Численность абонентов сотовых сетей стала колоссальной, и проблемы, связанные с утратой мобильного телефона, приобрели массовый характер. Телефоны теряют, телефоны воруют и даже совершают разбойные нападения для овладения ими. Опираясь на тезис «помоги себе сам», попробуем понять, как пользователю защитить свой мобильный аппарат и на что он может рассчитывать в случае его кражи или потери.
Приложите пальчик
Еще в 2000 году фирма Sagem представила сотовый телефон с идентификацией по отпечатку пальца — двухдиапазонный MC 959 ID стандарта GSM. Его задняя панель оборудована сканером рисунка пальца, обеспечивающим защиту от несанкционированного использования аппарата. Владелец трубки получил возможность забыть о паролях и pin-кодах, ведь для разблокирования клавиатуры достаточно прикоснуться к считывающему устройству. Спустя почти четыре года южнокорейские производители представили новые модели сотовых телефонов с более совершенной реализацией давно известной технологии защиты.
С помощью технологии распознавания отпечатков пальцев телефон PanTech GI100 контролирует доступ к встроенным функциям. Например, только зарегистрированные пользователи могут разблокировать клавиатуру и получить доступ ко всем разделам меню. Специальная функция Secret Finger Dial реализует быстрый дозвон по любым десяти «секретным» номерам.
Аналогичный продукт выпустила и компания LG. Ее телефон LP3800 привлекателен не только современными возможностями и дизайном, но и системой, предотвращающей использование трубки посторонними людьми: перед сеансом связи нужно приложить палец к специальной считывающей пластинке на панели.
Кроме сотовых телефонов биометрическими паролями защищают КПК и ноутбуки. Так, компания Veridt выпустила BioHub Biometric Security, представляющий собой модуль Compact Flash Type для Pocket PC. В сочетании со специализированным ПО он служит своеобразным биометрическим ключом к информации в портативном компьютере.
Но любым системам биометрического распознавания свойственны проблемы. В теории все просто: поскольку рисунки пальцев каждого человека уникальны, такая система идентификации легального пользователя телефона или КПК должна быть абсолютно надежной. Однако пальцы можно порезать, обжечь, да и само системное ПО не застраховано от так называемых ложноотрицательных ответов. Поэтому если за три попытки биосканер мобильного устройства не обнаруживает нужные «пальчики», система предлагает ввести самый обычный пароль. Получается, что система распознавания отпечатков пальцев бесполезна, ведь телефон или КПК сможет «вскрыть» любой человек, знающий пароль или pin-код.
Видимо, следующим шагом в развитии систем биоидентификации будет встраивание в сотовые телефоны специальных сканеров радужной оболочки глаза. Во многих странах выданы десятки патентов на подобные технологии и проводятся тестовые испытания сканеров в реальных устройствах. Таким образом, вопрос их широкомасштабного внедрения сводится к экономической целесообразности и потребительскому спросу.
Есть и другие, менее распространенные технические решения. Самое простое — установить пароль на сам телефон. Это не убережет от его кражи, но сильно усложнит использование аппарата злоумышленниками. Существуют способы и похитрее. Как рассказал сотрудник одного «серого» сервис-центра на условиях анонимности, в некоторых моделях телефонов Siemens и Nokia можно установить специальный патч (заплатку) с помощью программы типа V_klay. При включении телефона с новой SIM-картой этот патч запускает скрытый Java-апплет, который отсылает на номер, заранее заданный абонентом, текстовое сообщение типа «я теперь работаю под таким-то номером». По переданному номеру уже через милицию можно определить имя и адрес нелегального пользователя или человека, купившего краденый телефон.
Техническая сторона
Кражи GSM-телефонов представляют собой серьезную проблему в России и за рубежом, но спецификации стандарта GSM позволяют оператору запретить обслуживание неразрешенных аппаратов. Дело в том, что каждому аппарату еще на заводе присваивается индивидуальный электронный номер — International Mobile Equipment Identity (IMEI). Такой номер передается с мобильного телефона в сеть каждый раз, когда абонент включает аппарат, звонит кому-либо или принимает звонок. У каждого оператора связи должен быть установлен специальный реестр идентификации оборудования (Equipment Identity Register, EIR), который содержит список разрешенного к обслуживанию в данной сети абонентского оборудования. Передаваемый терминалом код IMEI просто сверяется с данными списка.
ТЕЛЕФОН PanTech GI100 оснащен сканером отпечатка пальца на лицевой панели |
Вообще говоря, IMEI-номера телефонов содержатся в трех списках — белом, сером и черном, определяющих текущий статус устройства. Белый список свидетельствует, что устройство проверено и с ним нет проблем. В серый список вносят номера телефонов, находящихся под наблюдением. Наконец, в черный список входят телефоны, которым запрещен доступ в сеть, например ворованные или потерянные. Проверка IMEI производится оператором с целью удостовериться, не относится ли мобильное устройство к черному списку.
При получении сообщения о том, что мобильная станция украдена или данный тип оборудования не разрешен к применению в конкретной стране (не сертифицированные трубки), код IMEI «маркируется» в черный цвет. Таким образом, если система EIR присутствует в сети того или иного оператора связи (что пока не является обязательным требованием регулирующих органов), все вызовы аппаратов из черного списка IMEI (как исходящие, так и входящие) блокируются.
Как отмечают в Главном информационном центре МВД РФ, для резкого снижения количества краж мобильных телефонов достаточно создать централизованную систему учета потерянных/украденных номеров, чтобы можно было блокировать аппарат не только через SIM-карту, но и посредством кода IMEI. Технически реализовать задуманное очень просто: при обращении в сервисную службу оператора пострадавший клиент заполняет специальное заявление о внесении телефона в стоп-лист. Для подтверждения имущественных прав на оборудование его могут попросить предъявить гарантийный талон или копию документа ОВД о возбуждении уголовного дела в связи с кражей. Оператор, который ведет учет «логов» предыдущих звонков за последние несколько месяцев, без труда сможет вычислить код IMEI пропавшего телефона по наиболее частым номерам вызовов.
Особенности операторской политики
Понятно, что создание общенациональной учетной базы, к которой подключатся все GSM-операторы России, стоит немало. Потребуется единый информационный орган, который будет вести текущую статистику, сопрягать отечественную базу данных с западными источниками, налаживать обмен данными с правоохранительными органами и защищать эту информацию от незаконного использования. В нескольких российских городах (Екатеринбург, Новосибирск и Пермь) руководство МВД выступило с предложением создать базу краденых сотовых телефонов и отключать их владельцев от сетей мобильной связи. Однако эта инициатива не нашла поддержки у игроков сотового рынка, поскольку стоимость ее реализации в пересчете на каждого сотового оператора оценивается в 1—2 млн долл., а идти на такие траты операторы пока не готовы.
Компания Veridt выпустила Flash-карты для биометрического доступа пользователя к КПК |
Организация подобного регистра федерального масштаба требует решения множества организационных, технических и правовых вопросов не только на уровне операторов связи, но и на уровне межгосударственного взаимодействия. Предлагаемые меры могут оказаться эффективными лишь в том случае, если система будет работать не только в России, но и в Украине, Беларуси и других сопредельных государствах. Не секрет, что краденые трубки спокойно провозят через призрачные границы стран СНГ.
Местным операторам сложно изыскать деньги на поддержку централизованной системы учета. В этой связи стоит сослаться на один знаменательный эксперимент, который состоялся в сети одного российского GSM-оператора, действующего в Центральном федеральном округе. Этот оператор решил осуществлять проверку уникальных номеров телефонов и активировать серый список EIR. В него вносились нелегально ввезенные в страну (в обход официальных каналов производителей) и украденные трубки. По признанию представителей сотовой компании, система учета «загнулась» к концу первых суток, когда доля зарегистрированных в сети «нехороших» аппаратов приблизилась к 70%. Около 20% таких телефонов составили ворованные трубки, 50% — «разлоченные», а 30% — просто не сертифицированные в России.
Операторов можно понять: пока не существует сурового наказания за «перепрошивку» кода IMEI, создавать дорогостоящие системы слежения накладно и неэффективно. Главный консультант по вопросам развития бизнеса группы «Индиго» Леонид Денисов говорит: «С точки зрения закона изменение IMEI не является преступлением. Поэтому уголовного преследования злоумышленников мы не добьемся, а построение такой системы с ориентацией исключительно на административные наказания — слишком большая головная боль».
Чтобы сократить число краж телефонов, необходимо объявить замену кода IMEI преступлением, аналогичным перебивке номера двигателя на ворованном автомобиле, а для этого нужна законодательная инициатива. Безусловно, полностью остановить злоумышленников не удастся, но им придется тратить больше времени и сил. Скажем, операторы могут запретить эксплуатацию в своих сетях телефонов с одинаковым IMEI, и довольно доступные списки идентификационных номеров, взятые в сервис-центрах, уже не пригодятся. Преступникам придется находить IMEI-номера «битых» аппаратов, что усложнит процесс и приведет к росту их издержек.
Имеет смысл рассмотреть опыт стран Европы и США. Там многие операторы не имеют технической возможности подключить телефон, если он не выпущен производителем специально для их сети (то есть если IMEI данного телефона нет в базе данных EIR). Недостаток данной схемы с точки зрения пользователя заключается в том, что приходится покупать телефон с логотипом провайдера. Правда, это оборудование зачастую стоит совсем недорого, так как его покупка дотируется провайдером — взамен на лояльность выбранному брэнду. В случае покупки подержанного телефона его прежний владелец обычно должен подтвердить, что был совершен легальный акт купли-продажи. Ну, а если телефон потерян, звонок абонента оператору приводит к полной блокировке этого аппарата.
Полезные советы
Итак, введение регистра оборудования EIR позволило бы снизить количество краж мобильных телефонов. Однако если какой-то оператор решит вести в своей сети черный список неблагонадежных устройств, это не будет означать, что крадеными трубками не удастся пользоваться и в сетях других операторов GSM. Для решения столь глобальной проблемы производителям оборудования, возможно, имеет смысл устанавливать льготные цены на аппараты, «привязанные» к конкретным операторским сетям. Будет отрадно, если операторы начнут слаженно действовать при реализации идеи прекращения обслуживания ворованных аппаратов. Инициатором такого процесса может стать, к примеру, ассоциация GSM.
Напоследок хочется дать совет пользователям. Сотовый телефон (особенно дорогой) не следует носить в кармане широких джинсов или куртки, на шнурке, в сумке или рюкзаке. Трубка всегда должна находиться под рукой и в то же время — не на виду у посторонних лиц. Оптимальное решение — телефон в чехле на ремне или в поясной сумке с жестким металлическим фиксатором. И, само собой, не надо быть очень жалостливым и давать звонить всяким подозрительным личностям.
Максим Букин (mb@viem.ru) — независимый автор