Відстеження переміщень українців у зв’язку з коронавірусом. Чи це можливо?
За нами стежать наші девайси — хто і як це може використовувати
Нас оточує величезна кількість різних електронних пристроїв.
Функціонал цих пристроїв нам не відомий. У них запихають всілякі можливості, які, на думку виробників цих девайсів, мають спростити і зробити наше життя прекраснішим.
Завжди будь-яким двигуном прогресу стає лінь. Так-так, звичайна людська лінь. Спочатку ми не хочемо вставати і перемикати канали на телевізорі (провідні, потім бездротові, а зараз через застосунок у телефоні) пульти дистанційного керування, автоматичні паркувальні системи в автомобілях. Прикладів дуже багато, сенс один: для досягнення результату потрібно менше рухів тіла. На цьому тлі виникають думки про якусь єдину кнопку з написом: «Зробити добре» (текст на кнопці звучить по-іншому, але сенс приблизно зрозумілий).
Розберемо на прикладі останніх подій деякі придумані ситуації для розуміння можливих наслідків застосування неконтрольованих технологій.
Будь-який пристрій має свій функціонал. Спочатку була ідея, під яку цей пристрій розробляли. До того ж неважливо, цей пристрій апаратний, чи програмний, який встановлюється на наш смартфон: його завдання спростити нам життя і максимально розширити зону комфорту. Добрі наміри, чи не так? За це навіть грошей просять.
Часто, практично завжди, нові продукти вивалюють на ринок без дотримання всіх процедур тестування. Це зрозуміло: є хороша ідея, яку спритні діячі з дипломами MBA купують за безцінь, роблять шум з анонсами виходу мега-супер продукту, і в бажанні випередити конкурентів викидають на ринок. Тут на другий план виходить стабільність, безпека, різні косяки в роботі продукту, тому що на першому гроші. Змінюється ідеологія. Основний критерій не функціонал, а швидкість виходу. Ну і нібито потім допиляємо з черговим оновленням. Знайоме?
Тепер про реалії
На тлі всіх рухів з епідемією короновірусу, що відбуваються, у багатьох країнах зробили кроки у спробі контролю хворих/умовно хворих/здорових громадян.
До того ж абсолютно різними методами. Але основна ідея одна: всі прив’язки робляться до вашого місця розташування і контролю пересувань.
Логічно, що для цього контролю потрібно в режимі реального часу відслідковувати ваше місце розташування. Розберемо цей момент докладніше.
Яким чином це можна зробити?
1. За допомогою оператора, який надає вам доступ до мобільного зв’язку. Тут все просто: у оператора на поверхні планети є інфраструктура веж для створення цього самого зв’язку. Залежно від щільності населення цих веж може бути більше або менше. Відповідно, різні результати в різній місцевості.
Далі. У будь-який момент часу ваш телефон бачить кілька веж оператора з різним рівнем сигналу. І вежі точно так само бачать ваш телефон і теж з різним рівнем сигналу. Згадуємо геометрію, малюємо радіуси, вектори і отримуємо якусь зону на карті, в якій у даний момент часу перебуває ваш пристрій.
Начебто все добре, і як у голлівудських фільмах на мапі з’являється точка. А ось і ні. Це не точка, а досить велика зона, в яку може входити кілька багатоповерхівок, шматок дороги і лісу, річка, озеро і якась автостоянка. Природно, для точного виявлення терміналу існують методи, але вони працюють на максимум десятки телефонів одночасно і потребують дуже дорогої вундервафлі на базі автомобіля і вартістю, як річний бюджет середньостатичного НДІ.
Про масове застосування цієї технології можна забути.
Потрібна точність.
2. За допомогою вбудованого приймача GPS. Так, точність збільшується, коли ви перебуваєте надворі. Але з квартири на карантині супутники не помітні. Стеля вдало екранує. І залізний дах. У деяких випадках помітно деякі супутники з вікна, але вони розташовані майже над горизонтом, тому обробка даних від них не значно поліпшить якість визначення координат.
Є винятки: ви вийшли на балкон покурити, вийшли з собакою на вулицю погуляти або просто збігали по цигарки до кіоску біля будинку. Саме в цей момент ваш пристрій знайде себе на поверхні планети і запише у свою пам’ять дату/час/координати і заспокоїться. Насправді поки нічого не сталося: для вашої зарубки необхідно щось, що передаватиме координати назовні. Якийсь застосунок, який ви встановите самі на свій телефон.
Про це трохи пізніше. Зараз розглядаємо отримання координат самим телефоном.
Перші два способи старовинні, стандартні, і є величезна кількість варіантів змістити ваші координати. Або просто не віддати їх встановленому застосунку, бо те, що бачить оператор зв’язку — дуже неточно.
А тепер про неприємний
3. WіFі. Якщо нас не знищить черговий вірус, нас вб'є WіFі. У прямому сенсі.
Розгляньмо, як за допомогою цієї технології миттєво визначаються наші координати. Нас оточує завжди величезна кількість домашніх/офісних/на заправках/свій варіант точок доступу (АР). Наш пристрій зазвичай бачить їх десятками. І в них унікальна МАС адреса і рівень сигналу. Маючи таку табличку з МАС адресами і рівнем сигналу, система геопозиціонування надсилає ці дані на віддалений сервер і отримує звідти точні координати вашого телефону.
До того ж це все відбувається автоматично. У вас же увімкнені карти у смартфоні? Також неважливо, яким саме провайдером ви користуєтеся: гуглкарти, яндексом, 2gis (список величезний).
Звідки ці провайдери знають точні координати установки АР? А скільки років громадяни користуються навігаторами? Машини їздять, і пішоходи ходять постійно. І передають дані. І вони накопичуються. І використовуються для визначення координат. А самих точок доступу мільярди. І їх не стає менше. Всі ваші пересування вже записані в історії на серверах гугла. І епла.
Звичайно, можна спробувати відключити передачу цих даних, але це знаходиться в таких нетрях, що навіть досвідченому фахівцеві доводиться ламати мозок, як це зробити. Єдиного й універсального рецепту немає. Ми відключаємо, а вже встановлений застосунок у нашому телефоні його вмикає. Наприклад, фейсбук. Або ватсап. Або вайбер. І навіть зробивши повний аудит свого пристрою і витративши на це кілька днів, ви неприємно здивуєтеся, що після оновлення програми/системи/улюбленої іграшки все знову по-тихому запрацює.
Фрази опонентів, на кшталт: «та кому ми потрібні» і «у тебе параноя» залиште для фахівців і експертів, які зараз не ходять у школу. Це все зараз я розповідаю не з метою налякати, а показати реальність, нехай і не найприємнішу. Там ще багато чого є, але це не сьогодні. Ми сьогодні про координати.
4. Bluetooth. За ним дуже складно відстежити координати, але в список вніс його не спроста: це міст між вашим телефоном і всякими фітнес-браслетами, системами в автомобілі (гучний зв’язок/зв'язок з бортовою медіа і навігаційною системою), іншими пристроями, які можуть працювати як автономно, так і в парі з вашим телефоном. І в цих гаджетах, що підключаються через bluetooth, теж є система визначення координат. Своя. Окрема від телефону. Яка розповідає, де зараз/рік тому/вчора перебував цей гаджет. А телефон задоволений: у нього з’являється альтернативне джерело визначення місцезнаходження, він додає ці дані до тих, що у нього вже є і в змінній точки розташування з’являється вища точність. І він готовий віддати ці координати будь-якому застосунку, що запитає. Що вже стоїть у вашому смартфоні. Правда неприємно?
Йдемо далі.
Встановлені програми.
Разом із застосунками до нас у пристрій можна поставити SSL сертифікат. Виключно з метою довіряти віддаленим серверам цих додатків. Поки все нормально. Це якщо сертифікат справжній, виписаний підтверджувальний центр, є у базі. І, увага, виписано винятково на доменне ім'я, яке обслуговує сам застосунок. Тут все чітко.
Тепер розглянемо варіант, коли встановлюється сертифікат, не прив’язаний до конкретного сервісу, а є СА сертифікатом засвідчувального центру. По-простому це можна описати так: коли ми встановлюємо щось, і це щось з'єднується тільки з тим, що потрібно, у нас немає паніки. А коли у нас в системі встановлюється разом із застосунком, який вкрай потрібний зараз суспільству. сертифікат, яким телефон довіряє, і у нього є можливість підписувати не тільки свої віддалені серверИ, але Й будь-які інші, тут вже починається паніка. Чому? Та тому, що можна підставити будь-який інший ресурс/сторінку/сервер, і система ніяк не відреагує.
Наприклад, ви заходите на фейсбук, пишете текст в повідомленні, а якась погана людина з низькою соціальною відповідальністю читатиме ваші повідомлення. І пошту. І бачити отримані елементи з мессенджерам. І відправлені і прийняті голосові повідомлення. Тут вже стає не дуже добре. Цю тему можна розвивати і далі, і за допомогою мінімальних маніпуляцій дістатися і до ваших переписок у месенджерах. І все це з системою визначення координат. Головне — встановити програму.
Тепер уявімо, що застосунки, які нам настійно рекомендуватимуть встановити, писали, м’яко скажемо, бюджетні, ті, хто мало розуміє наслідки, майже за їжу, кодери. Крім вимог замовника в них буде, найімовірніше, купа помилок, які можуть призвести до витоку даних з ваших смартфонів. Якщо ви політик — піде ваше листування, якщо ви підприємець — підуть ваші доступи до рахунків, якщо ви просто параноїк з ідеями глобальної змови — саме час починати панікувати.
У мене зовсім немає довіри до виробів, які презентують нам, як мега-продукт від держави. І це не недовіра до влади, це недовіра до виконавця, який створив такий продукт. Або продукти. Або все разом. Тому що немає нормального тестування. Є випускники з дипломами МВА, яким на все наплювати. І є дедлайни з боку держави зробити все на вчора.
Наслідки
Навіть після видалення програми в системі щось залишиться. І мені чомусь здається, що це буде саме той сертифікат державного засвідчувального центру, який є самопідписним. Або неправильно випущеним, наприклад, не на один сервіс, а на все, що ним буде підписано в майбутньому. Скандальчик про скрипти для установки на сайтах на вимогу кіберполіції пам’ятаєте? Так це буде на значно жорсткіше. А спишуть на швидкість написання програми та «не догледіли» і розкажуть про «надто перебільшену роль безпеки».
Спадають одразу на розум думки про тотальний контроль і обмеження конституційних свобод і прав. Можливо, я не маю рації.
Тепер про реальність
Уявімо собі, що ми використовуємо смартфон без сім-картки. Пункти один і два відразу відпадають. І ми навіть не будемо використовувати пункт 4. Залишиться тільки пункт 3.
І ми використовуємо тільки WіFі. Цього буде достатньо для чіткої засічки наших координат. Але є одне але. Не знаю, як в яблучних пристроях, розповім про андроїд.
Є така функція, як меню розробника. І ось у ньому можна для певних, обраних застосунків задати певну геопозіцію, яка транслюватиме ці координати в застосунок. У цьому місці можна посміхнутися. Не думаю, що нав’язувані нам застосунки матимуть альтернативну систему отримання координат, окрім як з потоку у самому телефоні. Для цього потрібен час і розуміння того, що ти робиш. І час для тестування. А його немає. Є тільки мрії про глобальний контроль каналів зв’язку. За гроші операторів.
Тоді вся затія з додатками, які контролюють переміщення, просто розбивається. Зовсім. Написати маленьку програмку, яка зробить усі ці маніпуляції для дійсно тямущого фахівця — днів зо два. З перервами на каву, сон і покурити. І хтось це обов’язково зробить. І викладе. І всі спроби ввести контроль проваляться.
Це я до чого? Спочатку потрібно думати, що ти робиш, і тільки потім, зваживши всі за і проти, починати процедуру. Не будемо далеко ходити: розпіарений застосунок для виклику поліції. Кнопка сос, чи як воно там називається. Спадає на думку сюжет у стилі блокбастерів: група бандитів збирається пограбувати банк. А в цей момент відбувається якийсь масовий захід з великою кількістю людей. Робиться якийсь пшик з димовою завісою на цьому підприємстві і протягом двох хвилин приходить близько 600 повідомлень з цієї програми з проханням про допомогу. Всі зриваються на це місце, вказане в координатах, а в цей час бандити спокійно виносять з банку всі цінності. Тут є багато варіантів. Але це не сьогодні.
Висновки
• Використання програм у смартфонах для контролю за пересуванням громадян вимагає серйозної підготовки, перевірки «виробів» щодо вразливостей і закладок. Сирий продукт випускати не можна.
• Якщо хтось захоче, він зможе приховати свої реальні координати простим способом.
• Ризик установки разом із застосунком «доважку», що обмежує наші права і свободи. Це набагато серйозніше за вірус.
• Вірте тільки собі. Перевіряйте інформацію і менше патякайте в соціальних мережах і в месенджерах. Батьківщина чує.
