NSA trianguluje Internet

Amerykańska Agencja Bezpieczeństwa Narodowego opatentowała system pozwalający na określenie geograficznego położenia adresów IP

Amerykański Urząd Patentowy przyznał NSA patent na "Metodę geolokacji logicznych adresów sieciowych". Opisana we wniosku patentowym technika polega na budowaniu mapy poszczególnych węzłów sieciowych i wyznaczania odległości między nimi za pomocą pomiaru czasu wędrówki pakietów.

Oczywiście, pingowanie lub traceroute do zdalnego komputera żeby dowiedzieć się jak jest daleko to technika znana od lat, ale uzyskany wynik ma znaczenie tylko w kategoriach odległości sieciowych (ilość hopów). Oczywiście, zauważają autorzy z NSA, czas podróży pakietu po łączu zależy od fizycznej odległości między końcami tego łącza. Zależy - ale dokładnie jak zależy? Problemem jest jednak jednoznaczne określenie jaka to jest zależność czyli - mówiąc wprost - jak przeliczyć milisekundy na metry żeby uzyskać wiarygodny wynik?

W idealnym przypadku czas wędrówki pakietu zależałby wyłącznie od stałych czynników takich jak prędkość światła czy czas przetwarzania pakietu przez router. Ale czas wędrówki pakietu przez sieć bywa bardzo różny, w zależności od trasy (która się zmienia dzięki BGP) i obciążenia routerów po drodze. Jeśli wierzyć tylko pomiarom wykonanym przy pomocy pinga pomiędzy Krakowem a Warszawą przez sieć naszego narodowego operatora, te miasta musiałyby być od siebie oddalone od 300 do 30'000 km, w zależności od pory dnia i kaprysu routerów szkieletowych.

Ze względu na wymienione wyżej czynniki czas ten jednak jest zmienny. Jednak kluczowym elementem metody NSA jest obserwacja że czas podróży pakietu przez łącze istotnie może być większy od idealnego - ale nie może być mniejszy. Wielokrotne pomiary czasu wędrówki pakietów przez sieć pozwalają na wyznaczenie czasu minimalnego, który jest traktowany jako przybliżenie sytuacji idealnej. Innymi słowy, odzwierciedla on rzeczywistą odległość między stacjami. Powiązanie tej informacji z lokalizacją geograficzną jest realizowane przy pomocy triangulacji czyli wyznaczania położenia obiektu na podstawie odległości od wielu znanych punktów, tak jak to robi GPS czy lokalizacja w sieci GSM.

Choć technika wygląda na skomplikowaną i zbytnio uzależnioną od kaprysów urządzeń sieciowych, zasady jej działania są dość proste. Wymagają niewątpliwie dużych zasobów obliczeniowych w celu zmapowania interesujących fragmentów sieci. Skoro jednak da się triangulować tak mobilne przedmioty jak telefony komórkowe (patrz CELLDAR), to tym bardziej powinno to być możliwe z raczej nieruchawymi urządzeniami sieciowymi. Należy pamiętać że informacji o położeniu znanych punktów takich jak routery dostarczają przecież potężne bazy RIPE, ARIN i APNIC.

Przed autorami patentu pozostaje jeszcze wiele problemów technicznych do rozwiązania, jak na przykład różnorodność łącz stosowanych w Internecie i często mających bardzo różne czasy wędrówki pakietu. Na przykład pomiar przez łącze satelitarne może dać zgoła nieoczekiwany wynik, lokalizujący poszukiwany punkt gdzieś za orbitą geostacjonarną.

Można podejrzewać że NSA już sobie z tym poradziła. Oficjalna publikacja patentu jest zwykle zwieńczeniem kilkuletniej pracy badawczej. Bardziej prawdopodobne jest że NSA od teoretycznych rozważań dawno przeszła już do testów praktycznych albo nawet mapowania dużych fragmentów sieci. Skądś muszą się przecież brać te dziwne pakiety...

Szczegóły patentu można znaleźć tutaj: USPTO patent 6,947,978