Wjeżdżając do Gdańska lepiej wyłącz WiFi i Bluetootha

dodał 9 września 2015 o 11:54 w kategorii Prywatność  z tagami:
Wjeżdżając do Gdańska lepiej wyłącz WiFi i Bluetootha

Gdańsk rozbudowuje system sterowania ruchem samochodowym o sprzęt, który będzie rejestrował sygnały WiFi i Bluetooth urządzeń znajdujących się w jego okolicy. Przyglądamy się temu rozwiązaniu i oceniamy jego wpływ na prywatność użytkowników.

Jak informuje serwis trojmiasto.pl w kilku miejscach miasta pojawią się wkrótce urządzenia rejestrujące bezprzewodowe sygnały telefonów komórkowych lub nawigacji GPS w celu obliczenia czasu przejazdu na określonym odcinku drogi.

Citysolver w akcji

System monitorowania sygnałów bezprzewodowych jest częścią wdrażanego od kilku lat większego programu zarządzania ruchem w trójmiejskiej aglomeracji. TRISTAR, Zintegrowany System Zarządzania Ruchem w Trójmieście, miał za zadanie skrócić czasy przejazdu o około 5% co wiąże się z wymiernymi korzyściami dla mieszkańców. Ważnymi elementami całego projektu są produkty hiszpańskiej firmy Bitcarrier, specjalizującej się w tworzeniu systemów monitorowania ruchu miejskiego (Citysolver) i międzymiastowego (Roadsolver).

Bitcarrier już od ładnych kilku lat pomaga monitorować przepływ ruchu samochodowego na autostradach i małych miejskich uliczkach. Oprócz ciekawych sensorów identyfikujących samochody dostarcza także odpowiednie oprogramowanie analityczne, które zbiera dane i pomaga wyciągać właściwe wnioski osobom zarządzającym ruchem. Nas najbardziej ciekawi jednak działanie sensorów tej firmy.

Permanentna inwigilacja

Bitcarrier chwali się innowacyjnością swoich sensorów. Zasada ich działania jest prosta – monitorują one okolicę pod kątem obecności urządzeń z włączonymi nadajnikami lub odbiornikami Bluetooth oraz WiFi. Niestety dostępne opisy technologii są dość skąpe jeśli chodzi o szczegóły techniczne a firma do tej pory nie odpowiedziała na nasze dodatkowe pytania. Spróbowaliśmy zatem zebrać to, co już wiemy.

Jak wspomnieliśmy, sensory wykrywają obecność dwóch protokołów łączności. W przypadku sygnałów WiFi wydaje się nam, że zadanie jest dość proste. Większość telefonów posiadających funkcję WiFi domyślnie regularnie skanuje otoczenie w celu wykrycia w nim obecności sieci zapamiętanych lub takich, których jeszcze nie zna. Sygnały te (probe request) zawierają informację o unikatowym adresie MAC urządzenia oraz mogą także zawierać informację o identyfikatorze poszukiwanej sieci (SSID).

W przypadku sygnału Bluetooth istnieje kilka opcji monitoringu i nie wiemy niestety, która została wybrana przez twórców systemu. Jeśli spojrzymy na najprostszy wariant, to wymaga on aktywnego wysyłania pakietów przez sensor na wszystkich dostępnych kanałach i oczekiwania na zgłoszenia urządzeń znajdujących się w zasięgu. Istnieją także inne metody, lecz najczęściej wymagają one by śledzone urządzenie prowadziło aktywną transmisję w momencie próby wykrycia. Bez względu na zastosowana metodę urządzenia Bluetooth również mogą być unikatowo zidentyfikowane przez swój adres (BD_ADDR).

Według producenta jego sensor jest w stanie zbierać dane z 8 pasów autostrady naraz a zakres rejestrowanych prędkości pojazdów wynosi od 3 do 180 km/h. Zasięg roboczy urządzenia ma wynosić ok. 50 metrów a dokładność pomiaru czasu podróży między dwoma sensorami 95%.

Dane anonimizują, ale co to zmienia

Dokumentacja dostawcy opisuje ogólne założenia mechanizmów mających zapewnić prywatność użytkowników.

Opis architektury

Opis architektury

Anonimowy ślad cyfrowy (podejrzewamy, że tak określany jest adres MAC lub BD_ADDR) jest przekształcany poprzez nieokreśloną funkcję skrótu a następnie poprzez sieć GSM transmitowany do centralnego serwera. Według producenta funkcja skrótu uniemożliwia odtworzenie identyfikatora.

Niestety nie wiemy, jakiej funkcji skrótu używa system, ale zakładając, że dwukrotne pojawienie się tego samego urządzenia w zasięgu pracy sensora musi dać dwa te same wyniki funkcji skrótu (inaczej system nie mógłby mierzyć prędkości) możemy również założyć, że funkcja skrótu nie zapewnia prywatności. Zarówno adresy MAC jak i BD_ADDR mają dość niewielką entropię (niewiele znaków, ograniczony zakres znaków plus zdefiniowana grupa prefiksów) zatem można przyjąć, że o ile producent sensorów nie stosuje wyrafinowanych mechanizmów bezpieczeństwa, to „odwrócenie” funkcji skrótu nie powinno stanowić dużego wyzwania. Dodatkowo nawet jeśli użyta funkcja skrótu wymaga dużych zasobów obliczeniowych, dalej mamy do czynienia z ryzykiem, w którym atakujący może dysponować danymi wejściowymi, przepuścić je przez funkcję i porównać wynik z zapisanym w bazie danych.

Niestety nigdzie nie natrafiliśmy także na informacje o tym, co dzieje się z danymi już przesłanymi do bazy danych. Nie otrzymaliśmy do tej pory odpowiedzi na pytanie, jaki jest okres retencji zapisanych informacji. Nasze wątpliwości z tym związane biorą się z doświadczenia wskazującego, że wszystkie zapisane dane prędzej czy później mogą stać się obiektem zarówno nieautoryzowanego ujawnienia jak i autoryzowanego zapytania organów ścigania. Trzeba przyznać, że np. historia podróży konkretnego telefonu komórkowego w okolicach Gdańska może być ciekawym materiałem do analiz.

Podsumowanie

Choć na pierwszy rzut oka system wygląda niewinnie, to niestety przyjęty model bezpieczeństwa zbieranych informacji wydaje się mieć kilka luk. Brak szczegółowych informacji technicznych o implementacji opisywanych rozwiązań również nie sprzyja pozytywnej ocenie. Jeśli jesteście wśród tej części czytelników, którzy na pytanie czy są paranoikami odpowiadają „nie, skąd, a dlaczego pytasz?” to zalecamy wyłączanie WiFi oraz Bluetootha w okolicach Gdańska. Sensory mają zostać rozmieszczone na węźle Gdańsk-Południe, Południowej Obwodnicy Gdańska i przy Garnizonie we Wrzeszczu.

Za wskazanie tematu dziękujemy Wykopowiczowi factorys. Więcej materiałów na ten temat: