Después de la recolección

La mayoría de los flujos de trabajo de análisis presentados en FADe project se han basado en la premisa de recopilar el tráfico de los Bloques de Información del Sistema de todas las torres o antenas monitoreadas dentro de las redes de interés, estos Bloques de Información del Sistema son parte de la especificación GSM (Sistema global para dispositivos móviles) y algunos protocolos complementarios que contienen información sobre:

  • La torre o antena actual que se monitorea, tales como la frecuencia de transmisión, el país y el proveedor de servicio.
  • Información contextual sobre el lugar y la red alrededor de la torre monitoreada, tales como la frecuencia de las torres vecinas, y un código de área compartido entre otras torres en la misma zona geográfica.
  • Parámetros técnicos de rendimiento para cada torre, tales como la intensidad mínima de la señal de un teléfono para conectarse a una torre, con qué frecuencia se necesita «actualizar» la conexión o, incluso, cuánta energía se requiere para mantener la conexión a esta torre a lo largo del tiempo.
  • Datos relativos a áreas específicas de otros protocolos utilizados, como GPRS (en inglés General Packet Radio Service) o parámetro adicional 4G. Esta información solo se obtiene cuando esos protocolos se utilizan de manera tan general que obtenemos menos información de este tipo.

 

Criterios de selección de eventos para cada tipo de prueba

Tanto en los mapas de resultados como en la tabla de casos manejados en el proyecto, se proponen tres (03) niveles de anomalía,  bajo, medio y alto de alerta para agregar énfasis a los casos más relevantes:

En principio, todos los casos por defecto se agregan con nivel medio, salvo en los siguientes escenarios:

  • Cuando existen más de dos (02) casos en la misma torre se incrementa el nivel a “alto”.
  • Cuando existe un (01) caso en una prueba de alta importancia se sube el nivel a “alto”.
  • En algunos casos particulares desarrollando una justificación es posible incrementar el nivel a “alto”.
  • Si sólo existe un (01) caso en una torre, de una prueba marcada como de menor confiabilidad, se cambia el nivel a “bajo”.

 

                 Baja

          Media

        Alta

High

Figura 1. Niveles de amonalía en resultados

 

Análisis de valores atípicos de parámetros de red

 

Para una gran parte de los campos transmitidos por estas torres o antenas, los proveedores de servicio se pueden definir de una manera estandarizada para establecerles en la red; por lo tanto, se espera que todas las torres de la misma red compartan el mismo valor o al menos un conjunto convincente de valores similares para varios campos.

En función a lo anterior, habremos analizado todos los campos de medición de la misma red y luego las frecuencias en las que se distribuyen esos valores; Por lo tanto, si encontramos torres con valores particularmente únicos, sabemos que esas torres están configuradas de una manera que no se parece al resto de la red, conduciendo a marcar esas torres como sospechosas.

Para tomar en consideración:  Algunos de los análisis presentados a continuación ya están considerados en el código de Crocodile Hunter, o están siendo implementados. Para el momento del análisis de datos de los monitoreos de Bogotá (Colombia) y Santiago (Chile) la mayoría de estos análisis se hicieron de forma manual. Luego de la publicación de esta documentación se espera que mucho de este análisis se haga efectiva y confiablemente de forma automatizada.

 

Revisión de códigos de país y de red esperados

 

Al tener acceso a la base de datos de mediciones capturadas por el sensor de Crocodile Hunter, se podrá hacer una consulta listando las combinaciones únicas de códigos MCC (país) y MNC (compañía celular), en búsqueda de valores no esperados. Con esos valores obtenidos será posible hacer otras consultas para determinar cuáles antenas específicas fueron detectadas con anomalías de código de país y/o red móvil.

En un escenario potencial, pueden ser hallados ciertos valores sospechosos de códigos de país (MCC) y de red (MNC) que son conocidos por ser de proveedores en países extranjeros, en cuyo caso dependiendo de cada conjunto de valores observados, la anomalía podría ser explicada (por ejemplo, una antena de un país vecino en un sector fronterizo). En otros casos es posible observar códigos anómalos que no están asociados a ningún país o están asociados a países muy lejanos.

De la misma manera, en el caso de valores sospechosos de códigos de red (MNC), estos pueden incluso estar acompañados de códigos de país correctos, pero asociados a códigos de red desconocidos para ese país, por lo que resulta relevante también analizar cualquier anomalía en estos campos incluso si el código de país parece ser correcto.

 

Revisión de antenas detectadas en servicios públicos

 

Usando por ejemplo los servicios de Google Geolocation API, Wigle u OpenCellID será posible consultar las antenas vistas y guardar como casos de interés aquellas que son desconocidas por estos servicios.

La herramienta Crocodile Hunter intenta hacer estas consultas para Wigle y OpenCellID cuando hay conectividad a internet durante la medición, sin embargo, en aquellos casos en donde los sensores no dispongan de acceso a internet en algunos momentos del monitoreo, se recomienda hacer estos chequeos de forma manual. En este sentido, una adaptación simple del flujo de trabajo para la metodología SEAGLASS puede servir también para Crocodile Hunter, y así realizar la consulta automatizada de antenas a través de sus códigos promocionados en la red.

Al hacer esta revisión, encontraremos en la mayoría de los casos información consistente (las antenas son reconocidas en ubicaciones similares a las observadas), sin embargo, en algunos casos anómalos, algunas antenas pueden ser desconocidas para estos servicios. Puede deberse a varias razones:

  • La antena fue recientemente instalada o reconfigurada. En este sentido, se recomienda tener en cuenta cuánto tiempo pasó entre el momento en que fue vista por primera vez y el momento en que se realiza la comprobación.
    • Si la antena fue vista por primera vez muy recientemente, es posible que los servicios utilizados para chequear, aún no tengan la información sobre esta antena.
    • Si la antena fue vista por primera vez un tiempo prudencial en el pasado en comparación al chequeo en los servicios de interés (por ejemplo, en FADe Project se tuvo un período de al menos dos (02) meses entre la finalización de las mediciones y el chequeo de estas antenas), y se considera que los datos que provee el servicio de interés son confiables y suficientemente rápidos en su actualización, puede evidenciar que la antena sólo fue vista por un período de tiempo muy corto, por lo que puede ser considerada sospechosa.

En FADe Project se empleó Google Geolocation API para hacer estos chequeos, ya que poseen información más confiable y frecuentemente actualizada para países en desarrollo en comparación a otros servicios.

 

Chequeo de niveles de sospecha de Crocodile Hunter

 

La herramienta Crocodile Hunter, realiza varios chequeos que pueden ayudar a detectar antenas sospechosas, para esto utiliza un índice de sospecha (suspiciousness) que indica qué tan sospechosa se ve una antena, este índice está disponible tanto en la interfaz web de los sensores Crocodile Hunter como en la base de datos de cada dispositivo. Aquellas antenas marcadas con altos valores de “suspiciousness” pueden ser validadas de forma manual y agregadas como casos de interés.

Debido a que las pruebas que realiza Crocodile Hunter pueden cambiar en el tiempo se recomienda comparar las antenas marcadas como sospechosas con las consideradas en las pruebas anteriores para no considerar un caso de forma duplicada, ya que algunos criterios que son considerados para construir el índice de sospecha pueden perfectamente venir de consideraciones ya previstas en las pruebas descritas anteriormente.

 

 

FADe project es una iniciativa de Southlight House con el apoyo del Open Technology Fund.

 

Este sitio web está disponible bajo Creative Commons Attribution 4.0 International (CC BY 4.0) License creativecommons.org