CC BY
139
Научная статья
УДК 343
Деанонимизация личности преступника в сети Интернет
Поздышев Роман Сергеевич
Нижегородская академия МВД России, Нижний Новгород, Россия, rmanpzdyshev@rambler.ru
Аннотация. В статье анализируются проблемные вопросы, возникающие в ходе расследования преступлений, связанных с информационно-телекоммуникационными технологиями. Рассматриваются способы установления личности преступника, использующего современные средства, повышающие анонимность действий в сети Интернет. Реализация данных способов проводится на конкретных примерах с приведением ожидаемых результатов и обстоятельств, которые необходимо учитывать при их анализе. Рассмотрены принципы работы виртуальной частной сети, а также особенности взаимодействия веб-браузера пользователя с веб-сайтом. Представлены такие способы установления личности преступника, использующего сеть Интернет, как проверка его ip-адреса на иных веб-сайтах, проверка путем сопоставления соединений, проверка посредством cookie-файлов и отпечатков веб-браузера. Раскрытые в статье методы деанонимизации адаптированы для практического применения следователями, дознавателями и оперуполномоченными при раскрытии и расследовании преступлений.
Ключевые слова: деанонимизация, киберпреступления, VPN, виртуальная частная сеть, Тор, ip-адрес, cookie-файл, отпечаток браузера
Для цитирования: Поздышев Р. С. Деанонимизация личности преступника в сети Интернет // Вестник Уральского юридического института МВД России. 2022. № 2. С. 50-53.
Original article
Deanonymization of the criminal's identity on the Internet
Pozdyshev Roman S.
Nizhny Novgorod academy of the Ministry of internal affairs of Russia, Nizhny Novgorod, Russia, rmanpzdyshev@rambler.ru
Abstract. The article analyzes the problematic issues that arise during the investigation of crimes related to information and telecommunication technologies. The methods of establishing the identity of a criminal using modern means that increase the anonymity of actions on the Internet are considered. The implementation of these methods is carried out on specific examples with the expected results and circumstances that need to be taken into account when analyzing them. In particular, the article discusses the principles of the virtual private network, as well as the features of the interaction of the user's web browser with the website. Using this information as an example of a simulated investigative situation, the article presents such methods of identifying a criminal using the Internet as checking his IP address on other websites, checking by matching connections, checking by cookies and web browser fingerprints. The methods of deanonymization disclosed in the article are adapted for practical use by investigators, interrogators and operatives in the detection and investigation of crimes.
Keywords: deanonymization, cybercrime, VPN, virtual private network, Tor, ip address, cookie file, browser fingerprint
For citation: Pozdyshev R. S. Deanonymization of the criminal's identity on the Internet // Bulletin of the Ural Law Institute of the Ministry of the Interior of Russia. 2022. № 2. P. 50-53.
Происходящие в настоящее время трансформационные процессы, связанные с цифровизацией жизни социума, как и любое явление, не только несут позитивные изменения, но и характеризуются рядом угроз общественной безопасности. Криминальный мир непрерывно развивается и начинает исполь-
зовать передовые технологические вооружения зачастую раньше, чем о них узнают правоохранители. Значительная доля преступлений в настоящее время так или иначе связана с информационно-телекоммуникационными технологиями. Состояние деятель-
© Поздышев Р. С., 2022
ности по противодействию этим преступлением не соответствует необходимому уровню и вызывает озабоченность представителей правоохранительных органов и первых лиц государства. На это было указано Президентом Российской Федерации В. В. Путиным на расширенном заседании коллегии МВД России [1]. В связи с этим киберпреступность остается одним из ключевых направлений деятельности органов внутренних дел нашей страны.
В рамках настоящей статьи предлагаем рассматривать данную проблему в широком смысле, так как вопросы, связанные со следами в информационной среде, имеют значение при расследовании криминальных проявлений в компьютерной сфере, а также могут быть полезны для противодействия абсолютно любым преступлениям, например для розыска скрывшегося обвиняемого. На сегодняшний день в каждом следственном органе имеется алгоритм действий, считающихся необходимыми и достаточными для объявления лица в федеральный розыск. К таким действиям обычно относят проведение обысков по местам регистрации и возможного проживания, а также допросы близких родственников, родственников и близких лиц по вопросам возможного местонахождения разыскиваемого лица. При этом не берутся во внимание возможности, которые дают информационные ресурсы, такие как социальные сети, службы доставки, интернет-маркетплейсы, приложения для навигации и т. п.
Наиболее важной в данном контексте представляется информация об адресах устройств, связанных с лицом, которым интересуется орган предварительного следствия, в сети Интернет (ip-адресах). Базовые методы работы с подобной информацией достаточно давно усвоены правоохранителями, однако, когда дело касается современных средств анонимизации личности в сети Интернет1, возникают серьезные и порой непреодолимые трудности. В ходе настоящего исследования было проведено интервьюирование 48 сотрудников органов внутренних дел, проходящих службу в различных регионах Российской Федерации, чья деятельность связана с противодействием преступности, в том числе киберпреступлениям. В ходе опроса выяснялось: известны ли респондентам вышеуказанные средства анонимизации личности в сети Интернет, есть ли возможность их преодолеть; известны ли такие средства преодоления, как использование cookie-файлов и отпечатков браузера. Все респонденты заявили, что знают такие способы подмены ip-адреса, как Proxy, VPN, сеть Tor. 13 опрошенных заявили, что им известен способ деанони-мизации личности с помощью cookie-файлов, однако случаев его успешного применения нет. Также все интервьюируемые заявили, что не существует спосо-
1 К наиболее распространенным средствам анонимизации личности в сети Интернет относятся Proxy-серверы, виртуальные частные сети (англ. Virtual Private Network (VPN)), использование сети Тор (англ. Tor -The Onion Routing), использование сети i2p и др.
бов установления истинного ip-адреса пользователя, который использует зарубежный VPN, поскольку подобные сервисы не отвечают на запросы российских правоохранителей.
В связи с обозначенной проблематикой в настоящей статье будут рассмотрены возможные способы преодоления сокрытия истинного ip-адреса пользователя сети Интернет. В науке подобные вопросы неоднократно подвергались исследованиям, однако в большей степени данные научные труды посвящены технической стороне вопроса [2; 3]. В связи с тем, что большинство сотрудников органов внутренних дел, задействованных в деятельности по противодействию киберпреступности, имеют юридическое образование, они сталкиваются с трудностями, связанными с пониманием указанных вопросов и их практической реализацией. Настоящая статья призвана адаптировать имеющиеся в большей степени в технических науках знания по деанонимизации личности в сети Интернет для нужд рядовых правоохранителей и побудить их самостоятельно использовать полученные знания в повседневной служебной деятельности.
Деанонимизация пользователей VPN через иные сайты. Упрощенно работу виртуальной частной сети можно представить следующим образом. Пользователь подобных сервисов подключается к интересующему его интернет-сайту не напрямую через своего провайдера, а черезVPN. В связи с этим конечный интернет-ресурс видит лишь ip-адрес VPN, а не истинный ip-адрес пользователя. Соответственно, в ответе на запрос от администратора данного интернет-сайта правоохранительные органы смогут получить ip-адрес, принадлежащий виртуальной частной сети. При проверке адреса через открытые источники можно установить конкретную организацию, связанную с указанной сетью, в которую в дальнейшем возможно направить запрос с целью установления ip-адреса пользователя, однако зачастую подобные сервисы находятся вне юрисдикции Российской Федерации, что в большинстве случаев является непреодолимым препятствием.
Для наибольшей наглядности демонстрации метода деанонимизации пользователей VPN через иные сайты смоделируем следственную ситуацию. Допустим, производится расследование по уголовному делу о мошенничестве, выразившемся в размещении на интернет-сервисе «Авито» объявления о продаже товара и получении от потерпевшего предоплаты за него. Орган следствия на основании запроса получил информацию об ip-адресах, с которых мошенник подключался к своей учетной записи, однако при их проверке установлено, что они принадлежат VPN-сервису в Королевстве Нидерландов. В данном случае возможно выдвижение гипотезы о том, что преступник наравне с совершением указанного преступления и размещения объявления осуществлял параллельные подключения к иным интернет-ресурсам, которые не связаны с его противоправной деятельностью и
используются им в повседневной жизни. Например, он мог в рамках того же соединения, в ходе которого создавал учетную запись на интернет-сайте «Авито», обращаться к своей электронной почте, учетным записям в социальных сетях, интернет-банкингу и т. д. В таком случае все эти сетевые ресурсы так же, как и маркетплейс «Авито», видели бы один и тот же ip-адрес, принадлежащий виртуальной частной сети. Для проверки данной гипотезы необходимо направление запросов в наиболее распространенные интернет-сервисы об информации о том, обращался ли к ним в интересующее орган следствия время пользователь с ip-адреса, принадлежащего VPN. В случае положительного ответа можно получить сведения об иных учетных записях лица на сторонних интернет-сайтах, которые способны привести к установлению личности преступника.
Однако здесь следует учитывать два важных фактора. Во-первых, ip-адрес, предоставляемый пользователю виртуальной частной сетью, является динамическим, то есть выдается лишь на одну сессию сетевого подключения. Соответственно, при направлении запросов на сторонние интернет-сайты необходимо обозначать ограниченный период времени использования данного адреса (например, 30 минут до и 30 минут после времени, указанного в ответе на запрос от маркетплейса «Авито»). Во-вторых, в настоящее время распространена NAT-адресация (англ. NAT (Network Address Translation) - преобразование сетевых адресов), когда один и тот же ip-адрес представляется множеству (до сотен и тысяч) пользователей виртуальной частной сети.
Деанонимизация пользователей VPN путем сопоставления соединений. Воспользуемся следственной ситуацией из предыдущего метода деанонимизации. В рамках данного метода источником информации будет являться не конечный сетевой ресурс, к которому потенциально мог обращаться пользователь, а интернет-провайдер, через которого лицо подключалось к виртуальной частной сети. Гипотеза следующая: мошенник подключался к VPN через отечественного интернет-провайдера и последнему известен истинный ip-адрес пользователя. Для проверки данной гипотезы необходимо направление запросов о предоставлении информации всем действующим интернет-провайдерам с вопросом о том, осуществлялось ли их клиентами в интересующее орган следствия время подключение к ip-адресу, принадлежащему VPN. В случае положительного ответа следователь получит данные об абоненте, который пользовался виртуальной частной сетью.
Данный способ также не следует идеализировать, в связи с чем необходимо учитывать следующие обстоятельства. Во-первых, фигурирующий в материалах уголовного дела VPN-сервис может быть популярным и в одно и то же время к нему могут подключаться множество пользователей. Во-вторых, в тех случаях, когда мошенник использует цепочку VPN, деанони-мизировать его данным способом не получится.
Деанонимизация пользователей с использованием cookie-файлов. Упрощенно cookie-файл можно представить как уникальный номер, который интернет-сайт присваивает веб-браузеру при первом обращении [4]. При использовании данного номера веб-браузер будет идентифицировать себя перед интернет-сайтом во всех последующих соединениях. Удобство использования cookie-файлов заключается в том числе в отсутствии необходимости у пользователей каждый раз проходить процедуру авторизации, вводя свои логин и пароль, интернет-сайт «узнает» их по используемому веб-браузеру. Таким образом, даже в тех случаях, когда мы выйдем из учетной записи, но будем обращаться к интернет-сайту с того же веб-браузера, он все равно нас идентифицирует. В процессе применения метода в рамках вышеобозначен-ной следственной ситуации возможно выдвижение гипотезы о том, что кроме совершения преступления посредством интернет-сайта «Авито» к данному сетевому ресурсу осуществлялись иные, реализуемые не в противоправных целях подключения с использованием одного и того же веб-браузера. Например, лицо может иметь свою настоящую учетную запись на этом маркетплейсе или этот веб-браузер используют члены его семьи для размещения и просмотра объявлений. Для проверки данной гипотезы необходимо запросить сведения об иных ip-адресах и иных учетных записях пользователя, подключение к которым происходило при использовании одного веб-браузера, полученные посредством анализа cookie-файлов. Подобный анализ может быть проведен только администратором соответствующего веб-сайта, и проверить, действительно ли он проводился по запросу правоохранительных органов, невозможно. Так, согласно результатам интервьюирования 7 респондентов направляли подобные запросы, но имеющей значение для уголовного дела информации получено не было.
Деанонимизация пользователей с использованием отпечатков браузера. Отпечатками браузера (англ. Browser fingerprints) называют информацию в отношении устройства пользователя и его программного обеспечения, которую веб-браузер передает интернет-сайту в том числе для наиболее правильного отображения запрашиваемых клиентом веб-страниц [5]. К такой информации относятся: user-agent (сведения об операционной системе и веб-браузере), часовой пояс, размеры экрана используемого устройства, язык, шрифты, установленные расширения веб-браузера и т. п. Отдельно взятый элемент указанной информации не уникален и может являться атрибутивным признаком множества пользователей, но в совокупности эти элементы позволяют уникализиро-вать веб-браузеры до небольшой группы или даже до единственного лица. Все веб-браузеры отправляют подобную информацию на сервер, но объем ее зависит от индивидуальных настроек приватности. Даже наиболее известный среди так называемых анонимных веб-браузеров Тор-браузер передает подобную информацию, в связи с чем в руководстве пользова-
теля данного программного продукта не рекомендуется работать из полноэкранного режима с целью предотвращения создания уникального размера экрана. Интернет-сайты аккумулируют подобную информацию в том числе в коммерческих целях, а именно для настройки рекламы. В связи с этим предполагается возможным проводить указанную работу по уникализации и идентификации пользователей и по запросам правоохранительных органов.
Очевидно, что все приведенные в настоящей статье методы установления личности пользователя сети Интернет не являются идеальными и не дают никаких гарантий того, что появится результат. Профессиональный преступник с легкостью может предусмотреть все необходимые обстоятельства, которые помогут ему избежать идентификации таким путем. Однако человеческий фактор здесь играет немаловажную роль и мошенник может быть очень предусмотрительным, продумав все этапы совершения преступления, но в то же время из-за невнимательности или легкомыслия может совершить грубую ошибку, которая позволит его деанонимизировать. Например, используя цепочку VPN, будучи убежденным в своей «невидимости», параллельно с совершением преступления, проверить свою электронную почту. Таким образом, правоохранителям в условиях неопределенности недопустимо недооценивать вышеприведенные методы и относиться к ним с предубеждением о том, что они априори неэффективны. Целесообразно использовать каждый возможный шанс раскрытия преступления, каким бы маловероятным он не казался, а также творчески подходить к решению подобных нетривиальных задач.
Список источников
1. Расширенное заседание коллегии МВД России 17 февраля 2022 года [Электронный ресурс]. URL: http://www.kremlin.ru/events/president/news/67795 (дата обращения: 10.03.2022).
2. Зулькарнеев И. Р., Козлов А. Е., Нестор В. О. Де-анонимизация правонарушителей в сети Интернет // Электронные средства и системы управления: материалы докладов Международной научно-практической конференции. 2019. № 1-2. С. 119-122.
3. Шелудяков Д. А., Корчагин С. А., Сердечный Д. В. Исследование способов деанонимизации пользователей VPN-сервисов. Саратов: «КУБиК», 2021. 74 с.
4. Что такое файлы Cookies? [Электронный ресурс]. URL: https://trends.rbc.ru/trends/industry/5f4e8d719a7 94788d1c8b49f (дата обращения: 10.03.2022).
5. BrowserFingerprint - анонимная идентификация браузеров [Электронный ресурс]. URL: https://habr. com/ru/company/oleg-bunin/blog/321294/ (дата обращения: 10.03.2022).
Reference
1. Expanded meeting of the collegium of the Ministry of Internal Affairs of Russia on February 17, 2022 [Electronic resource]. URL: http://www.kremlin.
ru/events/president/news/67795 (date of access: 03/10/2022).
2. Zulkarneev I. R., Kozlov A. E., Nestor V. O. Deanonymization of offenders on the Internet // Electronic means and control systems: materials of the reports of the International Scientific and Practical Conference. 2019. No. 1-2. pp. 119-122.
3. Sheludyakov D. A., Korchagin S. A., Serdechny D. V. Study of ways to deanonymize users of VPN services. Saratov: KUBiK, 2021. 74 p.
4. What are cookies? [Electronic resource]. URL: https://trends.rbc.ru/trends/industry/5f4e8d719a79478 8d1c8b49f (accessed 03/10/2022).
5. BrowserFingerprint - anonymous identification of browsers [Electronic resource]. URL: https://habr.com/ ru/company/oleg-bunin/blog/321294/ (date of access: 03/10/2022).
Информация об авторе
Поздышев Роман Сергеевич - кандидат юридических наук
Information about author
Pozdyshev Roman S. - Candidate of Law
Статья поступила в редакцию 21.03.2022; одобрена после рецензирования 31.03.2022; принята к публикации 20.06.2022.
The article was submitted 21.03.2022; approved after reviewing 31.03.2022; accepted for publication 20.06.2022.
