CDR


Предыдущая | Следующая

CDR. Как полиция вычисляет преступников без сложной техники.

Представьте себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник звонит ещё раз. Жертва обращается в полицию, и уже через полчаса там узнают не только настоящий номер звонившего, но и всю историю его перемещений и звонков. И всё это без сложной техники, поддельных базовых станций и перехвата сигнала.

Всевидящее око

Мы регулярно слышим об уязвимостях смартфонов, сетей передачи данных и о безопасности облачных сервисов. Мы настолько привыкли «думать сложно»,
что совсем забываем о существовании гораздо более простых и эффективных методов, доступных полиции разных стран.
Зачастую полиция не будет даже и пытаться что‐то взломать или перехватить, а просто сделает запрос к оператору сотовой связи, и последний
отдаст не только историю звонков, но и массу другой интереснейшей информации. Сотовые операторы хранят данные об абонентах в течение определённого времени.
Эти данные включают в себя определённую информацию о пользователях сети, базу типа Call
detail record. Сюда входит информация о местоположении устройства в каждый момент времени, журнал звонков, включая информацию о другом абоненте, и данные о сессиях выхода в интернет. Что касается SMS, то обычно без предварительной санкции на прослушивание оператор имеет право (и обязан) сохранять лишь метаданные: время отправки, размер
сообщения и адресата. Содержимое самих сообщений (а тем более голосовых звонков) не сохраняется.
Метаданные включают информацию о том, кому звонил и писал сообщения пользователь, о длительности звонков и о том, к каким базовым станциям в какой момент времени подключался телефон (такая информация позволяет достаточно точно установить местоположение устройства). А в некоторых странах операторы не только выдают информацию о местоположении пользователя полиции, но и с удовольствием приторговывают такими данными.
Самое интересное, что операторам сотовой связи доступны (и выдаются полиции, и даже могут продаваться любому желающему) детали об использовании интернета, включая адреса сайтов и объём переданных данных. Это — совершенно отдельная тема для обсуждения; данные собирают, отслеживая
запросы к DNS‐серверам провайдера. Этими данными операторы так же с радостью приторговывают; кормушка настолько привлекательна, что операторы даже пытались
блокировать использование клиентами сторонних DNS‐серверов.
Мобильные операторы в США так же обязаны хранить записи CDR. Кроме того, в Соединенных Штатах спец.службами поддерживается ещё и единая база MAINWAY, записи в которой могут храниться гораздо дольше, чем разрешается по закону самим операторам мобильной связи.
В России же принят так называемый "закон Яровой", который обязывает операторов сотовой связи в течение 3-х лет хранить метаданные. Кроме того, с октября 2018 г. операторы обязаны хранить в течение как минимум 30 суток (но не более шести месяцев) текстовые, голосовые, видео‐ и другие сообщения пользователей. Соответственно, в России любой
звонок должен быть записан оператором и предоставлен полиции по законному требованию.
Правильно оформленный запрос в Apple позволит полиции получить и те данные, которые собирает о пользователе сама компания Apple, а туда входит практически всё, что только возможно "нарыть" на того или иного пользователя.
А если вдруг Apple и не предоставит полиции такие данные, как пароли пользователя, статистика использования устройства, сообщения SMS/iMessage и данные «Здоровья» (история физической активности пользователя, включая число шагов и частоту сердцебиения в заданном временном промежутке, — наиполезнейшая вещь для ловли как преступников, так и неверных супругов), то не беда - уже Google отдаст всё, в том числе и пароли.

Одноразовые телефоны

Преступников, пользующихся своим основным телефоном для звонков с угрозами, вымогательств и прочих уголовно наказуемых деяний, теперь почти не водится; выше мы подробно разобрались почему. Что остаётся преступнику? Одноразовые SIM‐карты (пожалуй, не будем сейчас обсуждать способы, которыми преступники обзаводятся такими картами) и одноразовые (как правило — дешёвые кнопочные) устройства, желательно вовсе лишённые возможности выхода в интернет.
Для того, чтобы получить хоть какие‐то данные о подозреваемом, полиции нужна хотя бы одна зацепка — IMEI вполне достаточно. Но что можно определить по идентификатору устройства, которое включалось всего на несколько минут? Начитавшиеся всяких конспирологических теорий и насмотревшиеся голливудских триллеров и боевиков начинающие преступники трепетно вынимают из телефона аккумулятор, включая устройство, лишь чтобы совершить звонок.
Разумеется, никто из них даже не задумывается о том, что происходит, когда устройство включается и выключается (как штатно, так и аварийно, с извлечением аккумулятора). Тем более мало кто задумывается о том, известно ли оперативным работникам полиции о таком шаблоне.
Уверенный в своей безопасности преступник уходит из дома (если не уходит — с большой вероятностью его местоположение определят сразу же или постфактум, проанализировав логи) и звонит с одноразового телефона.
Где при этом находится его основной телефон? Рассмотрим варианты.

Вариант 1

Начнём с рассмотрения самой типичной ситуации: «подозрительный» звонок совершается с одноразового, «анонимного» телефона, при этом собственный телефон преступник взял с собой. Ничего невероятного в этом нет; достаточно почитать полицейские сводки, что бы понять, что так действует большинство.
Полиция запрашивает у оператора сотовой связи записи CDR за указанный период. В зависимости от страны и действующих в ней законов оператор предоставляет либо сырые данные, либо анонимизированный список устройств (каждый аппаратный идентификатор заменяется на хеш‐функцию). Фактически полиция получает готовый список устройств, подключенных к соте, где было зарегистрировано устройство, с которого был совершён звонок. Предполагается, что среди этих устройств будет присутствовать и собственный
телефон преступника.
К одной и той же соте может быть одновременно подключено несколько тысяч абонентов, поэтому единичный запрос мало что даст полиции. Однако если преступник позвонит жертве ещё раз — неважно, из той же соты или из другой (из другой даже лучше), — полиция получит дополнительные выборки. Далее пересекаются множества устройств, которые были зарегистрированы в той же соте на момент совершения звонка с «анонимного» устройства; как правило, на второй‐третьей выборке остаётся всего несколько десятков, а то и единичные идентификаторы.
Разумеется, на практике всё несколько сложнее. Например, учитывается не только подключение к конкретной вышке, с которой был сделан звонок, но и данные с соседних вышек. Использование этих данных позволяет (и позволяло, кстати, даже 15-20 лет назад) произвести триангуляцию, определив местоположение устройства с точностью от нескольких десятков до нескольких сотен метров. Согласитесь, с такой выборкой работать заметно приятнее.
Впрочем, в больших городах с высокой плотностью населения (анонимные звонки часто совершают в людных местах) круг подозреваемых даже в результате третьей выборки может оказаться слишком широк. В таких случаях (не всегда, но в особо важных делах) в игру вступает анализ «больших данных». Подробно об этом говорилось, например, в 2017 г. на вступительной речи на полицейском конгрессе в Берлине. Аналитик исследует шаблоны
поведения устройств, обозначенных условными идентификаторами. Разговор по телефону, активное потребление трафика, перемещения в пространстве, время регистрации в соте и целый ряд дополнительных параметров позволяют исключить значительную часть устройств, тем самым заметно сократив круг подозреваемых. Вывод: легче всего засечь преступника, у которого при себе есть персональное устройство (личный смартфон) и который при этом перемещается.
Сделал анонимный звонок из одной соты — очерчено множество устройств. Сделал второй звонок из другой соты — и список устройств, следующих тем же маршрутом, сократился на порядок.
Кстати, развенчаем популярный киношный шаблон. Для точного определения местоположения телефона время его нахождения в сети не играет ни малейшей роли: местоположение определяется моментально при регистрации телефона в сети и сохраняется в логах, откуда его можно легко извлечь. Если устройство перемещается, то местоположение можно установить ещё точнее. Заодно пройдёмся по конспирологам: выключенный телефон не сообщает о своём местоположении, даже если не извлекать из него батарейку (ну хорошо, iPhone 11 может сообщать, благодаря чипу U1, да и то не сейчас, а когда‐нибудь в будущем, когда Apple включит эту возможность в прошивке).
Подытожим: преступник включил аппарат, совершил анонимный звонок или отправил SMS, выключил устройство или извлёк батарейку. На следующий день снова включил, позвонил из другой части города, выключил. Список устройств, которые могут принадлежать преступнику, сократился до нескольких штук. Третий звонок позволил окончательно идентифицировать
преступника, можно выезжать и брать "тёпленьким". Всё это — без использования каких‐либо
спец.средств, простой анализ логов по трём включениям.

Вариант 2.

«Кто же ходит на дело с включённым телефоном?» — можете логично поинтересоваться вы. Действительно, предусмотрительный злоумышленник может выключить основной телефон перед тем, как совершить звонок с анонимного устройства. Очень хорошо: теперь полиции достаточно посмотреть список устройств, которые были отключены в момент совершения анонимного звонка. В таком случае хватит и одной итерации. Если же преступник ещё и включит свой основной телефон после анонимного звонка, то за ним можно смело отправлять опер.группу.
Почему так? Дело в том, что при отключении телефон посылает соте сигнал, и это позволяет различить устройства, которые были отключены, от тех, которые покинули соту. При включении, соответственно, создаётся новая запись. Проследить такие активности — дело нескольких кликов.

Вариант 3.

«Да кто вообще берёт с собой на дело собственный телефон?» Как ни странно, берут и носят, причём далеко не только телефоны. Берут телефоны или оставляют дома телефон, но берут умные часы; кстати, это позволяет полиции раскрыть массу преступлений. Большинство «телефонных» преступников — далеко не профессионалы, и знания о том, как функционирует сотовая связь, какие данные собираются и как анализируются, у них в зачаточном состоянии. Человеческий фактор позволяет полиции раскрывать многие преступления простым сопоставлением фактов.
Если же преступник действительно ни разу не возьмёт с собой телефон (практика показывает, что обычно хоть раз, но ошибаются все, даже профессионалы), то вычислить
его может помочь анализ больших данных. Многое здесь будет зависеть от того, сколько времени готов потратить и насколько серьёзные усилия готов приложить злоумышленник для совершения анонимного звонка, а так же от того, сколько будет таких звонков.

Если анонимных устройств много?

А если преступник хитёр и использует не один, а несколько анонимных телефонов, избавляясь от улики каждый раз после звонка? Именно такая практика часто показывается в фильмах. Прочитав вышесказанное, вы, вероятно, уже сообразили, что всё, что выгадывает преступник при использовании нескольких разных устройств, — это несколько лишних секунд анонимности, тех, что предшествуют собственно звонку. Поскольку звонки со всех анонимных устройств будут приобщены к делу, у полиции появляются дополнительные зацепки: источник происхождения «анонимных» SIM‐карт и, возможно, место покупки одноразовых телефонов. Совершался звонок с одного и того же устройства или нескольких разных, не повлияет на ход расследования.

Телефонный терроризм: а если звонок был действительно один?

А что, если звонок был действительно всего один? Для того что бы сообщить о минировании школы или аэропорта, второй звонок и не нужен: телефонному террористу достаточно сделать ровно один звонок, после чего «засветившееся» устройство можно выбросить или уничтожить вместе с SIM‐картой.
Как ни удивительно, и таких преступников часто ловят, используя оперативно‐розыскные мероприятия, отработанные ещё во времена звонков с уличных таксофонов. Если у преступника есть постоянный смартфон, то круг подозреваемых можно резко ограничить, проведя анализ по первому из описанных в статье методов. Таким образом, даже в городе‐миллионнике круг подозреваемых сужается до нескольких сотен (редко — тысяч) абонентов. Если речь идёт о «минировании» школы, то множество «подозрительных» абонентов пересекается со множеством учеников школы. С теми, кто остался, оперативнику будет достаточно просто поговорить.
Помогает в раскрытии телефонного терроризма и то, что такие преступники, как правило, слабо представляют себе возможности и особенности работы оперативников и стараются защититься от придуманных, несуществующих опасностей, совершенно игнорируя очевидное.

А если звонить через VoIP, используя VPN?

Если вам в голову пришла мысль, что действительно анонимный звонок можно совершить через сервис VoIP (желательно бесплатный, чтобы не светить платёжные средс тва), да ещё и через сервис VPN, который не хранит логи, — поздравляем, вы мыслите как самый настоящий бандит.
Разумеется, всегда есть вероятность «проколоться», забыв проконтролировать соединение с сервером VPN или случайно войдя с собствен ными, а не «анонимными» данными для звонков. Что бы такого не произошло, преступные группировки идут на серьёзные траты, заказывая изготовление модифицированных (на программном уровне) телефонов.

Как происходит анализ?

Всё, что нужно полицейским, — это собственно «сырые» данные CDR и софт, при помощи которого их можно загрузить и проанализировать («сырые» данные малопригодны для анализа вручную, но отфильтрованные вполне можно вывести на экран устройства или распечатать).
О популярности такого способа расследования говорит тот факт, что записи CDR поддерживает чуть ли не каждый серьёзный криминалистический пакет (Penlink, HAWK Analytics, GeoTime, CSAS, «Мобильный криминалист» от Oxygen Software, Advanced Cell Tracking и другие). Впрочем, есть и полицейские, успешно использующие в работе связку из Google Maps и Microsoft Excel.
Без сомнения, на вооружении у спец.служб есть спец.техника, позволяющая подавить сотовую связь, подменить базовую станцию или подделать координаты GPS. Вот только полиция не использует большую часть этой техники — по крайней мере, в расследовании рутинных преступлений телефонных террористов и вымогателей. Дорого, суетно, затратно по времени, да и по большому счёту не нужно, а иногда и неэффективно. Анализ логов CDR (Call Detail Record) — гораздо более эффективное вложение времени и сил.

Заключение

Какие выводы можно сделать из этой статьи? Сейчас, когда личный смартфон или хотя бы кнопочный телефон есть практически у каждого, любой человек оставляет свой «цифровой след». След этот содержит заметно больше информации, а добраться до него значительно проще, чем многие осознают.
Для получения всей интересующей информации полиции нужна лишь одна зацепка, которой может стать аппаратный идентификатор личного смартфона преступника, даже если тот ни разу не воспользовался личным устройством в преступных целях. Получение такой зацепки — результат обычного, рутинного анализа логов операторов мобильной связи. Спец.средства не нужны, конспирология не нужна, всё происходит и гораздо проще, и интереснее.
Вместо погонь и стрельбы — кабинетная работа с аналитической программой, простой базой данных или даже с распечатками.