Ryszard Sobczak Politechnika Gdaska, Wydzia Fizyki Technicznej i Matematyki Stosowanej, Zakad Matematyki Dyskretnej

ELEKTRONICZNE LEDZENIE W SYSTEMACH TELEFONII KOMRKOWEJ

STRESZCZENIE
Artyku przypomina przydatno informacji uzyskiwanych w procesie zbierania u operatorw telefonii komrkowej danych retencyjnych oraz omawia rozwizania techniczne umoliwiajce elektroniczne ledzenie w czasie rzeczywistym z zastosowaniem systemw telefonii komrkowej. Omwione rozwizania s rekomendowane przez ETSI. W ostatniej czci ocenia s mechanizmy uwiarygodniania informacji przetwarzanych w ramach elektronicznego ledzenia. Pokazano, e dane elektronicznych ledztw prowadzonych w czasie rzeczywistym w mona uzna za wiarygodne, natomiast tej cechy nie maj dane retencyjne.

Sowa kluczowe: telefonia komrkowa, elektroniczne dowody, elektroniczne ledzenie WSTP Funkcjonowanie systemw telefonii komrkowej znacznie rozszerzyo zakres informacji objtych tajemnic telekomunikacji. O ile do roku 1990 tajemnic telekomunikacji bya objta jedynie tre komunikacji, to stosowanie telefonw komrkowych wymusio poszerzenie listy informacji chronionych o wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujce pooenie geograficzne urzdzenia kocowego uytkownika publicznie dostpnych usug telekomunikacyjnych oraz dane o lokalizacji, ktre oznaczaj dane lokalizacyjne wykraczajce poza dane niezbdne do transmisji komunikatu lub wystawienia rachunku. Dodatkowo prawo chroni rwnie informacje o uytkowniku i dane o prbach uzyskania poczenia midzy okrelonymi zakoczeniami sieci telekomunikacyjnej [1]. Z drugiej strony prawo (kodeks postpowania karnego i tzw. ustawy policyjne) daje moliwo dostpu do tych informacji uprawnionym organom pastwowym. Warto zastanowi si dlaczego te informacje te s tak atrakcyjne, jak s uzyskiwane i kiedy naley je traktowa jako wiarygodne. Pierwsza cze pracy ilustruje jak dane retencyjne mog by wykorzystane do prowadzenia elektronicznego ledztwa. Druga cz pracy przedstawia rozwizania techniczne umoliwiajce uzyskanie informacji chronionych tajemnic telekomunikacji. Prezentacja rozwiza jest oparta o
1

Ryszard Sobczak

standardy ETSI dotyczce legalnego elektronicznego ledzenia w systemach telefonii komrkowej. Ostatnia cz pracy jest ocenia wiarygodno informacji uzyskiwanych w trakcie prowadzenia elektronicznego ledztwa i koczy si propozycj zapewnienia wiarygodnoci tych danych w postpowaniu sdowym, zarwno karnym jak i cywilnym. ELEKTRONICZNE LEDZENIE W tytule pracy oraz w podtytule pojawia si okrelenie elektroniczne ledzenie. Tradycyjne ledzenie (prowadzone w ramach czynnoci operacyjnych) polega na odtworzeniu pooenia osoby w czasie ledzenia, odtworzeniu kontaktw tej osoby z innymi osobami, odtworzeniu wykonywanych czynnoci. Jego cech jest rwnie pasywny charakter (bez doczania do celu dodatkowych elementw uatwiajcych ledzenie) oraz fakt, e cel ledzenia nie wie, e jest ledzony. W tym sensie ledzenie pooenia samochodu przez firm przewozow oraz ledzenie przesyek w firmie prowadzcej dziaalno kuriersk nie jest ledzeniem. Mwic o elektronicznym ledzeniu chcemy uzyska te same, albo bardzo zblione efekty stosujc rodki elektroniczne; w tym przypadku telefon komrkowy. Okrelenie to uwzgldnia szerszy, ni tradycyjne podsuchiwanie, zakres dziaania obejmujcy rwnie zbieranie informacji o celu i jego zmieniajcej si lokalizacji. Mona od razu zada pytanie czy poszukiwane informacje s dostpne w systemach telefonii komrkowej. Odpowied jest jednoznaczna: s dostpne i przez to s to informacje objte tajemnic telekomunikacji. By zilustrowa warto tych informacji zanalizujmy krtki fragment przykadowego zanonimizowanego billingu (tabela 1). Zakres informacji moe wydawa si niezbyt duy. Pooenie jest okrelone z dokadnoci do stacji bazowej. Jeli jednak wiadomo, e: numer X porusza si samochodem i pokona odlego pomidzy stacjami zlokalizowanymi w miastach i odlegymi o 60km (tras o duym nateniu ruchu, wysyajc kilka SMSw) w cigu 42 minut (ok. 90 km/h), 02.mm.rrrr to pitek, a 05.mm.rrrr to poniedziaek i podobn podr mona znale w billingu numeru X co tydzie, rozmowy z miasta B odbyway si tylko z dwch stacji i stacje MiastoB_S1 MiastoB_S2 to ssiednie stacje bazowe, billingi dotyczce innych dni tygodnia wskazuj, e godziny rozpoczynania i koczenia aktywnoci telekomunikacyjnej, to zawsze po 9.00 i nie wczeniej ni 01.00, a z nocn przerw zawsze jest zwizana ta sama stacja bazowa w miecie A,
2 Zeszyty Naukowe AMW

Elektroniczne ledzenie w systemach telefonii komrkowej

to o trybie ycia uytkownika numeru X mona ju co powiedzie i niektre hipotezy o jego tosamoci odrzuci (np. tak, e jest pracownikiem Urzdu Miejskiego, rozpoczyna prac o 7.15 i w weekend jedzi na ryby).
Tabela 1. Przykadowy krtki fragment billingu numeru X IMEI IMEI1_X IMEI1_X .. IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X IMEI2_X .. IMEI1_X IMEI1_X IMEI1_X Do/Od SMS SMS .. Do A Do A SMS Do B Do D Do D Od E .. Do A Od B Do C Pocztek 02.mm.rrrr_10:59 02.mm.rrrr_11:41 .. 03.mm.rrrr_16:58 03.mm.rrrr_17:06 03.mm.rrrr_17:44 03.mm.rrrr_18:20 03.mm.rrrr_18:32 03.mm.rrrr_18:34 03.mm.rrrr_18:37 .. 04.mm.rrrr_23:08 05.mm.rrrr_09:45 Czas 1 1 .. 79 111 1 52 57 1 74 .. 83 58 Stacja MiastoA_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S2 MiastoB_S1 MiastoB_S1 MiastoB_S1 MiastoB_S2 MiastoB_S2 MiastoA_S1

Za osob o takiej aktywnoci w korzystaniu z usug telekomunikacyjnych nie trzeba wysya ledczych. Dokadno zlokalizowania celu wynika z wielkoci komrki, a ta w terenie zabudowanym nie jest ju zbyt dua. Nie mona co prawda poda dokadnego adresu nocowania ani w miecie A ani B (czasami ta dokadno jest wystarczajca), ale koszt wykonania takiego zgrubnego ledzenia nie jest te wysoki i mona je przeprowadzi na podstawie danych, ktre operator musi przechowywa przez okres od 6 miesicy do 5 lat (w zalenoci od kraju). Kolejnym narzdziem prowadzenia elektronicznego ledzenia jest ledzenie w czasie rzeczywistym. ledzenie to poza danymi o lokalizacji celu dostarcza rwnie tre przekazu z realizowanych przez cel usug telekomunikacyjnych. ledzenie w czasie rzeczywistym wymaga jednak rodkw technicznych umoliwiajcych jego realizacj. ELEKTRONICZNE LEDZENIE W CZASIE RZECZYWISTYM Do zapewnienia rodkw elektronicznego ledzenia oprcz operatorw telekomunikacyjnych (ang. network operator) zobowizani s te dostawcy usug (ang. service provider) oraz dostawcy dostpu do sieci (ang. access provider). W
K/.. 2008 3

Ryszard Sobczak

dalszej czci pracy bd oni nazywani dostawcami informacji. W dalszej czci bd nas interesowali jedynie operatorzy telefonii komrkowej. Wymagania na system dostarczania informacji sformuowali odbiorcy tych informacji, czyli uprawnione organy pastwowe. Tryb powstawania tych wymaga i ich krtkie podsumowanie mona znale w pracy [2]. Podstaw przekazywania informacji do jej odbiorcy jest interfejs przekazywania. Schemat blokowy tego interfejsu przedstawia rysunek 1.
Domena odbiorcy LEMF Interfejs przekazywania Funkcje przekazywania informacji zwizanych ze ledzeniem HI1 HI2 HI3

Funkcje administracyjne dostawcy

Funkcje przekazywania treci przekazu Wewntrzny interfejs sieci

IRI CC

Domena dostawcy

Wewntrzne funkcje sieci

Funkcje ledzenia

Rys. 1. Schemat blokowy interfejsu przekazywania

Port HI1 interfejsu jest przeznaczony do przekazywania rnorodnych informacji o charakterze administracyjnym, w szczeglnoci polecenia ledzenia. Polecenie ledzenia zawiera: tosamo i identyfikator celu, uzgodniony identyfikator ledzenia (LIID1) okres ledzenia adres urzdzenia odbierajcego tre przekazu (adres LEMF CC2) i adres urzdzenia odbierajcego informacje zwizane ze ledzeniem (adres LEMF IRI3), wartoci do uwierzytelniania LEMF, identyfikator dostawcy.

1 2

LIID Lawful Interception ID LEMF CC Law Enforcement Monitoring Facility for Content of Communication 3 LEMF IRI Law Enforcement Monitoring Facility for Interception Related Information

Zeszyty Naukowe AMW

Elektroniczne ledzenie w systemach telefonii komrkowej

Funkcje administracyjne dostawcy powinny umoliwi obsug wielu odbiorcw informacji oraz ledzenie jednego celu przez wielu odbiorcw. Port HI2 interfejsu suy do przesyania informacji zwizanych ze ledzeniem, natomiast port HI3 interfejsu suy do przesyania treci przekazu. Sposb stosowania tych portw jest zaleny od techniki telekomunikacyjnej stosowanej u dostawcy informacji. Aneksy A oraz F dokumentu standardu ETSI ES 201 671 [3] definiuj zasady funkcjonowania poszczeglnych portw interfejsu przekazywania dla systemw telefonii komrkowej. Port HI2 przekazuje rekordy IRI zawierajce informacje: identyfikujce abonentw, o typie i charakterystykach stosowanej usugi telekomunikacyjnej, o sposobie jej realizacji. Zawiera ponadto informacje o omiu typach zdarze: rozpoczcie poczenia (wywoaniu), odpowied na wywoanie, przeczenie poczenia, zakoczenie poczenia, zmiana lokalizacji abonenta, pojawienie si dodatkowych danych od abonenta (np. z klawiatury), zastosowaniu usugach uzupeniajcych, wysaniu i treci SMS-a. Ostatnie zdarzenie oznacza, e tre SMS-w jest przesyana za pomoc interfejsu HI2, a nie HI3 (przeznaczonego do przekazywania treci przekazu). Informacje przesyane przez interfejs HI2 musz by z oczywistych powodw kodowane z zastosowaniem notacji ASN.1 [4] i regu kodowania informacji BER. Budow interfejsu HI3 ilustruje kolejny rysunek. Rysunek ilustruje te sposb realizacji zadania przekazania treci poczenia gosowego. Dla usug wykorzystujcych GPRS i inne techniki przeznaczone do tego samego celu dokumenty ETSI przewiduj dwie metody przekazywania informacji: kopiowanie, opakowywanie i przesyanie z zastosowaniem usug UDP i TCP oraz buforowanie i zastosowanie usugi FTP. W pierwszej metodzie odbierane pakiety (UDP/TCP) s opakowywane w ramki TCP/IP z nagwkiem skorelowanym z poczeniem i informacjami przekazywanymi przez interfejs HI2. Zalecane jest stosowanie protokou IPSec. Drugi rodzaj realizacji przechwytywania nie zapewnia przechwytywania przesyanych informacji w czasie rzeczywistym.

K/.. 2008

Ryszard Sobczak
Domena odbiorcy Interfejs przekazywania LEMF

HI3 Funkcje przekazywania treci przekazu Wewntrzny interfejs sieci

Domena dostawcy Wewntrzne funkcje sieci

CC

Funkcje ledzenia

AbA

AbB

Rys. 2. Interfejs HI3 w usugach poczeniowych

WIARYGODNO WYNIKW ELEKTRONICZNEGO LEDZENIA W przypadku ledzenia realizowanego w czasie rzeczywistym wiarygodno dostawcy informacji i jej odbiorcy powinna jest by realizowana z zastosowaniem metod zalecanych przez ETSI, a ETSI zaleca stosowanie rozwiza proponowanych przez ISO [5]. Dokument ISO 9897-2 opisuje najprostszy protok uwierzytelniania, czyli uwierzytelnianie uczestnikw komunikacji z zastosowaniem symetrycznych algorytmw kryptograficznych. Poza dokumentami ISO ich omwienie mona znale w [6]. Istota rozwizania polega na zastosowania wsplnego, wczeniej uzgodnionego, klucza KAB. Protok wzajemnego uwierzytelniania ilustruje rysunek 3.
A B

RB EKAB(RA, RB, B) EKAB(RA, RB)

Rys. 3. Protok wzajemnego uwierzytelniania zgodny z ISO 9897-2 6 Zeszyty Naukowe AMW

Elektroniczne ledzenie w systemach telefonii komrkowej

Na rysunku 3 wartoci RA, RB to liczby losowe wygenerowane odpowiednio przez stron A i B, a E() to zastosowany symetryczny algorytm szyfrowania. Protokoy uwierzytelniania zaprezentowane w standardach ISO s wystarczajce w komunikacji midzy operatorem telekomunikacyjnym, a uprawnion organizacj, gdy obie strony maj moliwo wczeniejszego uzgadniania klucza do uwierzytelniania i mog to uczyni poza systemem przekazywania informacji. Dalej trzeba mie zaufanie do uprawnionej organizacji, e uzyskane informacje nie zostan zmodyfikowane (czynimy tak przecie w przypadku dowodw tradycyjnych). Problem wiarygodnoci danych nabiera szczeglnego znaczenia w sytuacji, gdy liczba dostawcw oraz odbiorcw informacji z prowadzonych ledztw ronie, Z jednej strony nowi operatorzy (przykadowo wirtualni), a z drugiej strony Centralne Biuro Antykorupcyjne, czy kolejne suby ubiegajce si o podobne uprawnienia. Znacznie gorzej wyglda wiarygodno informacji zwizanych z poczeniami ju zrealizowanymi. Retencja danych funkcjonuje dziki stosunkowo wieym zapisom w prawie telekomunikacyjnym. Niestety prawo telekomunikacyjne nie podejmuje wtku wiarygodnoci danych, ktre z natury rzeczy s przechowywane w postaci elektronicznej. W praktyce sdowej nie funkcjonuje praktyka oceny wiarygodnoci przedstawionych danych retencyjnych. Operator telekomunikacyjny jest traktowany jak wiarygodne rdo danych. A jak oceni wiarygodno wydruku dostarczonego przez operatora w sprawie karnej, w ktrej operator jest stron postpowania, a wydruk zawiera dopisane uwagi pracownika operatora? Operator jest zainteresowany wygraniem sprawy, skazaniem winnych i zaksigowaniem strat o ile nie jest moliwe ich odzyskanie. Bez wyroku skazujcego bardzo trudno wyjani starty wynikajce z niefrasobliwoci zarzdu operatora. Dane retencyjne, w ich obecnej postaci, nie mog by traktowane jak wiarygodne rdo informacji. Niestety nie ma na tyle precyzyjnej definicji dowodu elektronicznego by mona byo wymieni cechy, ktre musz posiada dane retencyjne by mogy by potraktowane jako elektroniczny dowd [7]. Proponuj zatem zastosowanie podpisu elektronicznego do podpisywania wszystkich plikw zawierajcych tego typu dane i podpisywanie ich w momencie ich powstawania (przez notariusza, albo przedstawiciela uprawnionego organu). To jest najprostsza rkojmia ich wiarygodnoci. Tabelka utworzona w arkuszu kalkulacyjnym, jak byo wida, moe by bardzo interesujca, ale nie moe by dowodem w postpowaniu sdowym. Caa dyskusja o okresie przechowywania danych retencyjnych moe by bezcelowa, jeli bdzie mona w prosty sposb zakwestionowa wiarygodno tych danych.

K/.. 2008

Ryszard Sobczak

WNIOSKI Powszechne funkcjonowanie systemw telefonii komrkowej stworzyo moliwoci wykorzystania jej jako narzdzia elektronicznego ledzenia. Jednak sposb jego stosowania musi by w peni przystosowany do wymaga efektywnego prowadzenia postpowania sdowego, a warunki narzucane przez postpowanie sdowe nie s w peni przestrzegane. Mona dugo dyskutowa o okresie retencji danych, ale przede wszystkim musz mie one warto procesow. BIBLIOGRAFIA [1] [2] [3] [4] [5] [6] [7] Ustawa z 16.07.2004 Prawo telekomunikacyjne Dziennik Ustaw z 2007 nr 82 poz. 556 Sobczak R., Podsuch w dokumentach ETSI, Materiay VI Krajowej Konferencji Technologie Informacyjne, Gdask, 2008 (w druku). ES 201 671: Lawful Interception (LI); Handover interface for the lawful interception of telecommunications traffic ,v.3.1.1, ETSI, maj 2007 TR 102 503: ASN.1 Object Identifiers In Lawful Interception Specifications, 11/2007 ISO 9798: Information technology - Entity authentication, part 1 - 5, 19952000 Menezes A.J., van Oorschot P., C., Vanstone S., A.: Kryptografia stosowana, rozdz. 10: Identyfikacja i uwierzytelnianie podmiotu, Warszawa: Wydawnictwa Naukowo-Techniczne, 2005. Lach A.: Dowody elektroniczne w procesie karnym, Toru: TNOiK, 2004 ABSTRACT
This paper recalls usefulness of data retention and lawful interception using cellular networks. It presents how interception interface (recommended by ETSI) is used in lawful interception in this type of networks. The interception interface provides also features to manage security of communication between network operator and lawful agencies. At the end points at the important weakness of data retention: lack of credibility.

Recenzent

Zeszyty Naukowe AMW