Wi-Fi слід – маловідомий, але критичний демаскуючий фактор у цій війні

У сучасній війні Wi-Fi перетворився на головний демаскуючий технічний фактор. Більшість користувачів сприймають його як «невидимий» та безпечний інтерфейс для з’єднання з інтернетом, котрий майже завжди доступний «під капотом» у багатьох засобах зв’язку – від смартфона чи пульта керування дроном, до супутникового термінала (Starlink, OneWeb, SatCube та інших) і більшості інших систем передачі даних.

Але сьогоденна реальність проста: і Wi-Fi мережа, і пристрої з Wi-Fi «світяться» у сотні разів інтенсивніше будь-якої супутникової тарілки. І крім того, що вони легко виявляються та локалізуються засобами радіоелектронної розвідки (РЕР), вони ще й залишають Wi-Fi слід, який читається спеціальними системами аналізу даних.

Для силових структур, військових підрозділів і навіть цивільних користувачів у прифронтових районах це означає одне: не Wi-Fi забезпечує зв’язок, а Wi-Fi видає вас ворогу. Саме він стає найбільш зручним маркером для виявлення позицій, визначення маршрутів і збору розвідувальної інформації.

Давайте розбиратись, що таке «Wi-Fi слід», чому він становить небезпеку, які інструменти збирають і використовують ці дані, та які практичні заходи радіо- й кібергігієни допоможуть мінімізувати ризики. Зробимо це доволі простою мовою, але з точними технічними деталями, щоб і не фахівці зрозуміли сутність проблеми, а фахівці мали достатню глибину.

Важлива ремарка від автора – у цій статті я обмежуюсь виключно публічно доступними даними. Тобто матеріал не містить жодних секретних чутливих даних чи прикладів, котрі можуть використовуватись при закритому навчанні фахівців чи в не публічних виступах та матеріалах

Що таке Wi-Fi слід?

Кожна Wi-Fi мережа й кожен пристрій із модулем Wi-Fi постійно створюють набір сигналів, які видно далеко за межами приміщення чи бази. Ці сигнали формують так званий Wi-Fi слід (Wi-Fi fingerprint або trail) – такий собі «цифровий запах», який можна виявити, записати, відстежити та проаналізувати.

Як «світиться» WiFi?

Будь-які WiFi пристрої, від точок доступу та роутерів, до смартфонів, годинників, відеокамер спостереження та всіляких «розумних пристроїв» завжди передають певні дані у вигляді службових пакетів. Ці пакети передаються у відкритому вигляді, їх може перехопити будь-який приймач у радіусі дії – від простого сканера на смартфоні до спеціалізованих засобів РЕР.

• Beacon (маяк): кожна точка доступу періодично транслює службові пакети з інформацією про мережу – SSID (назва), BSSID (MAC-адреса точки), стандарт, підтримувані швидкості тощо.
• Probe-запити: клієнтські пристрої (смартфони, ноутбуки, планшети, дрони) надсилають запити в ефір, шукаючи знайомі мережі. У цих запитах часто зберігається список «улюблених» SSID, що дозволяє відновити маршрут руху або ідентифікувати власника.
• Інші службові кадри: асоціації, авторизації, пакети управління, що також містять метадані.

Отже, навіть якщо до вашої мережі не підключені пристрої, це зовсім не значить, що вони «невидимі». І сама мережа, і більшість пристроїв навколо вас все рівно будуть «світитись в ефірі».

Отже, перша складова Wi-Fi сліду – це службові пакети даних, котрі зчитані якимось пристроєм. Наприклад – вашим власним смартфоном, без будь-якої вашої участі чи бажання.

Vendor telemetry та «розумні пристрої»

Wi-Fi слід створюється не лише в момент підключення до мережі. Сучасні смартфони та IoT-пристрої регулярно виконують фонові сканування і відправляють зібрані дані виробнику або у сторонні SDK (Software Development Kit). У цих даних фіксуються:

• BSSID (унікальна MAC-адреса точки доступу),
• SSID (символьна назва мережі),
• рівень сигналу (RSSI),
• час і координати (якщо ввімкнена геолокація),
• ідентифікатори пристрою чи додатку.

Таким чином формується глобальна «карта Wi-Fi», яка накопичується вендорами – виробникам пристроїв, операційних систем та популярних додатків. Маючи координати та рівні сигналів, використати трилатерацію для доволі точного визначення положення цільового пристрою – зовсім не складна задача.

Різноманітні гаджети завжди є навколо нас – смартфони та планшети, бортові системи в автівках та відеореєстратори, розумні колонки та SmartTV, розумні годинники та контролери розумного дому, розумні повербанки та ПК – і це ще геть не повний перелік. Більшість з цих пристроїв має WiFi/Bluetooth модуль і відповідне ПЗ, котре збирає ті чи інші дані.

Деякі з таких пристроїв постійно увімкнені як точка доступу (AP) і по суті самі розкидають свій WiFi слід. Але головне – більшість з них збирає та передає телеметрію та дані зі своїх WiFi та Bluetooth/BLE модулів в ті чи інші бази даних. По суті – ми маємо навколо мільйони гаджетів та пристроїв, котрі постійно виконують функцію WiFi та Bluetooth/BLE сканерів.

Якщо спробувати лише коротко описати специфіку та можливості сканування кожного типу згаданих пристроїв – це забере доволі багато місця та часу. Тому наразі підкреслю лише один приклад гаджетів, котрі є буквально повсюди навколо нас – смартфони та планшети. Тому що кожен з них може сканувати WiFi та Bluetooth в своєму оточенні навіть тоді, коли ми цього не хочемо.

Background scans і «Airplane mode»

Багато хто перебуває в ілюзії, що достатньо просто тицьнути в кнопку вимикання WiFi та Bluetooth, чи навіть «просто увімкнути Режим польоту», і все – жодні дані не збираються і не передаються. Але насправді це не так… чи точніше – не зовсім так…

Окремий ризик для багатьох сучасних гаджетів – це фонові сканування, які можуть працювати навіть тоді, коли користувач вважає, що Wi-Fi вимкнено або ввімкнено режим польоту.

• У налаштуваннях смартфонів існують опції «Wi-Fi scanning» чи «Bluetooth scanning для покращення геолокації». Якщо їх не вимкнути, пристрій може продовжувати збір даних навіть при вимкненому Wi-Fi. Але в широкого кола гаджетів ці параметри попросту не доступні для вимикання.
• Деякі дослідження й практики показали можливість «фейкового airplane mode», коли на екрані модулі нібито вимкнені, але насправді пристрій продовжує комунікацію. На жаль, виявити, як саме реалізований «Режим польоту» у тому чи іншому смартфоні того чи іншого виробника, можливо лише в результаті кропіткого дослідження.
• Публічних універсальних доказів, що всі смартфони навколо завжди так роблять, немає. Але вже є публічні публікації про виявлені інциденти і цей ризик виключати не можна: він залежить від моделі, прошивки, налаштувань і наявних SDK.

Це означає: навіть у режимі, який здається «тихим», пристрій може залишати Wi-Fi слід, а також працювати своєрідними РЕР-сканером. Для військових це критичний фактор, який потребує дисципліни й перевірки на рівні конкретних пристроїв.

Куди течуть дані?

Зібрані дані надсилаються до різноманітних баз даних – серед них як бази даних великих вендорів, так і різноманітні комерційні, рекламні та навіть відкриті проекти. Звісно, це все мало якісь «благі наміри»… Але по факту ми маємо тепер навколо світ, в котрому можливо відстежити та локалізувати будь-кого.

На основі зібраних даних формуються великі бази (Big Data) геолокації Wi-Fi. Публічні приклади – WiGLE.net, Mozilla MLS (архів), Skyhook. Але існують і комерційні або закриті бази, доступні тільки фахівцям. Не кажучи вже про внутрішні бази даних вендорів. У цих базах кожен BSSID може мати «прив’язку» до координат і часу, створюючи картину руху чи присутності пристроїв. Про це детальніше якраз і піде мова далі.

Це створює додатковий ризик: навіть «вимкнений» чи «непідключений до мережі» Wi-Fi пристрій може залишати слід у базах даних, доступних для CYBERINT чи OSINT аналітики.

Де можна знайти всі Wi-Fi сліди планети?

Wi-Fi слід не зникає в повітрі. Дані, які пристрої й мережі транслюють у радіоефірі, накопичуються та зберігаються у величезних масивах. Частина таких даних доступна публічно, інша – збирається вендорами й сторонніми сервісами. У результаті створюється глобальна карта Wi-Fi, яка дає змогу визначати місце розташування й рух користувачів та мереж.

OSINT-сервіси

Відкриті або напіввідкриті платформи дозволяють будь-кому отримати доступ до даних про Wi-Fi мережі:

• WiGLE.net – волонтерська база, що формується з wardriving-записів користувачів. За BSSID у ній можна знайти координати точки доступу та час останнього виявлення.
• Skyhook – комерційна система геолокації, яка також опирається на Wi-Fi бази.
• Mozilla MLS (тепер архів) – приклад спроби зробити відкриту альтернативу.

Це геть не повний перелік, але і його достатньо, щоб усвідомити – навіть без складних інструментів достатньо знати BSSID, щоб через такі сервіси знайти геолокацію мережі. Отже, можемо їх вважати гарними джерелами для OSINT аналітики, доступної всім – нам та союзникам, але і противнику…

CYBERINT-масиви

Другий рівень – це вендорські телеметрії та сторонні SDK (third-party SDKs).

• Вендори ОС та пристроїв (Google, Apple, виробники смартфонів) регулярно отримують від гаджетів дані про навколишні мережі: BSSID, SSID, рівень сигналу, timestamp, іноді координати.
• Сторонні SDK у додатках (рекламні, аналітичні, антифрод-сервіси) теж збирають Wi-Fi дані й відправляють їх у власні бекенди. Користувач часто навіть не здогадується, що додаток «під капотом» передає інформацію про всі точки доступу довкола.

Ці масиви даних значно більші й багатші, ніж будь-яка відкрита база. Той, хто має доступ до таких даних, може:

• відстежувати маршрути конкретних пристроїв;
• прив’язувати Wi-Fi точки до конкретних осіб чи організацій;
• корелювати Wi-Fi записи з іншими ідентифікаторами (GPS, мобільна мережа, IDFA/AAID).

Це й є рівень CYBERINT – коли аналітика на основі масивів телеметрії дає можливість будувати детальні картини активності та навіть визначати геолокацію.

А якщо поєднати засоби РЕР з можливостями CYBERINT, що зараз дуже наполегливо пробує противник, то кумулятивний результат дає дуже потужні можливості. Саме недооцінка цих можливостей і може бути смертельно небезпечною.

Практичні ризики

Wi-Fi-слід – це не абстрактна загроза, а набір конкретних ризиків, які реалізуються на практиці і можуть мати серйозні наслідки для безпеки підрозділу, персоналу, техніки та інфраструктури. Нижче – перелік ключових сценаріїв ризиків.

• Локалізація позицій і техніки
• Відстеження руху й маршрутів (pattern-of-life, tracing)
• Ідентифікація ролей/підрозділів через неймінг і метадані
• Кумулятивна аналітика (CYBERINT)
• Компрометація каналів та систем через цільові кібератаки на визначені через WiFi слід мережі чи пристрої
• Цілеспрямовані операції (дійсні TTP противника)

Важливо розуміти, що наявність WiFi та Bluetooth/BLE в дуже багатьох пристроях попросту неочевидна:

• Чимало сучасних зарядних станцій (містких повербанків) мають в собі WiFi/Bluetooth/BLE модулі, котрі інколи навіть неможливо гарантовано вимкнути кнопкою.
• Дуже багато моделей електронних сигарет містять BLE модулі. Це не WiFi, але їх слід також може бути визначено та передано в бази даних при певних умовах. Також ці пристрої можуть бути локалізовані засобами РЕР на БПЛА на малих висотах.
• Всі зазначені ризики смартфонів та планшетів також актуальні і для розумних годинників.
• Значна кількість відеокамер спостереження, погодних станцій та інших пристроїв має на борту активний WiFi модуль, котрий також неможливо вимкнути кнопкою.
• Переважна більшість систем відеоспостереження для автівок та автомобільних мультимедійних систем з функцією бездротового підключення смартфонів тощо, не просто мають WiFi/Bluetooth/BLE модулі, а часто працюють в режимі точки доступу. Тобто по факту, ці системи – такий собі добровільно причеплений до транспорту WiFi-маячок.

Важливі моменти

• Найбільша небезпека – комбінація: поєднання радіопеленгації з накопиченою телеметрією і OSINT-базами дає значно більшу точність, ніж будь-який із методів окремо.
• Ризик зростає з часом: чим довше точка доступу або клієнт «світяться», тим більше даних накопичується та зростає ймовірність кореляції. Чим більше накопичено WiFi слідів – тим точніше геолокація.
• Неконтрольовані сторонні елементи (смартфони персоналу, IoT, сторонні SDK) – найслабша ланка.
• Контрзаходи дають ефект, але не гарантують 100% захисту. Комбінація технічних, процедурних і організаційних заходів істотно зменшує ризик, хоч і вимагає дисципліни і регулярного контролю. 100% захисту не існує, але кожний відсоток = збереженні життя.

Отже, маємо простий висновок – противнику достатньо знати лише BSSID WiFi мережі в командному пункті чи центрі керування дронами, щоб визначити його точне положення для дорозвідки та бойового ураження.

Зменшуємо Wi-Fi сліди – радіо- та кібер-гігієна

Найбільша небезпека Wi-Fi полягає в тому, що він створює слід завжди – навіть коли користувач не підключається до мережі. Тому завдання гігієни полягає не у «повному захисті» (його немає), а в мінімізації сліду. Це поєднання технічних налаштувань і дисципліни користувачів.

Базові правила

• Пріоритет дроту – у бойових умовах краще відмовитися від Wi-Fi повністю й використовувати дротові підключення.
• Мінімізація часу роботи Wi-Fi – якщо без Wi-Fi ніяк, його радше слід вмикати лише на короткі проміжки часу (time-boxing).
• Мінімізація зони покриття. Зниження потужності передавача й екранування (сховані точки під землю, у бліндаж/укриття та т.п.).
• Вимкнення непотрібних радіомодулів. Смартфони, ноутбуки, IoT-пристрої повинні мати Wi-Fi і Bluetooth вимкнені поза моментами реального використання.
• Моніторинг радіо-гігієни WiFi/Bluetooth/BLE – якщо у підрозділа немає можливості скористатись відповідними засобами РЕР чи моніторингу, то відстеження оточення підрозділу хоча б простими та загальнодоступними програмами WiFi/Bluetooth сканерів для смартфонів – вже дуже ефективний крок.

Рекомендовані технічні заходи

• Нейтральні SSID. Уникати назв, що вказують на приналежність («HQ», «Starlink», «Army»). Рекомендовано використовувати випадкові чи нейтральні імена. В жодному випадку не залишати оригінальні назви, по замовчанню встановлені виробниками.
• Регулярний reset і зміна BSSID. Різні пристрої мають різні можливості, шляхи та інструменти для зміни BSSID. Наприклад, у випадку Starlink – це Factory reset. Фахівці зазвичай знають де шукати описи та засоби такої зміни. Регулярна зміна BSSID, а ще краще з рандомізацією – знижує ризик накопичення даних у базах.
• MAC-рандомізація. Вмикати на всіх клієнтах, але пам’ятати, що вона не абсолютна (особливо при асоціації з AP).
• Оптимізація потужності. Використання нижчої потужності передавача зменшують дальність і видимість сигналу. Певну користь можуть принести і направлені антени.

Звісно, існує і певний набір організаційних заходів. Втім, це питання доволі добре врегульовано вже існуючими службовими регламентами, інструкціями та політиками, тому не будемо це деталізувати у публічному форматі.

Wi-Fi не можна зробити «невидимим», але можна зробити його короткочасним, слабким і безпечнішим. Це досягається комбінацією технічних налаштувань і організаційної дисципліни.

Оригінальний текст був опублікований на сторінках SkyLinker 02 жовтня 2025. Доступні також відео міні-лекція та аудіоподкаст, створені на основі публікації.