Автор: Леонид Левкович-Маслюк
Санджай Гоел (Sanjay Goel) – директор по исследованиям Центра информационной криминалистики штата Нью-Йорк (NYS Center for Information Forensics and Assurance), профессор университета SUNY (State University of New-York). Вырос и учился в Индии, защищал диссертацию в Штатах, где с тех пор живет и работает – распространенный биографический паттерн среди индийских техноинтеллектуалов. У него спокойный внимательный взгляд йога, но стрижка – как у морского пехотинца.
Санджай занимается информатическими исследованиями самого широкого профиля: прикладной математикой сетей, их вирусологией и зомбологией (у него есть цикл работ по ботнетам, сетям "зомбированных машин" [Об этой все более грозной напасти недавно писал Родион Насакин ("КТ" #685)]). Санджай ищет в экологии и иммунологии параллели с жизнью сетевой фауны, он применяет очень непростые инструменты анализа – например, вычисление "колмогоровской сложности", – да еще и немедленно переносит идеи в область оценки рисков инвестирования.
Ну а боевая стрижка объясняется долгосрочным исследовательским сотрудничеством с департаментом полиции штата Нью-Йорк. Один из проектов – технологии поиска и картирования сетевых следов второго по упоминаемости в медиа (после "международного террориста") злейшего врага человечества – "сексуального хищника, угрожающего детям" (child sexual predator), для краткости назовем его просто «предатор» (не так уж уродливо, если сравнить со многими уже общепринятыми кальками с английского). Совместные разработки университета, полиции и других заинтересованных организаций достигли вполне рабочего уровня. Во всяком случае, доклад Гоела на семинаре завершился показом многочисленных карт городских районов, усеянных разноцветными флажками в виде перевернутой капли – словно булавками, что удерживают добытые энтомологом ценные экземпляры коллекции.
Система, как мы уже писали ("КТ" #686), вызвала большой интерес у наших ИБ-специалистов из МГУ, и сейчас вовсю планируется совместный проект МГУ и SUNY. Но в том варианте ppt’шника, который я в конце концов заполучил, слайдов с булавками уже не было. Оказалось, что на лекции мы видели чуть ли не реальные оперативные сводки полицейского департамента, с фамилиями и адресами настоящих подозреваемых; цвет флажка кодировал степень уверенности властей в необходимости срочно изолировать данного персонажа от менее опасной части общества. Передавать эти данные в открытую печать разработчики, естественно, не стали. Похоже, что и многие технические подробности исчезли вместе с картами и флажками, и это тоже правильно – ибо предатор не дремлет и, узнав эти подробности, может выскользнуть из сетей.
Однако и без всего этого большой интерес представляют две вещи: сам факт появления подобных систем, а также принципы их функционирования и проблемы, ему препятствующие. Отметив факт, перейдем к принципам и проблемам.
"Много данных, но мало информации!"
Этот лозунг часто повторяют по самым разным поводам. В ситуации, о которой идет речь, главное препятствие на пути превращения данных в информацию – их разрозненность. Предположим, в чатах обнаружена подозрительная активность, наводящая на мысль о появлении предатора. Обнаружить ее можно по сигналу программы-монитора, настроенной на определенные параметры контента – или по личным впечатлениям агента-оперативника, мониторящего этот чат или форум, маскируясь под обычного участника. Кстати, в качестве агентов все чаще выступают гражданские добровольцы, работающие на свой страх и риск и лишь в последний момент перед задержанием выслеженного злодея вступающие в контакт с «органами» (см. врезку об очень интересном явлении – сетевом виджилантизме [network vigilantism], касающемся не только антипредаторства, но и антитерроризма). Однако в данной системе такие источники информации, по-видимому, не учитывались. Так или иначе, первая задача – установить, кто может скрываться под ником, вызвавшим подозрения. В отличие от виджиланте (борцов за охрану порядка, так сказать, "по понятиям"), полиция имеет доступ к огромным массивам данных, которыми располагают госорганы. Она может – но лишь при соблюдении корректного юридического протокола! – рассчитывать также на доступ (в рамках так называемых точечных операций) к нужным данным через провайдера или средствами "легального перехвата" (аналога нашего СОРМа – см. врезку в материале "Инструктаж").
Однако на практике наличие этих возможностей и их реализация – совсем не одно и то же. Очень важной частью всей работы по проекту было создание системы C-Map для картирования и анализа данных из баз о криминальной активности. Туда же интегрируются и данные, получаемые от провайдеров В результате возникают упоминавшиеся выше красивые карты (создаваемые при помощи популярной геоинформационной системы [ГИС] MapInfo), где подозреваемые отображены флажками. Географическая составляющая – хотя бы простое наложение карт криминальной активности на карту школьных округов, других административных образований, – как раз обеспечивает превращение данных в "информацию". Потенциальные предаторы А, B, C живут в школьном округе Х, а в чате некто зазывает в гости с какими-то зловещими намерениями девочек и мальчиков именно из школы этого округа – такое сопоставление сразу порождает несколько флажков на карте. Ну а дальше начинается более сложный анализ. Хотя, рискну предположить, и не использующий модели из иммунологии и "колмогоровскую сложность". Но это лишь предположение.
Но даже после того, как выставлены красные флажки и крепкие ребята с прическами, как у Санджая (но не носящие профессорского титула), сделали свое дело – например, «приняли» предатора, – возникает серьезная задача предъявления улик, доказывающих суду, что за предатора не приняли человека, непричастного ни к каким гнусностям. Так вот, вторая часть системы нацелена как раз на решение этой задачи. Более того. Именно эта часть и считается "критическим ингредиентом" в работе с компьютерной преступностью. Надо уметь внятно предъявить доказательства, собранные по следам, которые оставлены не в форме отпечатков пальцев или смятых окурков. Киберкриминалистика имеет дело с маловещественными объектами – следами сетевой активности, битами и байтами в файлах на каких-то удаленных серверах. И извлечь из этих байтов четкие, понятные и убедительные для суда доказательства того, что именно этот человек планировал нечто ужасное и уже сделал такие-то и такие-то шаги для реализации своих планов, совсем не тривиальная задача. Здесь превратить данные в информацию пока не получается, но вряд ли могут быть сомнения в том, что скоро получится. И венцом всей этой деятельности должна быть система, которая не просто позволяет эффективно заниматься киберкриминалистикой, а еще и автоматически демонстрировать имеющиеся улики (например – по-видимому! – доказательно подлинные логи чатов) прямо в зале суда.
Глобализация
Вполне естественно, что если ситуация по каким-то параметрам выходит за пределы школьных округов штата Нью-Йорк, и даже всех Соединенных Штатов, – например, по ходу дела всплывают какие-нибудь серверы на территориях, до которых ребятам со стрижкой под "Морских котиков" добраться не так просто, – то сразу же возникает та самая история с согласованием национальных законодательств, сотрудничеством стран в киберпространстве (а для начала – выработкой хоть какого-то юридического понимания, что же это такое – киберпространство) и тому подобными совсем не инфотехническими проблемами, о которых много говорилось в первой части этой темы номера (см. «КТ» #686). Более того, глобальное единство киберполиций разных стран позволит делать нечто гораздо большее, нежели обкладывать флажками какого-то жалкого предатора. Ключевые слова известны – это и отмывание денег и, разумеется, терроризм, да и много чего еще. Ну а в применении к глобальной ловле предатора текущие задачи, к которым подключается все больше академических учреждений, примерно таковы.
Надо разработать надежную систему автоматического анализа текстов чатов и форумов, которая бы быстро локализовывала подозрительную активность. Она же должна вести и анализ мотивов, намерений, образа действий предполагаемого предатора. Все это должно работать в глобальном масштабе, то есть форумы и чаты и в Китае, и в Индии, и в России, и в Штатах должны быть в достаточной мере прозрачны для такой системы. А для этого нужны глобальные же юридические сдвиги. Важнейший из них – убрать «асимметрию» национальных законодательств. Проще говоря, движение к глобальной экономике потребует введения общих для всех законов. Но как это сделать?
Очень трудно – ведь законы основаны на культурных и социальных нормах разных стран и народов, а эти нормы меняются крайне медленно. Есть ли выход? Есть. Нужно работать над их согласованием, не пытаясь форсировать события. К этому сводится ответ, который дал Санджай Гоел – подчеркнув, что он опирается не только на логику, но и на свой опыт, опыт человека, рожденного и воспитанного на Востоке, живущего и работающего на Западе.
Мудрый ответ, вне всякого сомнения. Тем более что других вариантов пока, слава богу, все равно не видно.
Слово «виджиланте» (vigilante, множ. vigilanti) пока не вошло в русский язык – думаю, что не столько из-за трудной произносимости, сколько потому, что у нас особенно-то и нечего им обозначать. Отряды виджиланте – это группы граждан, самостоятельно поддерживающих правопорядок. Причем исторически такой правопорядок мог не иметь ничего общего ни с правом, ни с порядком – так, на Диком Западе в девятнадцатом веке отряды виджиланте частенько занимались линчеванием негров и были скорее похожи на шайки бандитов. Более поздний, новый виджилантизм связан и с экстремальными формами борьбы против абортов, и с патрулированием жителями станций метро и дворов в криминализованных районах, и с пограничными патрулями, выслеживающими нелегальный трафик людей и товаров.
Кибервиджилантизм, сетевой виджилантизм (network vigilantism) – явление совсем новое и иногда принимающее весьма резкие формы. Вот два примера групп, занятых чем-то в этом роде.
Название первой организации – Perverted justice – сразу и не поймешь как перевести. То ли «извращенное правосудие», то ли «правосудие по отношению к извращенцам». Так или иначе, в действиях PeeJ есть элементы и того и другого. Цель – борьба с педофилией в Сети. По выражению самих активистов, они хотят «отравить колодцы» – создать в популярных чатах знакомств, в социальных сетях такую атмосферу, чтобы – буде вы соберетесь туда, дабы познакомиться даже не с детьми, а просто с очень молодыми женщинами, – на душе у вас было малость неспокойно: а вдруг это западня и меня арестуют, едва я к ней подойду?..
Основной метод работы – провоцирование. Взрослые люди – судя по фотографиям, это чаще всего молодые мужчины и женщины (есть и супружеские пары) лет 25–35 – прочесывают чаты и форумы, представляясь ищущими приключений несовершеннолетними. Когда предполагаемый предатор-педофил клюнет, его заманивают на встречу и там сдают полиции. Участники ни от кого не прячутся, на сайте масса фотографий и другой информации. О деталях технологии, способах взаимодействия с полицией и прочих подробностях каждый сам может прочитать на сайте PeeJ. Одну деталь все же стоит привести здесь: согласно "Вопросам и ответам", 50% участников этой группы в детстве подверглись сексуальным злоупотреблениям (в ответах, правда, акцент на том, что 50% участников этого не испытали). Ну а результативность просто-таки ошеломляет и даже озадачивает: в данный момент на сайте ликуют по поводу двухсотого (!!) осужденного по соответствующей статье в результате работы группы. Чтобы заработать первую сотню осужденных, понадобилось два года и пять месяцев, а вторую сотню сделали всего за семь месяцев. Эта динамика, этот азарт производят впечатление.
Ну, а второй пример бэкспейсом возвращает нас к первой статье темы, в которой упоминался сайт Аарона Вайсбурда Sofir (sofir org) – Society for Internet Research (вот интервью с ним для Fox News: youtube com/watch?v=HIQxCSzm-II). Руководящая техническая идея не нова – чтобы победить сеть, надо быть сетью. Собственно, на этом сайте реализованы и многие другие идеи, о которых говорит Яэль Шахар в «Инструктаже». Во всяком случае, там собрано много материала для их реализации – источников фактической, цифровой информации, аналитических статей, и к счастью, это не тот – самый распространенный, увы, особенно у нас, – вид анализа, который признает лишь один источник: заглядывание в бездны собственного интеллекта. Есть и специальный раздел OSINT, разведка по открытым источникам, о которой недавно писал Берд Киви («КТ #690»). Основной проект sofir – сайт Internet Haganah (haganah org il).
Там – мониторинг новостей о терроризме по всему миру и много другой информации.
В целом задача формулируется так: выслеживать терроризм в Сети. Не только «джихадизм» – терроризм вообще. И это реализуется, хотя «джихадистский» терроризм полностью в центре внимания: в частности, здесь ведутся и обновляются списки сайтов и других ресурсов, работающих под лозунгами "джихада". Но кроме сбора информации – по крайней мере на поверхностный взгляд – никаких свидетельств кибербоевых операций не видно. Впрочем, сбор информации – уже серьезное оружие.