2022-06-29星辉平台代理

人。SMS 消息本身的内容(尤其是语音呼叫)不会被保存。

这就是运营商收集的有关记者的信息的样子。

2015年4月1日记者去过的地方。
2015年4月1日记者去过的地方。
 
在给定时间段内他最常访问的地方。
在给定时间段内他最常访问的地方。
 
单击该链接可访问此数据的交互式版本。
单击该链接可访问此数据的交互式版本。

元数据包括有关用户呼叫谁并向谁写消息、呼叫持续时间以及电话在什么时间连接到哪些基站的信息(这些信息使您可以准确地确定设备的位置)。在一些国家,运营商不仅向警方提供有关用户位置的信息,而且还乐于交易这些数据。

最有趣的是,移动运营商可以访问(并向警方发布,以及出售给任何人)有关互联网使用的详细信息,包括网站地址和传输的数据量。这是一个完全独立的讨论主题;通过跟踪对提供商的 DNS 服务器的请求来收集数据。运营商也乐于使用这些数据进行交易;馈线非常有吸引力,以至于运营商甚至试图阻止客户使用第三方 DNS 服务器。

顺便说一句,固定互联网提供商(通常是组合电缆或 ADSL 调制解调器 + 路由器)发布(强加)的设备通常不允许您更改路由器上的 DNS 服务器。如果您愿意,可以在电脑、每部手机、智能电视和扬声器上进行更改,但用户将无法通过简单地设置路由器设置来完全保护他的隐私。

美国的移动运营商必须保留 CDR 记录。此外,在美国,情报机构维护一个单一的MAINWAY数据库,其中的记录可以存储比移动运营商本身法律允许的更长的时间。

在俄罗斯,通过了所谓的 Yarovaya 法律,该法律要求移动运营商将元数据存储三年(他们的清单几乎与澳大利亚版本的法律完全一致)。此外,自去年10月起,运营商被要求将文字、语音、视频等用户消息至少存储30天(但不超过6个月)。因此,在俄罗斯,任何电话都必须由接线员记录,并根据法律要求提供给警方。

不仅是 CDR

在上述研究中,记者 Will Okenden 使用的是 iPhone。向 Apple 正确执行的请求(根据公司的术语 - 设备请求,即警方只有硬件设备标识符 - IMEI 的请求)将允许警方接收 Apple 收集的有关用户的数据, 它包括几乎所有内容,极少数例外。例如,俄罗斯对 Apple 的请求统计数据就是这样的。

如何用手机抓住罪犯

相比之下,同年在美国,警方索取了 19,318 台设备的信息(81% 的索取成功)。Google 提供了一个交互式图表,可以在链接中找到。

而如果苹果不向警方提供用户密码、设备使用统计、SMS/iMessage 消息和健康数据等数据(用户的身体活动历史,包括给定时间段内的步数和心率,是最对抓捕罪犯和不忠的配偶有用),然后谷歌将提供一切,包括密码(为了在技术上完全正确,我将补充一点,Android 9 引入了备份加密;因此,警方不会收到备份本身或SMS 和存储在其中的日志调用)。

一次性手机

现在几乎没有犯罪分子利用自己的主机进行电话恐吓、敲诈勒索等犯罪行为;我们已经在上面详细解释了原因。留给罪犯的是什么?一次性 SIM 卡(也许我们现在不会讨论犯罪分子获取此类卡的方式)和一次性(通常是便宜的按钮)设备,最好是完全不能访问互联网。

为了至少获得一些关于嫌疑人的信息,警方至少需要一条线索——IMEI就足够了。但是从开机几分钟的设备的 ID 可以确定什么呢?阅读了阴谋论(一个很好的例子)后,新手罪犯焦急地从手机中取出电池,包括设备,只是为了打电话。

当然,他们甚至都没有想过当设备打开和关闭时会发生什么(正常情况下和紧急情况下,电池已取出)。此外,很少有人会想到,执行警务人员是否知道这种模式。

犯罪分子对自己的安全充满信心,离开房子(如果他不离开,很可能会立即或事后通过分析日志确定他的位置)并使用一次性电话拨打电话。他的主要电话在哪里?考虑选项。

通过电话计算。情况1

让我们从最典型的情况开始:一个“可疑”电话是由一次性的“匿名”电话拨打的,而犯罪分子随身携带了自己的电话。这没有什么不可思议的。只需阅读警方报告即可了解多数人的行为方式。

警方要求移动运营商提供指定期限内的 CDR 记录。根据所在国家/地区及其现行法律,运营商返回原始数据或设备的匿名列表(每个硬件标识符都由哈希函数替换)。事实上,警方会收到一份已连接到已注册呼叫设备的单元的设备列表。假设在这些设备中将存在犯罪分子自己的电话。

几千个用户可以同时连接到同一个小区,所以一个请求对警察的影响很小。然而,如果肇事者再次打电话给受害者——无论是从同一个牢房还是从另一个牢房(从另一个更好),警方将收到额外的样本。接下来,从“匿名”设备发出呼叫时在同一单元格中注册的设备集相交;通常,第二个或第三个样本中只剩下几十个甚至一个标识符。

当然,在实践中,一切都有些复杂。例如,不仅要考虑与发出呼叫的特定塔的连接,还要考虑来自相邻塔的数据。这些数据的使用允许(顺便说一句,甚至在十五年前)进行三角测量,以几十到几百米的精度确定设备的位置。同意,使用这样的样本会更愉快。

然而,在人口密度高的大城市(匿名电话经常在拥挤的地方进行),即使是第三个样本,嫌疑人的圈子也可能太大。在这种情况下(并非总是如此,但在特别重要的情况下),“大数据”分析就会发挥作用。分析人员检查由条件标识符标识的设备的行为模式。通话、流量的主动消耗、空间移动、小区注册时间和许多附加参数使得排除很大一部分设备成为可能,从而显着减少嫌疑人圈子。

有关该主题的更多信息:如何保护您的智能手机免受数据提取

结论:最容易发现携带个人设备(个人智能手机)并同时四处走动的罪犯。从一个单元格打了一个匿名电话 - 概述了许多设备。我从另一个单元打了第二个电话 - 遵循相同路线的设备列表减少了一个数量级。

顺便说一句,我将揭穿流行的电影模板。要准确确定手机的位置,它在网络中的时间并没有起到丝毫作用:当手机在网络上注册时立即确定位置并存储在日志中,从那里可以轻松检索。如果移动设备,则可以更精确地设置位置。同时,让我们通过阴谋论者:即使您没有从中取出电池,关机的手机也不会报告其位置(好吧,由于U1芯片,iPhone 11可以报告,即使那样也不会现在,但在未来的某个时候,当 Apple 在固件中包含此功能时)。

总而言之:犯罪者打开设备、拨打匿名电话或发送短信、关闭设备或取出电池。第二天我再次打开它,从城市的另一个地方打来电话,把它关掉了。可能属于罪犯的设备列表已减少到几件。第三个电话使最终确定罪犯成为可能,您可以离开。所有这一切 - 无需使用任何特殊工具,即可简单分析日志中的三个夹杂物。

通过电话计算。案例2

“谁开着手机上班?” 你可能会从逻辑上问。事实上,谨慎的犯罪分子可以在从匿名设备拨打电话之前关闭主电话。非常好:现在警方只需要查看匿名呼叫时关闭的设备列表即可。在这种情况下,一次迭代就足够了。如果罪犯在匿名电话后也打开了他的主电话,那么你可以安全地派一个特遣部队在他身后。

这是为什么?事实是,当断开连接时,手机会向单元发送信号,这使您可以区分已断开连接的设备与已离开单元的设备。启用后,将相应地创建一个新条目。跟踪这些活动很容易。

通过电话计算。案例3

“谁带着自己的手机上班呢?” 奇怪的是,他们会随身携带,而不仅仅是手机。带手机或将手机留在家中,但带上智能手表;顺便说一句,这让警方破获了很多犯罪。大多数“电话”犯罪分子都不是专业人士,而且对蜂窝通信功能、收集哪些数据以及如何分析它们的知识还处于起步阶段。人为因素允许警方通过简单的事实比较来解决许多犯罪问题。

如果罪犯真的从不带手机(实践表明通常至少一次,但每个人都错了),那么大数据分析可以帮助计算它。这里很大程度上取决于攻击者愿意花费多少时间和多少努力来拨打匿名电话,以及会有多少这样的电话。

如果有很多匿名设备?

但是,如果肇事者很狡猾,使用的不是一部,而是几部匿名电话,每次通话后都摆脱了证据怎么办?这种做法经常出现在电影中。在阅读了前面的部分之后,您可能已经发现,使用多种不同设备的所有犯罪收益都是在实际通话之前多几秒钟的匿名时间。由于所有匿名设备的电话都将被添加到案件中,因此警方还有其他线索:“匿名”SIM卡的来源,以及可能购买一次性手机的地方。从同一个设备或几个不同的设备拨打电话,不会影响调查过程。

如果电话真的是一个电话?

但是如果真的只有一个电话呢?为了报告学校或机场爆炸事件,不需要第二个电话:电话恐怖分子只需拨打一个电话就足够了,之后“发光”的设备可以与 SIM 卡一起丢弃或销毁。

令人惊讶的是,此类犯罪分子经常使用行动搜索措施被抓获,这些措施是在街头公用电话打来电话的日子里制定出来的。如果犯罪分子拥有一部永久性智能手机,那么通过分析文章中描述的第一种方法,可以极大地限制嫌疑人的圈子。因此,即使在一个拥有一百万人口的城市,嫌疑人的圈子也会缩小到数百(很少有数千)订阅者。如果我们在谈论“挖掘”学校,那么很多“可疑”订阅者与很多学校学生相交。对于那些留下来的人,特工只需简单地交谈就足够了。

它还有助于揭露电话恐怖主义,因为这些犯罪分子通常对特工工作的能力和特点知之甚少,并试图保护自己免受虚构的、不存在的危险,完全无视显而易见的事情。两年前,附近一个办公室的员工(警察项目的开发人员)接到一个陌生电话的通知,该电话报告大楼内有爆炸装置。不到几个小时,警方就已经将罪犯拘留。罪犯原来是一个疯狂的祖母,她想惹恼她的邻居,却把地址弄混了。怀恨在心的老太婆特意买的按键式电话,以及“匿名”(或者不如说,注册了不存在的全名)的SIM卡,都无济于事。

如果您使用 VPN 通过 VoIP 拨打电话?

如果您想到可以通过 VoIP 服务(最好是免费的,以免使用付款方式)甚至通过不存储日志的 VPN 服务进行真正匿名的呼叫,恭喜您,您认为土匪。

有关该主题的更多信息:通过拦截 Skype 和其他 VoIP 来监视情报服务

当然,总是有可能因为忘记控制与 VPN 服务器的连接或不小心用自己的登录而不是“匿名”呼叫数据而“闪烁”。为了防止这种情况发生,犯罪团伙不惜重金,下令制造经过修改的(在软件层面)手机。一家基于旧黑莓手机生产此类设备的公司的首席执行官被捕的案例显示了其业务规模。尽管这个刑警网络能够关闭(并控制了犯罪分子使用的加密通信基础设施),但警方明白这只是第一步。“犯罪分子不可避免地会转移到其他服务,我们可以想象哪些服务。

分析的工作原理

国际电联(几内亚共和国)发布报告详细描述了分析人员使用的方法和工具。一般来说,该过程可以描述如下。

如何用手机抓住罪犯

还有一点细节。

如何通过电话计算罪犯

警方需要的只是原始 CDR 数据本身以及可以下载和分析这些数据的软件(原始数据对手动分析几乎没有用处,但过滤后的数据可以以文本形式显示或打印出来)。

这种调查方法的受欢迎程度可以从几乎每个严肃的取证包都支持 CDR 记录这一事实得到证明。示例:Penlink、HAWK Analytics、GeoTime、CSAS、Oxygen Software 的俄罗斯“Mobile Forensic”、Advanced Cell Tracking 等等。然而,警方在工作中成功地结合使用了谷歌地图和 Microsoft Excel。

毫无疑问,这些特殊服务配备了特殊设备,可以让他们干扰蜂窝通信、更换基站或伪造 GPS 坐标。但警方并没有使用大部分这种技术——至少在调查电话恐怖分子和敲诈勒索者的常规犯罪时是这样。昂贵、繁琐、耗时,而且总的来说没有必要,有时效率低下。分析 CDR(呼叫详细记录)日志是一项更有效的时间和精力投资。

几年前发生在英国的一个案例就是例证。警方正在监视贩毒集团的一名头目。拘留不是问题,但没有证据,案子在法庭上就会土崩瓦解。据警方称,罪犯的手机(他使用的是 iPhone)可能包含重要证据,但当时无法破解相当新型号的锁码。结果,该操作得到了发展;肇事者受到监视。他一拿起手机,解锁并开始打字,毒枭就被拘留了,手机从他的手中被拉了出来。

这里有趣的不是背景故事,而是这样一个微不足道的细节:为了将罪犯的 iPhone 在解锁状态下带到实验室,任命了一名特警,他的全部工作就是定期用手指滑动屏幕,不允许设备入睡。(没有必要考虑警察傻瓜:每个人都知道有一个设置可以控制手机屏幕关闭和手机本身被阻止的时间。但是关于这很容易的事实,在几个点击,可以在手机上安装一个禁止关闭自动锁的配置文件,不是每个人都知道。)手机被成功带到实验室,数据被提取,必要的证据得到了。

不知何故,这一切……不可靠!

如果在阅读本文后,您的印象是基于从移动运营商收到的数据上的句子在某种程度上并不完全正确,我赶紧同意。此外,丹麦最高法院同意您的意见,限制检方使用 CDR 记录中的位置数据。这项禁令并非突如其来:在基于这些数据的 10,700 人定罪中(这对于一个平静的小国来说很多),由于额外的检查,已经有 32 人被判无罪。根据电信行业协会主任的说法,“创建这个基础设施是为了提供通信服务,而不是监视公民。” “试图解释这些数据会导致错误”和“似乎基于精确技术测量的证据

大多数针对警察的专业发展课程都教导说,无论是如何获得的,都不能完全信任数字证据。在某些情况下,嫌疑人的位置是根据通过云同步的照片中的元数据确定的,而不是由设备本身捕获的。

一个典型的例子是,接听来电被解释为导致紧急情况的“驾驶分心”。事实上,当时的按键电话安详地放在了司机的口袋里,但因为不小心按下了按键,手机“接听”了电话,并被接线员记录下来。辩方能够通过审问第二个订阅者来为司机辩护,后者作证说谈话没有发生(顺便说一句,“真正”的情况是未知的,但法院站在被告一边)。

我敢肯定这不是唯一的情况。CDR 数据是操作人员手中的极好工具,但作为证据基础并不可靠。

全部的

从这篇文章中可以得出什么结论?现在,当几乎每个人都拥有一部个人智能手机或至少一部按键式手机时,任何人都会留下“数字足迹”。这条小径包含更多信息,而且比许多人意识到的要容易得多。要获得所有感兴趣的信息,警方只需要一条线索,即犯罪分子个人智能手机的硬件标识符,即使他从未将其个人设备用于犯罪目的。

获得这样的领先是对移动运营商日志进行常规分析的结果。不需要特殊手段,不需要阴谋论,一切都会发生,而且更简单有趣。而不是追逐和射击 - 使用分析程序、简单的数据库甚至打印输出进行桌面工作。