У кожного українця є цифрове досьє: як відстежити людину за відкритими даними

Будь-яка людина в Україні може відстежити переміщення іншої людини, використовуючи технологію ADINT – розвідку за рекламними модулями. Ця методологія входить в OSINT – розвідку за відкритими джерелами інформації. На сьогодні вона може надати більше даних про конкретну людину, ніж розвідка за закритими базами спецслужб. Як розвивається OSINT, чому в США цьому напряму приділяється так багато уваги і як чорні піарники використовують витоки персональних даних – в інтерв’ю GSMinfo розповів провідний фахівець з кібер-безпеки компанії Slaxico Юрій Шарлай.

–Юрію, що таке OSINT?

OSINT (Open-source intelligence) – розвідка за відкритими джерелами інформації, методи роботи з відкритими даними. Хоча, звісно, аналізуючи дані, ми заглядаємо і в закриті джерела, але вони часто дають нам менше інформації. OSINT застосовують співробітники правоохоронних органів, служб безпеки, а також рекламники, маркетологи, журналісти, програмісти, датасаєнтисти.

– Як давно існує OSINT?

Розвідка за відкритими даними існує з 1941-го року. І почалася вона в США зі Служби моніторингу зарубіжних трансляцій для вивчення іноземних радіопередач. Співробітники записували і перекладали їх, а потім надсилали інформацію, що цікавила військові відомства, у вигляді щотижневих звітів. Ця служба існує і зараз, входячи у велику (на сьогоднішній день там 17 агентств) розвідувальну спільноту США.

Однією з яскравих справ того періоду було відтворення системи електрифікації СРСР за статтею в газеті “Правда”, де було опубліковано схему електрифікації Свердловської області.
Тобто, за шматком схеми у США зуміли повністю відновити план усієї системи електрифікації великої країни.

У який момент стався перелом і став можливий цифровий OSINT?

Цифровий OSINT став логічним наслідком появи інтернету, а потім соціальних мереж, блогів, форумів, маркетплейсів. Тобто сьогодні нам уже не потрібно вивчати газети, радіо і телебачення. Поява мережі стала кардинальним чином змінювати OSINT. Він став більш технічно орієнтованим, тобто він почав зв’язуватися з IT-сферою. Кількість джерел інформації збільшилася в десятки тисяч разів. Зрозуміло, що людський мозок уже не може все це опрацювати, тому йому потрібні додаткові програми. Це ще більше пов’язало OSINT з IT-сферою.

OSINT – це законно?

Якщо говорити про класичний OSINT, то він не передбачає порушення законодавства. І в його рамках можна відстежити тільки те, що людина сама побажала залишити про себе в інтернеті. Це геомітки, check-in, відгуки про якесь місце, коментарі, фотографії, які можуть бути інтерпретовані з погляду отримання геолокаційної інформації, відеоролики, які також можна проаналізувати і визначити місце зйомки.

На певному етапі розвитку OSINT з’явилися нові категорії даних. У 2014 році в нас з’явився HTML5 Geo API – технологія, яку зараз застосовують в усьому інтернеті, на підставі якої пишуть веб-сторінки, функціонують браузери. Зросла збираність даних про користувача. Тобто, якщо раніше ми могли встановити приблизне місце розташування користувача лише за його IP-адресою, то на сьогоднішній день будь-який веб-сайт, що має відповідну технологію, може отримати фактичне місце розташування будь-якого користувача.

З появою мобільників, операційних систем Android, iOS, з появою мобільних застосунків і тих дозволів, які ми на своєму пристрої даємо цим застосункам, збирання даних ще більше зросло.

Тепер, крім геолокації, IT-компанії отримують доступ до наших телефонних книжок, до нашого сховища даних на пристрої, до наших списків дзвінків, до нашої камери або мікрофона – до всього того, що відбувається з нашим телефоном у будь-який момент часу.

Це можливо заборонити або якось контролювати?

В одному з виступів в ООН я почув, що на сьогодні неможливо здійснити будь-який вплив на безконтрольний збір IT-компаніями даних користувачів. І кількість зібраних даних дедалі зростає і зростає.

Тобто зараз люди, які користуються відкритими джерелами, можуть отримати більше інформації, ніж ті люди, які користуються закритими джерелами – базами МВС тощо?

Так. Тому що закриті бази, якими користуються правоохоронці та спецслужби, не передбачають отримання нових джерел інформації. Вони не передбачають можливість аналізу і переосмислення навіть тієї інформації, яка збирається сьогодні. Тобто МВС веде сотні різних реєстрів і ГІСів (державні інформаційні системи), у яких акумулюються користувацькі дані. Але вони не продумали, як ці дані можна було б зіставити між собою, щоб отримувати про користувача більше інформації.

Ви хочете сказати, що вони досі їздять на машинах і стежать за людьми, притому що можна сидіти вдома за комп’ютером і стежити за міткою?

Так, абсолютно вірно. Ми самі, допомагаючи колегам, надавали послуги спостереження за об’єктами. До 2018-го року це можна було легко робити, аналізуючи коди базових станцій стільникового зв’язку, у зоні яких перебуває мобільник. До квітня 2018 року це коштувало, наскільки я пам’ятаю, 5 копійок. Згодом в Україні припинилося надання такої інформації через SMS-центри. Тоді ми зрозуміли, що доведеться винаходити щось нове. І винайшли.

Чи почали спецслужби використовувати OSINT?

Почали. Але розуміння його, звісно, дуже сильно різниться від фахівця до фахівця. Зовсім інша справа – США. Там справді усвідомлюють перспективи розвитку цього напряму.

У чому це виражається?

Зовсім нещодавно (8 березня 2024 року) вони ухвалили концепцію розвитку OSINT у межах розвідувального співтовариства США. У ній ідеться про те, що OSINT – це дуже важливо, цього потрібно навчити багатьох чиновників, до того ж необов’язково силового блоку, – державний департамент, дипломатів тощо. Потрібно продовжувати співпрацю зі стартапами, технологічними компаніями, вишами. І, найголовніше, треба приділяти величезну увагу фахівцям з OSINT.

У рамках такої роботи американці створюють ще один OSINT Foundation, їх на поточний момент, по-моєму, вже понад п’ять. Це фонди, через які спецслужби фінансують розвиток OSINT як напряму, пропагують його, розвивають у навчальних закладах. Тому народжуються In-Q-Tel та інші венчурні фонди, які фінансують розвиток стартапів правоохоронної спрямованості. У нас такого немає.

Наскільки взагалі правоохоронці США ось у цьому напрямку попереду наших?

Думаю, років на 20.

У цій концепції ще є рядки про те, що американські урядовці мають переосмислити свої стосунки з промисловістю та науковими колами, щоб використовувати передові можливості. Про що саме йдеться?

Поточний рівень розвитку інформаційного суспільства показує, що мережеві структури працюють ефективніше в рази, ніж державні, ієрархічні. І тому компанії Microsoft, Apple, Facebook та інші інші ефективніші, ніж держави, національні уряди. Тому в США хочуть здійснити тіснішу інтеграцію розвідувального співтовариства з транснаціональними корпораціями, – щоб використовувати нові технології у своїй роботі.

Що таке ADINT – методологія, яка, як я розумію, входить в OSINT?

По суті, це сучасна радіоелектронна розвідка. Тільки замість звичного нам передавального пристрою ми тут отримуємо унікальні ідентифікатори, які зв’язуються через рекламні профілі, зібрані найбільшими IT-компаніями світу. Коротко можна сказати, що ADINT (advertising intelligence – рекламний інтелект) – це розвідка за рекламними модулями.

Згідно з концепцією Пола Вайнса з Вашингтонського університету – першовідкривача ADINT (його наукова стаття вийшла в грудні 2017 року та ознаменувала принципово новий підхід до стеження) ми дізналися, що шляхом запуску таргетизованої банерної реклами в мережі інтернет ми можемо контролювати переміщення будь-яких користувачів. Це відбувається завдяки тому, що банерна реклама видається на сайтах, які використовують технологію HTML5 Geo API. Така банерна реклама запускається через мобільні додатки, які здатні видавати геолокацію користувачів, а також їхній соціальний граф.

Робота Вайнса мала обмежений успіх, не всі її зрозуміли. Але потім почали плодитися IT-продукти. Першим відреагував сервіс “Эхо”.

Він американський?

Ні, ізраїльський. Вони розробили другий підхід до ADINT. Навіщо нам збирати і платити якісь додаткові гроші за запуск рекламних компаній, якщо ми просто можемо купити одразу дані, що входять в ADINT, у їхніх правовласників – компаній Google і Facebook? Вони ці дані купили, і, відповідно, у межах роботи їхнього продукту “Эхо” користувач може побачити за ідентифікаторами користувача, що вводяться, його переміщення, побачити його соціальний графік, інтереси і все інше. Цей підхід дає змогу не тільки дізнатися потрібні факти про користувача, а й заробити на їхньому перепродажу.

Якщо ви користуєтеся тільки відкритими даними, то будь-яка людина в Україні може простежити за будь-якою людиною в Україні?

Так. Але для цього їй необхідно володіти ідентифікаторами, які належать конкретному користувачеві. До числа таких ідентифікаторів належать: номер мобільного телефону, адреса електронної пошти, адреса модему вашого пристрою, а також ідентифікатори пристроїв на Apple і Google. Ось п’ять параметрів, які завантажуються в системі на вхід від аналітика.

Але це все є у витоках?

Це все є у витоках, і це можна отримати мільйоном різних способів. Ви підключилися до якогось Wi-Fi в кафе, – він зафіксував вашу МАС-адресу. Далі за нею можна здійснювати стеження, навіть не знаючи ваш номер телефону. Ці дані постійно збираються і складаються в папку.

Тобто, якщо я зміню номер телефону, мої дані потраплять у мою колишню папку?

Саме так. Умовний Google з’єднає ваші профілі з усіма новими пристроями, з усіма новими контактами. Якщо ви вийшли в один і той самий акаунт з іншого пристрою, він усе це з’єднає в один профіль. Якщо ви використовували одне й те саме з’єднання, наприклад з’єднання з робочого місця, – він також зліпить це все в один профіль. І так, як снігова куля, ваш профіль “росте”.

Виходить, десь є моя “цифрова біографія” з моїми пристроями, які були у мене раніше, і ось це все викладено в якомусь файлі?

Абсолютно вірно. І мало того, це досьє інтерпретують. Визначаються ваші інтереси, запити, частота ваших переміщень, ваш приблизний дохід, ваша приблизна сфера діяльності.

27 лютого у США було опубліковано книгу “Засоби контролю: як прихований альянс технологій і уряду створює нову американську державу стеження” (How the Hidden Alliance of Tech and Government Is Creating a New American Surveillance State). Там сказано, що за допомогою ADINT вдалося простежити навіть за оточенням Путіна. Тобто, це був не сам Путін, а його обслуговуючий персонал. Тобто так можна стежити за Байденом чи Зеленським?

Так

Ба більше, коли у Вашингтоні штурмували Капітолій прихильники Трампа, я особисто спостерігав за тим, які пристрої там “бігають”. Потім можна було знайти профілі в Telegram, хто це був, фотографії їхні. Так що так, це працює.

Здається, що даних уже збирається стільки, що більше зібрати неможливо. Це так?

Звісно, ні. Можна збирати набагато більше даних про кожного користувача. Саме в цих цілях і планується впровадження Web 3.0 і наступного HTML6. Посилюється і збільшується кількість різних датчиків у наших мобільних телефонах. Крім акселерометра, сітківки ока, відбитка пальців серед датчиків з’являться, можливо, якісь мовні аналізатори, аналізатори обличчя. Вони можуть бути посилені додатково. Наш соціальний портрет буде розростатися в надрах IT-компаній. Інструментів для того маса, заборон на збір цих даних немає. Тож OSINT чекає велике майбутнє.