Обнаружение мониторингов и наблюдателей
Вот есть такая старая задача – обнаружение наблюдения: как понять, что за тем или иным объектом ведётся пассивное наблюдение. Решать можно, рассматривая ситуацию с самых разных точек. Например, с точки зрения самого этого объекта – может ли он понять, что находится под наблюдением. Со стороны некой третьей силы, которая обладает другими возможностями, и желает узнать, наблюдает ли кто-то за данным объектом. Тут, очевидно, постановка задачи опять ветвится: сотрудничает ли объект с этой третей силой? может ли она влиять на него? Ну и так далее, и тому подобное.
Существует большое число частных случаев, имеющих практические решения. Хороший пример: авиационные системы оповещения о радиолокационном облучении – такая система позволяет обнаружить факт наблюдения за самолётом РЛС. И не менее интересное развитие: как обнаружить пассивную систему наблюдения за самолётами? Скажем, такая система детектирует излучение его собственной РЛС. Можно ли узнать, что она уже сработала, самолёт обнаружен и взят на сопровождение?
На первый взгляд – нет, нельзя: система-то пассивная. Однако в реальности срабатывание такой пассивной системы может быть выявлено при помощи анализа её активности. Ну, допустим, составляющие систему приёмники обмениваются данными с командным центром. Сигналы, относящиеся к такому обмену, принимаются на борту самолёта-разведчика. Тогда, если структура сигналов известна, можно определить, что обнаружен тот или иной летательный аппарат. Более того, отправляя в эфир сигналы, имитирующие работу авиационной РЛС, можно выявить наличие такой пассивной системы обнаружения на заданной территории.
Интересно обсудить задачу в разрезе разнообразных систем мониторинга Интернета. Например, могут (могут ли?) существовать развитые системы сбора и анализа контента, мониторящие пользовательскую активность и действующие в интересах некоторой непубличной стороны. Другими словами, это, скажем, не поисковые роботы, которые заметны, и которых вводят в заблуждение многие владельцы сайтов. Как обнаружить работу такой системы? Как вообще понять, что она существует и действует?
Адрес записки: https://dxdt.ru/2013/01/09/5486/
Похожие записки:
- Суперпозиция на омонимах
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Модули DH в приложении Telegram и исходный код
- Исчезновение "фрагментации Интернета" с разных точек зрения
- Задержки пакетов, СУБД, TCP и РЛС
- Превентивное удаление "цифровых следов" и художественное произведение
- Утечка DNS-запросов в ExpressVPN
- Мониторинг жонглёров
- "Сверхмашинный" интеллект
- Реплика: история с сертификатом Jabber.ru и "управление доверием"
- Техническое: ECDSA на кривой Curve25519 в GNS
Комментарии читателей блога: 10
1. 10th January 2013, 00:04 // Читатель Jeff Zanooda написал:
В примере с РЛС преимущество у пассивной стороны. Даже если предположить, что обмен данными между датчиками и центром может быть перехвачен (что само по себе технически сложно), то достаточно шифровать этот трафик и гонять случайные данные в то время, когда настоящих данных нет, чтобы активность в среднем не менялась.
В примере с интернетом технических способов я не вижу, но есть масса side channels – бюджет, объявления о приеме на работу, анализ социальных сетей и так далее.
2. 10th January 2013, 06:03 // Читатель MIl написал:
Наличие точек с передачей инфомации само по себе демаскирующее действие – зачем же гонять случайные данные?
Обнаружение пассивного наблюдения обнаруживается пассивным же наблюдением – те поиском необычных проявлений: опубликовали материал смотрим где всплывают его отголоски (возможно даже и в реале).
3. 10th January 2013, 13:57 // Читатель sarin написал:
нужна модель наблюдателя.
термин “не публичная сторона” слишком расплывчат. в общем и целом тех, кто мониторит Интернет очень много. все они в той или иной степени “публичны”. очевидно интерес представляют те, кто имеет хоть какую-то стратегию использования результатов мониторинга. необходимо хоть приблизительно понимать что именно мониторится. скажем “круг интересов” наблюдателя. сведения о методике мониторинга также могут быть очень полезны, но в целом не обязательны.
а дальше как в примере с самолётом: создаём или имитируем событие и наблюдаем за возможной реакцией.
4. 10th January 2013, 18:20 // Читатель jno написал:
А чё тут понимать?
Есть закон о СОРМ, где, в частности (т.н. “СОРМ-2”) прописан порядок взаимодействия этой [местами “пассивной”] системы со средствами электросвязи…
И вообще, “если у Вас нет паранойи, то это не значит, что за Вами не следят!”(тм)
5. 10th January 2013, 18:51 // Читатель sarin написал:
СОРМ предназначен для слежения за конкретным человеком. это не означает, конечно, что его мощности нельзя использовать и для мониторинга Интернета. но задача его другая, а именно обеспечение розыскных мероприятий.
6. 10th January 2013, 21:17 // Читатель зашел в гости написал:
согласен с sarin-ом. обнаружить “систему” можно только догадываясь КОМУ может быть нужен ваш контент. Например, научно-технические публикации – конкурентам, оппозиционная пресса – властям, и т.д. Публиковать “калиброванную” информацию с расчетом, что она вызовет определенную реакцию будет не так просто. Т.е. нельзя будет в престижном медицинском журнале написать, ерунду, типа ученые лаборатории “X” открыли живую воду. Даже правдоподобные, но ложные данные не подойдут, например, что лаборатория прекратила разработку новой вакцины – так можно растерять инвесторов, или отгрести повестку в суд. Также, по понятным причинам, нельзя написать на каком-нибудь оппозиционном сайте, что “завтра все собираемся у мавзолея с топорами и вилами!!”, только чтобы посмотреть реакцию ФСБ. Научные публикации нужно будет подбирать очень тщательно, например, увеличив количество статей на одну определенную тему, скажем, про вакцины от гриппа. Потом нужно самому обладать развитой системой мониторинга конкурентов. Они вряд ли начнут распространяться о том что они тоже взялись за эти же вакцины. Следить прийдется по косвенным признакам – наему научных сотрудников, закупкам реагентов и оборудования, и т.д. Задача нетривиальная, недешевая, далеко не всем под силу…
7. 11th January 2013, 17:58 // Читатель Jeff Zanooda написал:
Гонять случайные данные надо именно для того, чтобы предотвратить обнаружение. Стандартный способ разведки – подогнать самолёт к границе и слушать эфир до, во время и после. Что поменялось – это и есть результат действия систем ПВО.
А если ничего не поменялось? Есть в эфире шум какой-то, но он есть постоянно, как именно понять, откуда он? Может от искомой системы, а может просто неэкранированный импульсный блок питания в дешёвых китайских компьютерах шумит. Структура сигнала заранее неизвестна, и если он нормально зашифрован и передаётся какой-нибудь широкополосной модуляцией, то поймать его с помощью SignalStalker или аналогичных подходов не получится.
8. 11th January 2013, 19:04 // Читатель MIl написал:
Мощности шума китайского блока питания и передатчика на дальние расстояния (спутниковые каналы) явно не соизмерими
тогда уж проще оптику сделать
9. 11th January 2013, 20:58 // Читатель Jeff Zanooda написал:
Почему же несоизмеримы? Мощность обычного радиолюбительского передатчика – сто ватт. Позволяет связаться с любой точкой мира при условии хорошего прохождения. А через спутник можно даже пятью ваттами связываться.
Но вообще тут дело не в мощности, а в соотношении сигнал/шум. Если мощный сигнал размазать по спектру так, чтобы он не выделялся над шумом, то как его искать без знания структуры сигнала?
10. 3rd April 2013, 15:41 // Читатель Владимир написал:
>мониторящие пользовательскую активность и действующие в интересах некоторой непубличной стороны
Легко. Используя наоборот парадокс Шредингера :-)
Если серьезно – расставлять уникальные “метки” в мониторинге наблюдателя таким образом, чтобы из наблюдателя он сделался источником информации, в которой можно без труда различить свои уникальные “метки”.