Oxymoron posledních dní: anonymizace lokačních dat

Autor Zveřejněno dne

Autor: m4iler

Ministerstvo vnitra vydalo zajímavou studii, placenou z fondů EHP a Norska: Využití geolokačních dat mobilních operátorů ve veřejné správě. Rád bych se podíval na jejich zjištění a pokusil se nastínit, proč data poskytnutá Ministerstvu vnitra nemohou být anonymní.

Co si MV koupilo?

Ministerstvo vnitra v rámci veřejné objednávky koupilo data od 3 hlavních provozovatelů mobilní sítě (nejsou jmenováni, ale nejspíš se jedná o Vodafone, O2 a T-Mobile) a začalo si vytvářet mapy chování obyvatel.

V rámci výzkumu bylo zjištěno, že v Praze žije o několik tisíc lidí více, než se předpokládalo. Definice druhého bydlení není nikde přesněji definována, samo ministerstvo pak přiznává, že mají možnost zjistit pohyb mezi obcemi a určit, v které obci má majitel určité SIM karty bydliště.

Kdo data anonymizoval?

Kdyby anonymizaci dělalo samo MV, mohli bychom se bavit o střetu zájmů. V tomto případě však data anonymizovali již samotní poskytovatelé, střetu zájmů se tedy úspěšně vyhnuli. Znovu se MV nezmiňuje o tom, jaké metody byly využity k anonymizaci dat. Pokud MV dostalo pouze informaci v pondělí ráno se 10 tisíc SIM karet přesunulo z města A do města B, bylo by možné data považovat za anonymní. Pokud se však bavíme o konceptu druhého bydliště, můžeme data lehce deanonymizovat jen na základě pohybu mezi obcemi.

Triangulace telefonů

Než se podíváme na vlastní problém deanonymizace, musíme si určit, jak probíhá triangulace lokačních dat. Celý systém spoléhá na více než jednu anténu a dobu vysílání/příjmu mezi telefonem a stanicí (věží). Pokud data letí 100m za sekundu a přenos trvá 0.7s, můžeme určit, že jsme od stanice vzdáleni 70 metrů. To nám dá vzdálenost, ale ne směr, můžeme se nacházet prakticky kdekoli na kružnici 70 metrů od věže.

Dvě stanice jsou lepší, máme průřez dvou kružnic, tedy dva body, kde by telefon mohl být. U tří a více bodů se nám přesnost už zvyšuje. V Praze, kde může telefon najednou komunikovat s mnoha stanicemi najednou, je přesnost určována v metrech nebo centimetrech.

Deanonymizace: nevyhnutelný problém

Přesto MV prohlašuje, že z jejich dat nelze vytáhnout jednoho člověka a informace o něm. To by mohla být pravda ve smyslu jména a příjmení, ale lokační data mohou ve spojení s chytrým využitím otevřených dat (OSINT – Open Source Intelligence) vést od pár míst až ke jménu.

Udejme si příklad. Vidíme SIM kartu, která se pohybuje mezi Kutnou Horou a Prahou každý pracovní den. Ano, to je samo o sobě nicneříkající informace, z Kutné Hory jezdí denně do Prahy stovky, možná tisíce lidí. Ta samá SIM karta však cestuje o víkendech do malé obce poblíž Kolína. V sobotu tam, v neděli domů, občas jen na pár hodin.

Co z těchto dat můžeme usoudit? Cesta v pracovní dny do Prahy znázorňuje, že subjekt nejspíš pracuje v Praze. Pokud máme kompletní lokační údaje, lehce zjistíme, kde. V Praze a jiných velkých městech je hustota antén vyšší, a tím se zvyšuje přesnost. V malé vesnici jsme viděli pouze, že se subjekt vyskytuje v okolí 100m od nejbližší věže. V Praze víme, že pracuje v Holešovicích a na oběd šel o tři ulice dál do restaurace.

Nyní se dostáváme k zajímavé věci: řekněme, že máme přístup ke všem údajům. Žádná jména, jen místa, kde se určitý telefon nacházel v určitou dobu. Naše cesty budou na této mapě patrné, a my víme, kde jsme kdy byli. Je tedy jednoduché deanonymizovat naše vlastní údaje jen pomocí toho, že víme, kde jsme se v kterou dobu nacházeli.

Kdybychom měli pravidelný přístup k těmto datům, můžeme využít i jiné systémy, například kamery, k deanonymizaci dat. Uveďme druhý příklad. Náš subjekt se objevil během cesty Prahou na několika kamerách. Na první je 20 dalších lidí, tento údaj sám nám tedy zúží počet možných subjektů z několika tisíc na dvacet. Na další kameře vidíme už jen 3 stejné osoby. Třetí kamera ukazuje pouze jednoho člověka, který byl na všech třech kamerách zaznamenán. Jeden výskyt je náhoda. Dva výskyty jsou nešťastná náhoda. Tři výskyty už jsou užitečná informace. Máme obličej.

Podobným spojením informací disponuje většinou pouze stát. Policie může například získat obě sady údajů (telefonní záznamy a kamery). V našem případě se musíme spoléhat na únik dat, k telefonním záznamům se zdarma nedostaneme. Řekněme, že máme pouze lokační údaje pro Českou republiku. Můžeme v takové situaci dohledat někoho, s kým jsme se setkali v metru nebo v kavárně? Například zpravodajský zdroj?

Spojení OSINTu a telefonních dat

Řekněme, že jsme se setkali s někým v kavárně. V jednom místě jsme byli zhruba hodinu a naše hledaná osoba odešla směrem k vlakovému nádraží. Pokud se podíváme do lokačních záznamů, zjistíme, že celkem tři osoby přišly a odešly zhruba ve stejnou dobu. Pokud máme 24 hodin dat, lehce zjistíme, kde každý ze tří subjektů bydlí. Nyní stačí navštívit 3 obce a vyhlížet naší hledanou osobu. Pokud je obec daleko, můžeme počkat, až se subjekt znovu objeví v naší kavárně nebo počkáme před jeho pracovištěm. Z osoby v kavárně tak vykouzlíme bydliště, pracoviště, a v případě delšího záznamu dat i rodinu.

Co uděláme s bydlištěm? Pokud se bavíme pouze o OSINTu, můžeme nahlédnout do katastrálních záznamů. Kdo vlastní byt či dům? Pokud hledáme vlastníka bytu, katastr nám prozradí jméno. Pokud se jedná o pronájem, ani tehdy nemusíme strádat: často lidé navštěvují rodinu a známé. Pokud jsem jel jeden den za babičkou, druhý den za rodiči a třetí den jsem byl doma, katastrální mapa nám prozradí, které příjmení se vyskytuje na všech třech bodech a máme jméno v kapse.

Jak se vyhnout tomuto sledování?

Postup ochrany je jednoduchý: nemít telefon.

Nejspíš mi odpovíte, že se bez telefonu neobejdete. V takovém případě musíme uvažovat o tom, která místa chceme chránit, a nebrat telefon jen tam. K tomu mohou posloužit tzv. Faradayovy klece: pouzdra, která blokují veškerou komunikaci zařízení s okolním světem. Pokud chcete přítomnost svého telefonu skrýt před sledováním, stačí ho vložit do pouzdra a jste pro telefonní věže neviditelní.

Jak používat Faradayovu klec?

Uvedu příklad jednoho známého konzultanta v oblasti soukromí jménem Michael Bazzell. Jeho každodenní rutina před návratem domů spočívá v tom, že posledních několik bloků jede bez telefonu. Cestou se zastaví na jedné křižovatce, vloží telefon do Faradayovy klece a jede domů. Jeho dům je od tohoto místa dost daleko, aby nebylo možné hrubou silou zjistit, kde přesně bydlí.

Jak komunikovat doma, pokud máme telefon v pytli?

Doma můžeme využívat jiné způsoby komunikace. Pevná linka, domácí telefon, a podobné. Pokud nechcete mít druhý telefon, můžete využívat VoIP služby například na počítači. Při příchodu domů zapnete VoIP program, a pokud nechcete vyřizovat příchozí hovory, program nezapnete.

Osobně je tento návrh pro mě přehnaně paranoidní, ale kdo ví, má situace se může vždy změnit.

Stačí zapnout mód letadlo/vytáhnout SIM kartu?

Ač bych rád doporučil tuto možnost, i telefon v módu letadlo přijme pohotovostní varování. Stále se hlásí k okolním věžím, modem funguje vesele dál. Telefony jsou vyráběny tak, aby byly vždy dostupné, a to zahrnuje neustálou komunikaci s okolím. Pokud nemáte hardwarový spínač pro vypnutí modemu, módu letadlo bych nevěřil. Další často propagovanou radou je telefon vypnout. V tomto případě znovu musíme věřit zařízení, že není infikováno. Malware na iPhone dokáže předstírat, že je telefon vypnutý, a během tohoto falešného vybití odposlouchávat mikrofony a sledovat Vaši kameru.

Posledním tipem je vytáhnout SIM kartu a pravidelně vyměňovat. I v tomto případě Vás musím zklamat. Každé věži odchází dva údaje: IMSI (číslo odběratele, tedy SIM karty) a číslo IMEI (číslo zařízení, tedy našeho telefonu). Abychom tedy získali novou identitu musíme vyměnit jak SIM kartu, tak telefon. A měnit telefon po jednom použití je složité, protože stále existují záznamy o aktivitě telefonů. Pokud se na 10 minut objeví 10 různých telefonů na jednom místě a o pět minut později všechny zmizí, můžeme si odvodit, že se jedná o stejnou osobu.

Závěrem

Můžeme říci, že skoro každý telefon je možné vystopovat. Jak ukázal výzkum Ministerstva vnitra, jsou tato data jak dostupná, tak cenná. Oficiální popis jejich hodnoty je však pouze částí pravdy. Tyto údaje je možné využít ke sledování jednotlivců i tam, kam kamery nevidí, kontrolovat pohyb osob a v případě nedodržování nařízení dohledat a trestat.

Předpokládám, že jsem byl součástí tohoto průzkumu, a zároveň bych rád podotknul, že do mého pohybu do práce a domů státu nic být nemusí. Zároveň ani poskytovatelé připojení nepotřebují udržovat data o tom, kde se nacházím, po dobu měsíců nebo let.