Wczoraj jedna z aplikacji dla sportowców, Strava, udostępniła w internecie nową wersję interaktywnej mapy. Widać na niej miejsca i drogi po których ludzie korzystający z tej aplikacji biegają, jeżdżą na rowerze, czy po prostu spacerują z włączonym telefonem. Jeden z użytkowników Twittera postanowił przyjrzeć się aktywnościom wokół obszarów wojskowych… i tak zaczęła się niezła zabawa. Poniżej przedstawiamy jej efekty.

Pośrodku ciemności mały punkt się jawi, po jego powiększeniu i nałożeniu mapy:

Aktywność wokół bazy CIA w Mogadiszu:

Okazuje się, że Strava jest także popularna wśród rosyjskich wojskowych:

Nawet pomimo takich plakatów:

i pomimo opisanych przez nas parę lat temu incydentów z metadanymi na Ukrainie, gdzie wcale Rosjanie nie stacjonowali.

Czasem aktywność pojawia się pośrodku niczego, ale jeśli podłoży się pod ten obszar nowszą, aktualniejszą mapę, to widać, że coś się tam wybudowało:

Miejscowi biegający w kółko?

Jeśli mapa jest niedokładna lub rozmyta, jest szansa, że biegacze wyznaczą jej “siatkę”.

Okazuje się, że z urządzeń, z których Strava zczytuje dane korzstają także VIP-y:

Chociaż wprost USA twierdzi, że na podstawie m.in. metadanych z takich urządzeń …bombarduje swoje cele:

Tu warto przypomnieć, że w USA były incydenty, w których zginęli ludzie, bo ktoś do sieci wrzucił zdjęcie bazy wojskowej w której stacjonował. A zamiast lajków poleciały moździerze…

Na mapie Stravy ciekawie wygląda też różnica pomiędzy południową i północną Koreą. To co świeci się na północy, to raczej nie baza wojskowa, a przedstawiciel pierwszego świata w podróży.

ale najwięcej “baz wojskowych” i tak jest w innym miejscu. Poznajecie gdzie?

W tym kontekście ciekawi wygląda też siedziba Google. Zastanawiające, jaki sport tam uprawiają:

A jak z polskimi “tajnymi” obiektami?

Sprawdziliśmy dla Was aktywność wokół najpopularniejszych ośrodków i siedzib polskich służb. W Starych Kiejkutach, ośrodku szkoleniowym polskich szpiegów są 2 widoczne “nitki”:

Trochę większa aktywność na parkingu przed warszawską siedzibą Agencji Wywiadu i na okolicznej polanie. Ale bliskość miasta i niedokładność niektórych trackerów może to wyjaśniać.

Ośrodek szkoleniowy ABW pod Warszawą — świeci się jasno. Wysportowani, znaczy się!

Przebieżki robią też oficerowie CBA na terenie swojego ośrodka szkoleniowego. Tu ładnie widać, to, czego nie widać, bo przykrywają to drzewa :)

A na koniec, żebyście tak bardzo tym danym nie ufali, popatrzcie na lotnisko w Balicach. Ktoś biega po pasie startowym?

Oczywiście że nie. Po prostu któryś z pasażerów nie wyłączył telefonu w samolocie. Teraz już chyba jasne, że mapa Stravy pokazuje nie tylko dane ze “sportowych” aktywności. I nie zawsze musi pokazywać aktywność osób z danego obszaru. Ktoś mógł wpaść na gościnne występy na dany obszar. Warto o tym pamiętać przy ocenie polskich służb. Do tych ośrodków zaprasza się sporo osób z zewnątrz i nie zawsze zabiera się im telefony.

Zanim zaczniesz hejtować wojskowych ze screenów powyżej…

Sprawdź swoją historię lokalizacji na Google. Jeśli masz Androida, domyślnie Twoje położenie jest przekazywane do chmury Google — historię sprawdzić pod tym adresem.

Funkcja ta jest przydatna chyba tylko dla tych osób, które nie pamiętają o której i którędy wróciły do domu po suto zakrapianej imprezie. Dla innych stanowi ona raczej większe zagrożenie niż okazjonalne skorzystanie z aplikacji Strava.

Już widzimy te nagłówki w dzisiejszej prasie…

Zapewne temat mapki od Strava.com niebawem podchwycą mainstreamowe media. Już nie możemy się doczekać nagłówków w stylu “Zobacz gdzie biegają pracownicy ABW” albo podobnych. Problem w tym, że…

1. W żaden sposób dane ze Strava nie zdradzają lokalizacji tajnych baz wojskowych. Wierzcie nam, że każda osoba mieszkająca w promieniu kilkunastu kilometrów od takiego obiektu doskonale wie, że on tam jest i że stacjonują tam żołnierze (albo inne służby). Często po prostu zdradza to wysokie ogrodzenie, drut kolczasy i tabliczki teren wojskowy. Naprawdę ciężko to przeoczyć. Jak w przypadku obiektu SKW:

W Polsce zresztą tego typu obiekty można prościej namierzyć. Pisaliśmy o tym już 8 lat temu w artykule pt. Wyszukiwarka polskich tajnych baz wojskowych. Do dnia dzisiejszego na Open Street Maps wszystkie obiekty wojskowe są wyraźnie oznaczone czerwoną krechą (“tajne” ośrodki służb też, nawet jak nikt po nich nie biega z fit-opaską czy smartfonem):

Zresztą nawet i bez takiego oznaczenia bardzo łatwo można lokalizować bazy wojskowe — wystarczy trochę pomyśleć. Na tym blogu znajdziecie przydatne wskazówki od rasowego szukacza tajnych baz.

2. Strava nie narusza też niczyjej prywatności. Jej użytkownicy mogą nie tylko wypisać się z wyświetlania swoich danych na mapie ale również ustawić tzw. strefy prywatności (aplikacja nie nagrywa lokalizacji na danym obszarze, np. okolicy kilku km od domu). Nie mówiąc już o tym, że dane “ćwiczenie” można ustawić jako całkowicie prywatne. W każdym z tych 3 przypadków, danych nie ma na mapie.

Co więcej, jeśli ktoś się zagapił i nie wyłączył “trackingu” na telefonie, z którym wrócił do domu i przebywał w nim przez kilka godzin, to normalnie na mapie Stravy ten dom byłby oznaczony bardzo jasnym punktem (dużo raportów z jednego wąskiego obszaru). Strava to przewidziała i dlatego ze swojej mapy wyklucza takie “anomalie”:

Data from non-moving activities can have the undesirable effect of highlighting homes or businesses. A new algorithm does a much better job of classifying stopped points. If the magnitude of the time averaged velocity of an activity stream gets too low at any point, subsequent points from that activity are filtered until the activity breaches a specific radius in distance from the initial stopped point.

Podsumowując, na mapie Stravy pojawiają się więc informacje z urządzeń tylko tych wojskowych, które nie potrafią zmienić ustawień w aplikacji, bo nie wierzymy, że któryś z nich chciałby tego typu dane ujawniać. Takich “cyfrowych analfabetów” niestety jest coraz więcej.

O tym, czym grozi brak świadomości, że zdjęcia wykonywane aparatem i wrzucane np. na Twittera zawierają w swoich metadanych lokalizację? Pisaliśmy już o tym w artykule pt. Terrorysta zrobił selfie i został zbombardowany

Ale nie wszędzie! Są też na mapach Stravy obiekty wojskowe, które albo zatrudniają świadomych żołnierzy (lub takich, którzy nie są wysportowani) albo po prostu mają dobrą ochronę przed ulotem elektromagnetycznym (por. TEMPEST). Oto Pentagon:

I sławna “Area 51” na pustyni w Newadzie:

Całkiem nieźle pod tym kątem radzi sobie także nasza Służba Kontrwywiadu Wojskowego (przy założeniu, że już zajmuje te budynki, które kilka lat temu remontowała):

Dla kogo takie dane mogą być problemem?

Niektórzy podnoszą, że dla wojskowych. Ale nie z powodu, o którym huczy internet — czyli ujawnienia lokalizacji tajnej bazy wojskowej. Z powodu zdradzenia codziennej rutyny. Jeśli żołnierze wychodzą pobiegać poza obszar bazy, to ktoś może wydedukować najpopularniejsze trasy biegowe. I tam na żołnierza się zaczaić.

Jeśli jednak spojrzymy na tę sprawę od strony terrorysty — to informacje ze Strava.com nie będą nam do niczego potrzebne. Skoro żołnierze biegają często, można ich po prostu poobserwować. Okiem. Do internetu niepodłączonym. Takie oko ma jedną przewagę nad fit-opaskami i telefonami. Zauważy też żołnierzy, którzy z nich nie korzystają.

Strava stanowi zdecydowanie większy problem dla przemytników i karteli narkotykowych. łatwo można zauważyć, gdzie mają swoje szlaki. Tu granica USA – Meksyk obok San Diego:

A tu Ekwador i Kolumbia:

Nie tylko Strava może Cię zdeanonimizować. Facebook, Tinder, Endomondo, Runkeeper itp.

Od dawna na naszych szkoleniach poświęconych urządzeniam mobilnym oraz prywatności pokazujemy przykład, jak łatwo można namierzyć czyjś adres zamieszkania poprzez Facebooka, nawet jeśli nie ujawnił go w profilu i nie czekinuje się w swoim domu oraz nie wrzuca zdjęć z tej okolicy. Oto slajd z naszego wykładu pt. “Jak nie dać się zhackować“:

Tak, nie tylko Strava upublicznia “mapki” z biegania, czy rowerowych podróży. Takich aplikacji są dziesiątki. Runkeeper, Endomondo. Wcale też nie trzeba przeglądać godzinami czyjegoś profilu, aby na nie trafić na czyimś koncie na Facebooku, wystarczy jeden prosty trick…

Jeśli chcesz go poznać, razem z kilkudziesięcioma innymi poradami odnośnie tego jak zabezpieczyć swój komputer i smartfon przed atakami i swoją prywatność przed naruszeniem, to zapraszamy 31 stycznia do Poznania. Tam o godz. 18:00 odbędzie się nasz wykład pt. Jak nie dać się zhackować i zostały na niego ostatnie wejściówki. Rezerwacji miejsca można dokonać tutaj.

Lokalizowanie osób w pobliżu umie też natywnie sam Facebook, Snapchat i szereg innych aplikacji, dlatego…

Biegam z fit-opaską albo telefonem — co robić, jak żyć?

…przede wszystkim przejrzyj ustawienia dotyczące lokalizacji w swoim koncie Google (zrobisz to tutaj) oraz obowiązkowo na Androidzie lub iOS. Na iPhone bardzo ładnie widać, jaka aplikacja i kiedy może korzystać z usług lokalizacji. Jeśli którejś nie rozpoznajesz lub uważasz, że ma zbyt szeroką możliwość śledzenia Twoich ruchów — po prostu zabierz jej uprawnienia.

Przejrzyj ustawienia prywatności swojej aplikacji do biegania. (I Snapchata i Facebooka i każdej innej, której pozwoliłeś na dostęp do usług lokalizacji). Jeśli chcesz mieć statystyki szybkości, różnicy wysokości i nagraną trasę — nie ma opcji, usługi lokalizacji na Twoim telefonie będą musiały zostać włączone dla danej aplikacji. Twórcy aplikacji poznają lokalizację startu i końca Twojego “ćwiczenia”. Nie oznacza to jednak, że musi ją poznać cały świat.

We wszystkich aplikacjach, z których korzystali nasi redaktorzy znajdują się opcje pozwalające na zachowanie historii “ćwiczeń” dla siebie. Pamiętaj tylko, że nawet jeśli aktywujesz taką ochronę, to nie uchroni Cię ona przed ujawnieniem tego typu danych w przypadku włamania na serwery producenta Twojej fit-opaski albo apliakcji, którą wykorzystujesz jako sportowy tracker. Tu idealnie pasuje jeszcze jeden slajd z naszego wykładu:

W Polsce, to najgorszy byłby Yanosik, ale…

Na koniec, pozwólmy sobie zauważyć, że poważniejszym zagrożeniem dla prywatności byłoby opublikowanie podobnej mapy od któregoś z dostawców nawigacji samochodowych, Google Maps czy popularnego w Polsce Yanosika. Dlaczego? Bo wtedy można by było udać się na mapie pod siedzibę AW, ABW lub SKW i po prostu popatrzeć na “nitki”, które zaczynają się na parkingach pod tymi budynkami i prześledzić je pod …no właśnie, gdzie po pracy wracają oficerowie tych służb?

Ale taki lokalizacyjny Armageddon i prywatnościowy koszmar chyba nam nie grozi. Google nigdy nie pozwoliłoby sobie na opublikowanie takich danych, a gdyby do takiego projektu zabrał się Yanosik, to prawdopodobnie nic by z tego nie wyszło. Yanosik przecież ostrzega przed radiowozem, który znajduje się na drodze 2 kilometry od nas, ale takim od którego się oddalamy, więc nie przypuszczamy, że poprawnie ogarnąłby wymagającą większej precyzji analizę danych ;)

Przeczytaj także: