi to razširila še na dinamične IP naslove. To, da gre dobesedno za backdoor glede na retencijsko direktivo (seznam podatkov, dolžina hranjenja, pogoji za dostop, obvestilo prizadete stranke), ministrstva vsaj v tej točki zgleda ne zanima preveč.

[1] Zanimivo bi bilo preveriti, če se je 20.000 skupinic po ~10 ljudi v trenirkah v začetku tega meseca res zbiralo v bližini volišč. V kolikor se to potrdi, je mogoče iz seznama klicev z znatno verjetnostjo ugotoviti njihovo pripadnost specifični narodnostni skupini, ter potem trajanje državljanstva dokončno potrditi z povezavo na register stalnega prebivalstva. Še lažje bo s preverbo dvojice, ki se je zadrževala pred volišči in s telefonom koordinirala operacijo. navodila tukaj.