CC BY
158
УДК 351.745.7 ББК 67.7
© 2020 г. Тимофеев Сергей Владимирович,
старший преподаватель кафедры оперативно-разыскной деятельности и специальной техники в органах внутренних дел Восточно-Сибирского института МВД России. E-mail: tsv.1981@mail.ru
ДЕАНОНИМИЗАЦИЯ ПОЛЬЗОВАТЕЛЯ СЕТИ ИНТЕРНЕТ КАК МЕТОД ОПЕРАТИВНО-РОЗЫСКНОГО ПРОТИВОДЕЙСТВИЯ
НАРКОПРЕСТУПНОСТИ
В статье рассматриваются проблемные вопросы оперативно-розыскного противодействия преступлениям, совершаемым с использованием информационно-телекоммуникационных технологий в области сетевого пространства, в том числе в скрытом сегменте сети Интернет - DARKNET.
Ключевые слова: оперативно-розыскная деятельность, оперативно-розыскные мероприятия, противодействие, выявление, раскрытие, сеть Интернет, DARKNET, информационно-телекоммуникационные технологии, наркопреступность, законодательство.
Timofeev Sergey Vladimirovich - Senior Lecturer, the Department of Investigative Activities and Special
Equipment in the Internal Affairs Bodies, the East Siberian Institute of the Ministry of Internal Affairs of Russia.
DEANONYMIZATION OFTHE INTERNET NETWORK'S USER AS A METHOD OF OPERATIVE-SEARCH
COUNTERING OF DRUG CRIME
The article considers the problematic issues of the operational-investigative counteraction to crimes committed using information and telecommunication technologies in the field of network space, including in the hidden segment of the Internet - DARKNET.
Keywords: operational-search activities, operational-search measures, counteraction, detection, disclosure, the Internet, DARKNET, information and telecommunication technologies, cybercrime, changes, legislation.
Министр внутренних дел Российской Федерации В.А. Колокольцев в своем выступлении на расширенной коллегии МВД России 26 февраля 2020 г. отметил: «Проблема выявления, раскрытия и расследования преступлений, совершаемых с использованием информационно-коммуникационных технологий, актуальна для большинства развитых стран мира. По данным ООН, в последние годы она приобрела глобальный характер в связи с цифровизацией всех сфер жизнедеятельности человека. Рост криминальных деяний данного вида оказал значительное влияние на динамику и структуру преступности в целом. Их доля в общем массиве достигла почти 15 % и продолжает расти...» [1].
Стремительное развитие информационно-телекоммуникационных технологий в мире привело к значительным изменениям в жизни общества и государства. Эволюция цифровых технологий привела к тому, что у оперативных подразделений органов внутренних дел (далее - ОВД) появились новые источники оперативно значимых сведений, доказательственной информации в виде виртуальных следов преступления.
Раскрытие и расследование преступлений это сложный процесс, осуществляемый
на основе соответствующей уголовно-правовой, процессуальной, оперативно-розыскной и криминалистической информации и знаниях определенных частных закономерностей [2, с. 27]. При этом данный процесс осложняется стремительным развитием информационно-телекоммуникационных технологий, способствующих совершенствованию способов совершения преступлений, методов их сокрытия, а также следов преступной деятельности. С учетом появившихся возможностей указанных технологий, огромный толчок в развитии получила и наркопреступность, осуществляемая бесконтактным способом, ситуация с которой «остается критической» [3, с. 20]. Это обусловлено тем, что у каждого человека существует возможность использования различного программного продукта, который позволяет скрывать следы преступной активности, совершенной с использованием информационно-телекоммуникационных технологий, в частности ресурсов сети Интернет. Соответственно, на такой вызов теория и практика оперативно-розыскной деятельности (далее -ОРД) должны эффективно и своевременно отреагировать, а также противопоставить
ему более усовершенствованные тактические формы и методы противодействия.
Цель настоящего исследования - проанализировать и охарактеризовать закрепленные оперативно-розыскным законодательством оперативно-тактические формы и методы противодействия наркопреступности, осуществляемой с использованием информационно-телекоммуникационных технологий, выявить недостатки, влияющие на оперативно-розыскную практику деятельности оперативных подразделений ОВД по выявлению, документированию и раскрытию сбыта наркотиков, осуществляемого бесконтактным способом, предложить новые механизмы эффективного решения задач ОРД.
Анализ практики в сфере незаконного сбыта наркотиков, осуществляемого с использованием информационно-телекоммуникационных технологий, показывает, что существует целый пласт проблем организационного, правового, тактического, материально-технического и кадрового характера, что свидетельствует о «высокой общественной опасности дальнейшего распространения наркобизнеса» [4, с. 87].
На сегодняшний день основную проблему как в организационном, тактическом, техническом, так и правовом аспектах можно отнести проблему деанонимизации личности пользователя ресурсов сети Интернет (далее -резидент сети), особенно в теневом его сегменте - сети DARKNET.
Под понятием деанонимизации резидента сети предлагаем понимать комплекс оперативно-розыскных и технических мероприятий, направленный на установление личности пользователя сети Интернет в целях решения задач ОРД.
Анализ мировой практики показал, что существуют различные формы и методы противодействия цифровой преступности и осуществления деанонимизации резидентов сети Интернет.
Указанные обстоятельства определяют актуальность и необходимость выработки научно обоснованных практических рекомендаций, направленных не только на выявление признаков наркопреступлений в сети DARKNET, но и установление (деанонимизацию) лиц, их совершающих.
Изучение следственно-судебной и оперативно-розыскной практики показало, что основной проблемой защиты граждан, общества и государства от преступных посягательств в виде наркопреступлений, осуществляемой
с использованием информационно-телекоммуникационных технологий, являются:
- отсутствие в оперативно-розыскном законодательстве норм, предусматривающих проведение оперативно-розыскных мероприятий разведывательного характера в сети Интернет без отсутствия формальных оснований, предусмотренных ст. 7 Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» [5];
- низкий уровень осведомленности оперативных сотрудников ОВД в области принципов, механизмов функционирования и осуществления противоправной деятельности делинквентами в теневом сегменте сети Интернет - DARKNET;
- неэффективность используемых оперативными подразделениями ОВД инструментов деанонимизации резидента сети.
Рассматривая первую проблему защиты граждан, общества и государства от преступных посягательств в виде наркопреступлений, осуществляемых с использованием информационно-телекоммуникационных технологий, хочется отметить, что применение таких ОРМ, как наведение справок, снятие информации с технических каналов связи и получение компьютерной информации, неэффективно ввиду специфики, практически полной анонимности резидентов сети, так и принципов функционирования сети DARKNET (отсутствие правого регулирования данного сегмента сети Интернет) [6, с. 211]. Так, согласно Модельному закону наведение справок - это получение информации, имеющей значение для решения конкретных задач ОРД путем направления запроса юридическому или физическому лицу, располагающему или могущему располагать таковой, а равно и ее получение путем непосредственного ознакомления с соответствующими материальными носителями, в том числе оперативных, криминалистических и иных баз данных (учетов), информационных систем и других источников [7, с. 191].
Поэтому можно констатировать, что направление каких-либо запросов в теневом сегменте сети Интернет невозможно из-за отсутствия у оператора связи сведений об абоненте сети (отсутствие индексации). Проведение ОРМ снятия информации с технических каналов связи и получение компьютерной информации в целях деанонимизации резидента сети не представляется возможным, поскольку нет сведений о реальном про-
токоле соединений TCP/IP*, установить которые ввиду технологических особенностей не представляется возможным.
Другим аспектом данной проблемы является то, что оперативные подразделения ОВД проводят ОРМ в сети Интернет на стадии совершения преступления, а не на стадии его подготовки и вынашивания противоправных намерений, тем самым не реализовывается на практике функция предупреждения наркопреступлений.
Нам импонирует точка зрения Е.В. Кузнецова и А.Е. Ступницкого о том, что «контрразведывательные функции ОРД реализовываются посредством проведения контрразведывательных мероприятий, основания для проведения которых закреплены в ст. 9 Федерального закона от 03.03.1995 № 40-ФЗ «О федеральной службе безопасности» (далее - ФЗ о ФСБ). Среди них обращает на себя внимание такое основание как необходимость получения сведений о событиях или действиях, создающих угрозу безопасности Российской Федерации (п. «б» ч. 2 ст. 9 ФЗ о ФСБ).
Законодатель, закрепив подобную формулировку, указал в качестве основания не наличие информации о соответствующих событиях или действиях, а саму общественно значимую потребность в решении задач, связанных с выявлением, предупреждением, пресечением разведывательной и иной деятельности специальных служб и организаций иностранных государств, а также отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации. В данном случае задачи выступают в качестве детерминант к проведению контрразведывательных мероприятий.
Представляется, что подобная юридическая конструкция законодателя создает правовою основу для осуществления инициативной поисковой работы сотрудниками контрразведывательных подразделений» [8, с. 13].
Второй проблемой защиты граждан, общества и государства от преступных посягательств в виде наркопреступности является низкий уровень осведомленности оперативных сотрудников ОВД в области принципов, механизмов, функционирования и осуществления противоправной деятельности делинквентами в DARKNET. Это обусловлено тем, что сотрудники оперативных подразделений ОВД, как правило, имеют высшее гуманитарное образование. Тогда как для понимания механизмов функционирования сети Интернет им необходимы соответствующие знания о технических процессах и алгоритмах эффективного противодействия наркопреступности.
Третья проблема оперативно-розыскного противодействия киберпреступности детерминирована неэффективностью используемых оперативными подразделениями ОВД инструментов деанонимизации резидента сети.
Изучение вопросов организации и технологических процессов функционирования сети Интернет показало, что существуют некоторые возможности деанонимизации пользователей теневого сегмента сети Интернет. Методы деанонимизации резидента сети делятся на три основные группы:
1) воздействие на браузер резидента сети;
2) воздействие на соединение;
3) анализ сетевой активности резидента сети.
Первая группа методов основывается на использовании средств эксплуатации уязвимо-стей к браузеру Firefox, с помощью которого осуществляется доступ к DARKNET (далее -Tor Browser). Так, например, использование сотрудниками оперативных подразделений ОВД библиотеки WebRTC**, предназначенной для обмена данными в режиме реального времени между браузерами без промежуточных серверов, позволяет установить реальный IP-адрес резидента сети (несмотря на использование им технологий VPN*** и Proxy****).
* TCP/IP - сетевая модель передачи данных, представленных в цифровом виде. Модель описывает способ передачи данных от источника информации к получателю. В модели предполагается прохождение информации через четыре уровня, каждый из которых описывается правилом (протоколом передачи).
** WebRTC (англ. real time communications - коммуникации в реальном времени) - проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.
** VPN (англ. Virtual Private Network - виртуальная частная сеть) - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например, сети Интернет.
**** Прокси-сервер (от англ. proxy - представитель, сервер-посредник) - промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером.
Вместе с тем подобный подход не всегда позволяет осуществлять эффективную поисковую работу в сети DARKNET. Это связано с тем, что жизненный цикл уязвимостей составляет всего от недели до нескольких месяцев, а существование версий Tor Browser, содержащих конкретную уязвимость, компрометирует весьма ограниченный круг резидентов сети, использующих скрытый сегмент Интернета в противоправных целях.
Вторая группа методов основана на анализе записей в NETFLOW* на маршрутизаторах, которые непосредственно являются узлами сети DARKNET или находятся недалеко от них. NETFLOW - проприетарный открытый протокол, предназначенный для мониторинга трафика сети и представляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP.
Несмотря на кажущиеся простоту и эффективность, указанный способ предполагает огромное количество точек присутствия внутри сети DARKNET, требуя наличия большего пула вычислительной ресурсов.
Третья группа методов представляет наибольший интерес. Они основаны на анализе сетевой активности резидента сети. В их основе лежит интерес реализация тега «Canvas»**, генерирующего растровые изображения*** при помощи JawaScript**** на платформе HTML5*****. Ключевая особенность подхода состоит в том, что ренденринг****** таких изображений каждый браузер осуществляет по-разному, в зависимости от типа графического адаптера, аппаратно-программной составляющей компьютера, операционной системы и ее конфигурации. Следовательно, параметры отрисованных изображений могут уникально идентифицировать браузер и его программно-аппаратное окружение.
При помощи данного метода могут отслеживаться и другие параметры компьютера резидента сети, например: заголовки браузера и его настройки, программно-аппаратные характеристики экрана (разрешение, поддержка сенсорного ввода), часовой пояс, сведения об операционной системе и др.
Совокупность полученной информации позволяет сформировать так называемый цифровой отпечаток, имеющий вид 32-битного числа шестнадцатеричной системы, которое получается в результате обработки всех принятых браузером данных.
Используя предложенный нами подход, сотрудники оперативных подразделений могут получить возможность зафиксировать необходимую оперативно значимую и аналитическую информацию о резидентах сети с определенным цифровым отпечатком, например, путем изучения истории его серфинга и
u 1 Л
авторизаций на сайтах. В последующем данные сведения могут способствовать установлению круга его общения, социальных связей, интересов, предпочтений и др.
Дальнейшее действия по деанонимизации лиц, совершающих преступления в DARKNET, связаны с применением всего комплекса оперативно-розыскных сил, средств и методов, позволяющих не только идентифицировать личность конкретного лица, но и выяснить роль каждого из фигурантов, а также установить иные обстоятельства, относящиеся к преступной деятельности.
Синтезируя изложенную нами информацию, полагаем, что деанонимизация резидента сети - это уникальный информационно-аналитический метод добывания оперативно значимой информации, который нельзя отождествлять с классическими ОРМ, такими, как наведением справок, отождествление личности, снятие информации с технических
* NetFlow - сетевой протокол, предназначенный для учета сетевого трафика. Является фактическим промышленным стандартом и поддерживается многими устройствами.
** Canvas (англ. canvas - «холост», рус. канвас) - элемент HTML5, предназначенный для создания растрового двухмерного изображения при помощи скриптов, обычно на языке JavaScript.
*** Растровое изображение - изображение, представляющее собой сетку (мозаику) пикселей - цветных точек (обычно прямоугольных) на мониторе, бумаге и других отображающих устройствах.
**** JavaScript - мультипарадигменный язык программирования. Поддерживает объектно-ориентированный, императивный и функциональный стили. Является реализацией языка ECMASript (стандарт ECMA-262).
***** HTML5 (англ. HyperTextMarkupLanguage, version 5) - язык для структурирования и представления содержимого всемирной паутины. Это пятая версия HTML.
****** рендеринг или отрисовка (англ. rendering - «визуализация») - термин в компьютерной графике, обозначающий процесс получения изображения по модели с помощью компьютерной программы.
каналов связи, получение компьютерной информации. В силу этого целесообразно данный метод законодательно закрепить в форме отдельного оперативно-розыскного мероприятия, представляющего особый вид оперативного поиска информации, проводимый
Литература
1. Колокольцев В.А. Выступление от 26.02.2020 г. на расширенной коллегии МВД России // URL: http://www.kremlin.ru/ events/president/news/62860мвд.рф/reports.
2. Варданян А.В., Грибунов О.П. Современная доктрина методико-криминалисти-ческого обеспечения расследования отдельных видов преступлений // Вестник Восточно-Сибирского института МВД России. 2017. № 2 (81).
3. Грибунов О.П., Герасимов П.А., Косен-ко В.Н. Психоактивные вещества синтетического происхождения как предмет преступлений, связанных с незаконным оборотом наркотиков: некоторые аспекты противодействия их распространению // Вестник Восточно-Сибирского института МВД России. 2015. № 4 (75).
4. Варданян А.В., Айвазова О.В. Оборот наркотических средств и психотропных веществ в учреждениях системы здравоохранения как объект научного анализа // Философия права. 2012. № 4 (53).
5. URL: http://www.pravo.gov.ru.
6. Пучнин А.В., Горбова В.В. Аппаратно-программные и технические средства фиксации преступной деятельности, осуществляемой в сети Интернет // Охрана, безопасность, связь. 2018. Т. 1. № 3 (3).
7. Павличенко Н.В., Самоделкин А.С. Конвергенция оперативно-розыскного законодательство государств - участников Содружества Независимых Государств. Общество и право. 2016. № 1 (55).
8. Кузнецов Е.В., Ступницкий А.Е. Основание для проведения оперативно-разыскных мероприятий, предусмотренных пп. 1 п. 2 ч. 1 ст. 7 ФЗ «Об оперативно-розыскной деятельности»: проблемы теории и практики // Оперативник (сыщик). 2016. № 4 (49).
в целях решения задач оперативно-розыскной деятельности. Предложенная инициатива требует дальнейшего научного осмысления, однако, полагаем, что даже ее частичная реализация даст положительные результаты в работе правоохранительных органов в целом.
Bibliography
1. Kolokoltsev V.A. Speech dated 26.02.2020 at the extended board of the Ministry of Internal Affairs of Russia // URL: http://www.kremlin.ru/ events/president/news/62860mvd.rf/reports.
2. Vardanyan A.V., Gribunov O. P. Modern doctrine of methodological and criminalistic support of investigation of certain types of crimes // Bulletin of the East Siberian Institute of the Ministry of internal Affairs of Russia. 2017. № 2 (81).
3. Gribunov O.P., Gerasimov P.A., Kosenko V.N. Psychoactive substances of synthetic origin as the subject of crimes related to drug trafficking: some aspects of countering their spread // Bulletin of the East Siberian Institute of the Ministry of internal Affairs of Russia. 2015. № 4 (75).
4. Vardanyan A.V., Aivazova O.V. Turnover of narcotic drugs and psychotropic substances in health care institutions as an object of scientific analysis // Philosophy of law. 2012. № 4 (53).
5. URL: http://www.pravo.gov.ru.
6. Puchnin A.V., Gorbova V.V. Hardware-software and technical means of fixing criminal activity carried out on the Internet // Security, security, communications. 2018. Vol. 1. № 3 (3).
7. Pavlichenko N.V., Samodelkin A.S. Convergence of operational and investigative legislation of the CIS member States. Society and the law. 2016. № 1 (55).
8. Kuznetsov E.V., Stupnitsky A.E. The basis for carrying out operational-search activities provided for in clause 1, clause 2, p. 1 of art. 7 of the FL «On operational-search activities»: problems of theory and practice // The field investigator (sleuth). 2016. № 4 (49).
