(Не)уязвимый Starlink
Роль Starlink стала особенно заметной после начала боевых действий на Украине. Терминалы активно использовались украинскими военными для организации связи, передачи разведданных и управления беспилотниками. О применении Starlink ВСУ неоднократно сообщали как западные СМИ, так и представители компании SpaceX. Кроме того, Starlink в качестве резервной связи использует армия Израиля (ЦАХАЛ). Известно, что и американские военные (как минимум во время учений) тестировали сервис компании SpaceX. Также спутниковые терминалы Starlink применялись различными вооруженными формированиями и гуманитарными организациями в районах конфликтов на Ближнем Востоке и в Африке.
Кроме доступа к интернету почти из любой точки мира, у Starlink есть и другое преимущество: долгое время эта связь считалась практически идеальной с точки зрения защиты от разведки по сравнению с классической спутниковой связью.
Классическая спутниковая связь предполагает обмен данными между абонентским устройством и космическим аппаратом на орбите Земли посредством наземных узлов связи — шлюзов. Шлюзы зачастую находятся в одной юрисдикции с объектом слежки. Если разведке нужны данные из этого шлюза, она просто их берет, поскольку разведку обычно осуществляют спецслужбы с почти неограниченными полномочиями.
Starlink фактически разрушила эту парадигму. У SpaceX более 8 тыс. спутников связи и, по открытым оценкам, сотни наземных станций и шлюзов по всему миру. Из-за этого, как пишет аналитический онлайн-журнал The Cradle, ссылаясь на большое расследование израильской газеты Haaretz, складывается ситуация, когда абонент, за которым нужно следить, прогоняет трафик через шлюз страны, в которой физически не присутствует. Таким образом спецслужба страны, которая следит за абонентом, не может вклиниться в трафик шлюза для сбора разведданных, ведь вмешательство в работу узла связи даже дружественной страны дороже, сложнее и дольше.
С момента появления Starlink частные компании, работающие в интересах спецслужб, решали эту проблему. Одно из решений, по данным The Cradle, было представлено недавно на закрытой презентации в Вене для представителей государственных структур и потенциальных покупателей. Его показала израильская компания TargetTeam.
Она продемонстрировала работу системы Stargetz, которая позволяет идентифицировать абонента Starlink и следить за его перемещениями без перехвата трафика шлюзов, посредством анализа цифровых следов.
«Мы присутствуем при окончательном демонтаже старой парадигмы разведки, где главной целью был перехват сигнала. Сейчас мы перешли в эпоху, когда охота ведется не за содержимым сообщения, а за контекстом: кто, где, с какого устройства, в какое время и рядом с кем вышел в сеть», — так «Газете.Ru» прокомментировал появление Stargetz председатель совета по противодействию технологическим правонарушениям Координационного совета негосударственной сферы безопасности России (КС НСБ РФ) Игорь Бедеров.
ADINT на всех
В основе системы Stargetz лежит ADINT (Advertising Intelligence). ADINT — это метод сбора и анализа данных о поведенческих привычках человека, которые генерируются смартфонами для рекламодателей. Хотя эта информация аккумулируется в обезличенном виде, продолжительный и глубокий ее анализ все же позволяет идентифицировать человека: возраст, пол, где живет, где работает, кем работает, есть ли партнер, сколько их, какая машина и т.д. ADINT направлен на идентификацию и слежку за людьми посредством проведения связей между этими фрагментами обезличенных данных.
Источником информации для ADINT, то есть сырьем, из которого выводится личность пользователя, являются рекламные идентификаторы смартфонов — IDFA в устройствах Apple и AAID в Android.
Они используются рекламщиками для отслеживания активности пользователей между различными приложениями.
Каждый раз, когда человек открывает приложение с рекламным модулем, на рекламные биржи (платформы, где рекламодатели выбирают и покупают аудиторию) могут передаваться: рекламный идентификатор и привязанные к нему координаты устройства, сведения о модели телефона, интересы пользователя и т.д.
Далее начинается корреляция данных. Если смартфон регулярно появляется рядом с определенным терминалом Starlink, а затем появляется в других местах уже через мобильную сеть, система связывает оба события между собой. В результате строится полный профиль пользователя.
По данным The Cradle, во время демонстрации Stargetz в Вене один из объектов наблюдения — пользователь Starlink — был идентифицирован менее чем за «время одной демонстрационной сессии» (точный тайминг в статье не указывается). По мнению Бедерова, вероятность того, что Stargetz уже используются на практике, крайне высока:
«Демонстрация в Вене — это не лабораторный прототип, а зрелая презентация для потенциальных покупателей. Не вижу ни одной причины, по которой инструмент с такой эффективностью мог бы пылиться на полке».
По словам Бедерова, есть три аргумента в пользу предположения о том, что ADINT уже используется спецслужбами на практике. Первый — регуляторный. Минобороны Израиля, по словам эксперта, через Агентство по контролю оборонного экспорта Израиля (DECA) уже классифицирует похожие инструменты как продукты двойного назначения и контролирует их экспорт. Это означает, что технология прошла государственную экспертизу и признана имеющей военно-прикладную ценность. Второй — экономический. Компании уровня TargetTeam не разрабатывают сложнейшие системы сбора и корреляции данных ради разовой презентации. Это бизнес с конкретными заказчиками. Третий — логика израильской кибериндустрии.
«Там исключительно короткий путь от «мы умеем это делать» до «мы уже применяем это в оперативных целях», — пояснил эксперт.
ADINT и Starlink как угроза для России
На первый взгляд Россия выглядит относительно защищенной от угрозы, описанной в расследовании вокруг системы Stargetz. Причина проста: Starlink в стране официально не работает. Компания SpaceX никогда не получала российских лицензий на оказание услуг связи. Кроме того, использование зарубежных спутниковых систем на территории РФ регулируется рядом нормативных актов.
В результате официально приобрести и использовать терминалы Starlink в России невозможно. Отсутствие легального доступа автоматически исключает массовое использование системы российскими военными. Вместо Starlink российские вооруженные силы используют комбинацию различных систем связи: спутниковую систему «Благовест», каналы через спутники серии «Меридиан», закрытые линии радиосвязи и т.д. Разумеется, детали многих систем засекречены.
Снижает ли это угрозу ADINT для россиян и ВС РФ? Да, снижает.
«Если нет легального терминала спутниковой связи, который работает через американскую инфраструктуру, нет и той самой корреляции IP-адреса и рекламного идентификатора, которую демонстрировал Stargetz», — сказал Бедеров.
Однако ключевое слово здесь — «снижает». Потому что ADINT работает не только через Starlink, но и с обычной мобильной связью. Если есть любой интернет, данные, закрепленные за IDFA и AAID, отправятся на рекламные биржи. И угроза использования этой методики против граждан РФ и даже военных, которые пользуются личными смартфонами в зоне боевых действий, сохраняется.
«ADINT работает везде, где есть смартфон и мобильный интернет. Брокеры данных собирают телеметрию с приложений независимо от того, через чью точку доступа выходит в сеть конкретный телефон.
Противник и без Starlink может купить на бирже данных срез перемещений устройств в интересующем квадрате, например, в районе определенного военного объекта или линии боевого соприкосновения.
Starlink в этой схеме выступает лишь одним из способов привязки цифрового следа к конкретному объекту», — сказал эксперт.
Можно ли защититься от ADINT вообще? Скорее всего, нет, если учитывать, что IDFA и AAID существуют более 10 лет и столько же некоторые люди пользуются смартфонами.
«Если вы пользовались обычным смартфоном с набором популярных приложений в течение нескольких лет, ваша цифровая тень уже настолько жирна и устойчива, что отмыть ее до состояния невидимости, скорее всего, невозможно», — сказал Бедеров.
Полностью исчезнуть из поля зрения цифровой экономики практически невозможно. Но можно существенно уменьшить объем собираемых данных:
— ограничивать доступ приложений к геолокации;
— регулярно сбрасывать рекламные идентификаторы в настройках;
— удалять ненужные приложения;
— использовать отдельные устройства для выполнения задач, требующих конфиденциальности;
— контролировать разрешения приложений.
Для военных и сотрудников критической инфраструктуры требования значительно жестче. Здесь речь идет уже не о приватности, а о безопасности объектов и личного состава.
«Для бойца на передовой или сотрудника чувствительного объекта забрать с собой личный телефон — значит, гарантированно высветить точку дислокации гражданского рекламного идентификатора в боевых порядках. Это уже не сбор данных, а прямое целеуказание. Поэтому защита здесь строится не на техническом взломе системы, а на изменении поведения. Это предполагает разделение устройств, строгий запрет на личные гаджеты в зонах выполнения задач, использование чистых, лишенных рекламного «выхлопа» платформ, импортозамещение, наконец», — добавил Бедеров.
Неравный бой
Проблема ADINT постепенно выходит за рамки дискуссий специалистов по информационной безопасности. Сегодня она начинает рассматриваться как вопрос национальной безопасности. Одним из наиболее ярких критиков индустрии коммерческой слежки является американский сенатор от Демократической партии Рон Вайден. Как отметил в беседе с «Газетой.Ru» независимый исследователь истории информационной безопасности и международных отношений в этой сфере, автор Telegram-канала «Кибервойна» Олег Шакиров, недавно в ответ на его запрос Центральное командование Вооруженных сил США сообщило, что противники пользуются коммерческими геоданными для слежки за американскими военнослужащими на театре военных действий и даже для целенаведения.
«Прежде Вайден призывал американские спецслужбы не покупать через посредников коммерческие данных об американцах. Вместе с коллегами ругал Apple и Google за создание специальных идентификаторов для рекламы, которые тоже упрощают коммерческую слежку и перепродажу данных. Если спросить Вайдена, то он, скорее всего, согласится, что это угроза национальной безопасности. Но на уровне государства такого признания нет. Однако важно, что фактически американские военные признали существование проблемы», — отметил Шакиров.
В Европе главным инструментом считается GDPR (General Data Protection Regulation) — это регламент по защите персональных данных, действующий на территории ЕС. Хотя этот регламент создавался не для борьбы с разведкой, он все же ограничивает бесконтрольный сбор данных и требует информированного согласия пользователей. Впрочем, эффективность этих мер остается предметом споров. Рекламный рынок продолжает существовать, а данные продолжают циркулировать между многочисленными посредниками.
«Сейчас сбор и продажа пользовательских данных — это, по сути, основа модели, по которой работает значительная часть интернет-экономики. Возможностями этой коммерческой слежки могут пользоваться и злоумышленники, будь то преступники или спецслужбы. Запретить это им не получается, но как менять всю систему — непонятно», — сказал Шакиров.
Бедеров считает, что единственный способ ограничения ADINT как инструмента разведки — это «оздоровление» операционных систем для смартфонов на законодательном уровне. Он выделил две ключевые составляющие ОС, которые следовало бы ограничить в первую очередь.
Первая — бесконтрольный фоновый доступ к геолокации. Система должна не просто спрашивать разрешения, а технически блокировать передачу точных координат рекламным библиотекам, когда приложение свернуто. Вторая — сквозной рекламный идентификатор. Маркетинговая индустрия, по словам эксперта, годами убеждала, что IDFA или AAID нужен для «релевантной рекламы». По его словам, пора признать, что это готовый серийный номер для слежки, и законодательно обязать платформы сделать его сброс не просто опцией в настройках, а автоматическим и регулярным, как смена ключей шифрования. Наконец, также важно привести в порядок инструменты разработки рекламных модулей, провести их аудит и ограничить бесконтрольный сбор телеметрии устройств и ее передачу на внешние серверы.
«Без этого мы будем и дальше играть по правилам рынка, где главный товар — наши личные данные, а цена — наша безопасность», — заключил эксперт.