CC BY
94
DOI 10.24412/2587-9820-2021-2-111-117 УДК: 343.721
К ВОПРОСУ ДОБЫВАНИЯ ОПЕРАТИВНО ЗНАЧИМОЙ ИНФОРМАЦИИ В СЕТИ ИНТЕРНЕТ: ПРОБЛЕМЫ И ПУТИ ИХ РЕШЕНИЯ
С. В. Тимофеев
Восточно-Сибирский институт МВД России, Иркутск, Российская Федерация, e-mail: tsv.vsi@yahoo.com
Аннотация. В статье рассматривается проблемы правового, технического, организационно-тактического и методического обеспечения деятельности оперативных подразделений органов внутренних дел по добыванию оперативно значимой информации о лицах, подготавливающих, совершающих или совершивших преступления, с использованием информационно-коммуникационной сети Интернет. Автором предложен алгоритм решения одной из актуальных современных проблем оперативно-розыскной деятельности — деанонимизации пользователя сети Интернет в целях защиты общества и государства от преступных посягательств.
Ключевые слова: сеть Интернет, DarkNet, оперативно-розыскные мероприятия, киберпреступления, деанонимизация, информационно-телекоммуникационные технологии, виртуальные следы преступления.
ДЛЯ ЦИТИРОВАНИЯ
Тимофеев С. В. К вопросу добывания оперативно значимой информации в сети Интернет: проблемы и пути их решения // Криминалистика: вчера, сегодня, завтра. — 2021. — Т. 18. — № 2. — С. 111—117. DOI 10.24412/2587-9820-2021-2-111-117
TO THE QUESTION OF GATHERING OF OPERATELY SIGNIFICANT INFORMATION ON THE INTERNET: PROBLEMS AND WAYS OF THEIR SOLUTION
S. V. Timofeev
East Siberian institute of the MIA of the Russia, Irkutsk, Russian Federation, e-mail: tsv.vsi@yahoo.com
Abstract. The article discusses the problems of legal, organizational, tactical, technical and methodological support of the activities of operational units of the internal affairs bodies for obtaining operatively significant information about persons preparing, committing or committing crimes using the information and communication network Internet. The author proposes an algorithm for solving one of the urgent modern problems of operational-search activity — deanonymization of the Internet user in order to protect society and the state from criminal encroachments.
Keywords: Internet, DARKNET, operational-search activities, cybercrimes, de-anonymization, information and telecommunication technologies, virtual traces of a crime.
Криминалистика: вчера, сегодня, завтра. 2021. № 2 (18) ==== FOR CITATION
Timofeev S. V. To the question of gathering of operately significant information on the internet: problems and ways of their solution. Kriminalistika: vchera segodnya, zavtra = Forensics: yesterday, today, tomorrow. 2021, vol. 18. no, 2, pp. 111—117 (in Russ.). DOI 10.24412/2587-9820-2021-2-111-117
Преступления, совершаемые с использованием информационно-телекоммуникационных технологий (далее — ИТТ) в настоящее время являются одними из самых распространённых в Российской Федерации и имеют динамику к ежегодному увеличению. Так, согласно статистическим данным Главного информационно-аналитического центра МВД России, каждое четвертое преступление, выявленное сотрудниками органов внутренних дел (далее — ОВД) в 2020 г., совершено с использованием современных ИТТ. Только за 2020 г. зарегистрировано более 510 тыс. преступлений данной категории. Рост числа преступлений, совершённых данным способом, составил 73,4 %, при этом раскрыто лишь 14,3 %.1
Министр внутренних дел Российской Федерации В. А. Колокольцев в своем выступлении на расширенной коллегии МВД России 3 марта 2021 г. отметил: «В целом общий массив зарегистрированных в прошлом году преступлений практически не изменился. Рост тяжких составов произошел преимущественно за счет увеличения посягательств с использованием IT-технологий. По другим наиболее опасным видам криминальных деяний, в том числе против личных и имущественных прав граждан, наблюдается устойчивая динамика снижения. Такая тенденция сохраняется уже на протяжении ряда лет» [1].
Нам импонирует точка зрения Д. Н. Лузько о том, что «стремительное расширение информационного пространства, достижения науки и техники в значительной мере преобразовали современное общество, способствовали возникновению различных форматов обмена информацией между людьми посредством использования современных информационных технических средств [2, с. 63].
Анализ практики показал, что существует целый пласт проблем организационного, правового, тактического, материально-технического и кадрового характера. К одной из таких, можно отнести проблему деанонимизации личности пользователей ресурсов сети Интернет и ИТТ в целом. Особенно сложной представляется проблема установления личности преступника, совершающего преступления с использованием в теневого сегмента сети Интернет — сети DarkNet.
Цель настоящей статьи — проанализировать и охарактеризовать закрепленные оперативно-розыскным законодательством механизмы добывания оперативно значимой информации в сети Интернет в общем и в сети DarkNet в частности. Кроме того, стоит обратить внимание на проблемы законодательного регулирования, влияющие на оперативно-розыскную практику деятельности оперативных подразделений ОВД по раскрытию преступлений, совершаемых с использованием ИТТ, предложить новые механизмы эффективного решения одной из важных задач оперативно-розыскной деятельности (далее — ОРД).
1 Общие сведения о состоянии преступности. Состояние преступности январь — декабрь 2011—2020 гг. [Электронный ресурс]. — URL: https://mvd.ru (дата обращения: 16.02.2021).
Этому посвящено сравнительно мало работ, однако сказать, что данная тема нова, нельзя; в определенной мере она в юридической литературе исследовалась, хотя полного завершения не получила.
На наш взгляд наиболее обоснованно мнение И. Н. Железняка о том, что «оперативно-розыскная деятельность — одно из наиболее сложных направлений правоохранительной работы...» [3, с. 150].
Следует согласиться с мнением А. В. Варданяна и О. П. Грибунова, которые отметили, что «Раскрытие и расследование преступлений — это сложный процесс, осуществляемый на основе соответствующей уголовно-правовой, процессуальной, оперативно-розыскной и криминалистической информации и знаниях определенных частных закономерностей» [4, с. 27].
Указанные обстоятельства определяют актуальность и необходимость выработки научно-обоснованных практических рекомендаций, направленных не только на выявление признаков преступлений, совершаемых с использованием ИТТ, но и на установление (деанонимизацию) лиц, их совершающих.
Изучение следственно-судебной практики правоохранительных органов Российской Федерации показало, что основными факторами, негативно влияющими на достижение целей ОРД по защите граждан, общества и государства от преступных посягательств в виде преступлений, совершаемых с использованием ИТТ, являются:
— отсутствие нормативного закрепления в оперативно-розыскном законодательстве формальных оснований, предусмотренных п. 1 ч. 1 ст. 7 ст. 7 федераль-ныого законоа от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (далее — ФЗ «Об ОРД») норм, предусматривающих проведение оперативно-розыскных мероприятий (далее — ОРМ) поискового характера в сети Интернет1;
— недостаточный уровень теоретической подготовки сотрудников ОВД в области принципов, механизмов функционирования и осуществления противоправной деятельности преступниками в теневом сегменте сети Интернет — DarkNet;
— недостаточная эффективность используемых подразделениями ОВД инструментов деанонимизации пользователя сети Интернет.
Приведенные цифры и сказанное показывают, что первая проблема по обеспечению защиты граждан, общества и государства от преступных посягательств в виде преступлений, совершаемых с использованием ИТТ, обусловлена тем, что осуществление ОРМ не всегда эффективно ввиду определенной специфики. Так, в условиях практически полной анонимности пользователя сети Интернет, а также реализуемых принципов функционирования сети DarkNet (отсутствие правового регулирования данного сегмента сети Интернет) эффективность оперативно-розыскного противодействия преступлениям данной категории находится на недостаточном уровне [5, с. 211]. Например, в соответствии с Модельным законом ОРМ «Наведение справок» — это получение информации, имеющей значение для реше-
1 Об оперативно-розыскной деятельности: федер. закон Рос. Федерации от 12 авг. 1995 г. № 144-ФЗ // Официальный интернет-портал правовой информации [Электронный ресурс]. — URL: http://www.pravo.gov.ru (дата обращения: 26.03.2021).
ния конкретных задач борьбы с преступностью путем направления запроса юридическому или физическому лицу, располагающему или могущему располагать таковой, а равно и её получение путем непосредственного ознакомления с соответствующими материальными носителями, в том числе оперативных, криминалистических и иных баз данных (учетов), информационных систем и других источников [6, с. 191].
Изложенное выше и практика деятельности оперативных подразделений ОВД позволяет констатировать, что проведение ОРМ «Наведение справок» путем направления запросов оператору связи1 в теневом сегменте сети Интернет невозможно, ввиду отсутствия сведений об абоненте сети (отсутствие индексации в сети Интернет).
Проведение оперативно-розыскных в целях деанонимизации пользователя в сети Интернет также не представляется возможным ввиду отсутствия сведений о реальном протоколе соединений TCP/IP2, установление которых не представляется возможным ввиду технологических особенностей индексации сети.
Другим аспектом данной проблемы являются особенности законодательного регулирования деятельности оперативных подразделений ОВД по основаниям для проведения ОРМ. Как показывает практика, ОРМ в сети Интернет осуществляются на стадии совершения преступления, а не на стадии его подготовки и вынашивания противоправных намерений, тем самым не реализуется функция предупреждения преступлений.
Нам представляется верной точка зрения Е. В. Кузнецова и А. Е. Ступни-цкого о том, что «контрразведывательные функции ОРД реализуется посредством проведения специальных мероприятий, основания для проведения которых закреплены в ст. 9 федерального закона от 03.03.1995 № 40-ФЗ «О федеральной службе безопасности» (далее — ФЗ «Об ФСБ»). Среди них обращает на себя внимание такое основание как необходимость получения сведений о событиях или действиях, создающих угрозу безопасности Российской Федерации (п. «б» ч. 2 ст. 9 «ФЗ об ФСБ»).
Представляется, что подобная юридическая конструкция законодателя создает правовою основу для осуществления инициативной поисковой работы сотрудниками специальных подразделений» [7, с. 13]. Решению данной проблемы может способствовать дальнейшее совершенствование правовых основ ОРД путём дополнения в п. 1 ч. 1 ст. 7 ФЗ «Об ОРД» подпунктом 5 в следующей редакции: «Необходимость получения сведений о событиях или действиях, создающих угрозу безопасности жизни и (или) здоровью граждан».
Второй проблемой добывания оперативно значимой информации в сети Интернет является недостаточный уровень теоретической осведомленности сотрудников ОВД в области принципов, механизмов функционирования и осуществления противоправной деятельности преступников в сети DarkNet. Логично пред-
1 О связи: федер. закон Рос. Федерации от 7 июля 2003 г. № 126-ФЗ // Официальный интернет-портал правовой информации [Электронный ресурс]. — URL: http://www.pravo.gov.ru (дата обращения: 26.03.2021).
2 TCP/IP — сетевая модель передачи данных, представленных в цифровом виде. Модель описывает способ передачи данных от источника информации к получателю.
114
положить, что сложившаяся ситуация вызвана тем, что, сотрудники подразделений ОВД, как правило, имеют гуманитарное высшее образование. Тогда как для понимания механизмов функционирования сети Интернет им необходимы знания о технических процессах функционирования ИТТ, и, как следствие, эффективность противодействия данному виду преступности не имеет соответствующих знаний об алгоритмах организационных, технических и правовых инструментов.
Третья проблема оперативно-розыскного противодействия киберпреступ-ности связана с неэффективностью используемых подразделениями ОВД методов деанонимизации пользователя в сети Интернет.
Изучение вопросов организации и технологических процессов функционирования сети Интернет показало, что существуют некоторые возможности деанони-мизации пользователей теневого сегмента сети Интернет. Методы деанонимизации пользователя сети Интернет следует условно разделить на три группы:
— влияние на интернет-браузер пользователя сети;
— воздействие на соединение;
— комплексный анализ действий пользователя в сети Интернет.
Первая группа методов основывается на использовании средств эксплуатации уязвимостей к интернет-браузеру, с помощью которого осуществляется доступ к DarkNet. Например, использование сотрудниками оперативных подразделений ОВД библиотеки WebRTC1, предназначенной для обмена сетевыми данными в режиме реального времени между браузерами без промежуточных серверов, позволяет установить реальный IP-адрес пользователя сети (несмотря на
»>2 3
использование им технологий VPN и Proxy ).
Вместе с тем подобный подход не всегда позволяет осуществлять эффективную поисковую работы в сети DarkNet. Это связано с тем, что жизненный цикл уяз-вимостей составляет всего от недели до нескольких месяцев, а существование версий Tor Browser, содержащих конкретную уязвимость, компрометирует весьма ограниченный круг пользователя в сети Интернет, использующих скрытый сегмент Интернета в противоправных целях.
Вторая группа методов основана на анализе записей в Netflow4 на маршрутизаторах, которые непосредственно являются узлами сети DarkNet или находятся недалеко от них. Netflow — проприетарный открытый протокол, предназначенный
1 WebRTC (англ. real — time communications — коммуникации в реальном времени) — проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.
2 VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например, сети Интернет.
Прокси-сервер (от англ. Proxy — представитель, сервер-посредник) — промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером.
4 NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией CiscoSystems. Является фактическим промышленным стандартом и поддерживается не только оборудованием Cisco, но и многими другими устройствами (в частности, Juniper, ZTE и Enterasys). Также существуют свободные реализации для UNIX-подобных систем.
для мониторинга трафика сети. Он представляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP.
Несмотря на кажущуюся простоту и эффективность, указанный способ предполагает огромное количество точек присутствия внутри сети DarkNet, требуя наличия большего пула вычислительной ресурсов.
Третья группа методов представляет наибольший интерес. Они основаны на анализе сетевой активности пользователя сети Интернет. В их основе лежит интерес реализация тега canvas1, генерирующего растровые изображения2 при помощи JawaScript3 на платформе HTML54. Ключевая особенность подхода состоит в том, что ренденринг5 таких изображений каждый браузер осуществляет по-разному в зависимости от типа графического адаптера, аппаратно-программной составляющей компьютера, операционной системы и её конфигурации. Следовательно, параметры отрисованных изображений могут уникально идентифицировать браузер и его программно-аппаратное окружение.
Использование данного метода позволяет отслеживаться и другие параметры электронного вычислительного средства пользователя в сети Интернет. Так, например, — заголовки браузера и его настройки, программно-аппаратные характеристики экрана (разрешение, поддержка сенсорного ввода), часовой пояс, сведения об операционной системе и др.
Комплекс полученной цифровой информации позволяет сформировать так называемый цифровой отпечаток, имеющий вид 32-битного числа шестнадцате-ричной системы, которое получается в результате обработки всех принятых интернет-браузером данных.
Использование сотрудниками оперативных подразделений ОВД предложенных нами методов позволят получить возможность зафиксировать необходимую оперативно значимую и аналитическую информацию о пользователях сети Интернет с определенным цифровым отпечатком. Например, путем изучения истории его серфинга и авторизаций на сайтах. В последующем данные сведения могут способствовать установлению круга его общения, их частоту, социальные связи, интересы, предпочтения и др.
Дальнейшее действия по деанонимизации лиц, совершающих преступления в сети Интернет, в том числе сети DarkNet, обусловлены с применением всего комплекса оперативно-поисковых средств и методов. Данный инструментарий позво-
1 Canvas (англ. canvas — «холост», рус. канвас) — элемент HTML5, предназначенный для создания растрового двухмерного изображения при помощи скриптов, обычно на языке JawaScript.
2 Растровое изображение — изображение, представляющее собой сетку (мозаику) пикселей — цветных точек (обычно прямоугольных) на мониторе, бумаге и других отображающих устройствах.
3 JavaScript — мультипарадигменный язык программирования. Поддерживает объективно-ориентированный, императивный и функциональный стили. Является реализацией языка ECMASript (стандарт ECMA-262).
4 HTML5 (англ. HyperTextMarkupLanguage, version 5) — язык для структурирования и представления содержимого всемирной паутины. Это пятая версия HTML.
5 Рендеринг или отрисовка (англ. rendering — «визуализация») — термин в компьютерной графике, обозначающий процесс получения изображения по модели с помощью компьютерной программы.
ляет идентифицировать личность конкретного лица, выяснить роль каждого из объектов оперативной заинтересованности, а также установить иные обстоятельства, относящиеся к эпизодам преступной деятельности.
Синтезируя изложенную нами информацию, полагаем, что предложенные меры по совершенствованию правовых основ оперативно-розыскного противодействия преступлениям, совершаемым с использованием ИТТ, и методы деаноними-зации пользователя сети Интернет требуют дальнейшего научного осмысления. Однако, считаем, что даже их частичная реализация положительно отразится на эффективности деятельности правоохранительных органов в целом.
БИБЛИОГРАФИЧЕСКИЕ ССЫЛКИ
1. Колокольцев В. А. Выступление от З марта 2G2i г. на расширенной коллегии МВД России [Электронный ресурс]. — URL: https://мвд.рф/news/item/23305248/ (дата обращения: 26.G3.2G2i).
2. Лузько Д. Н. Информационное обеспечение оперативно-розыскной деятельности: перспективы развития [Электронный ресурс] // Научный дайджест Восточно-Сибирского института МВД России. — 2020. — M 5 (В). — С. 62—66. — Электрон. текст. дан. (17 027 G72 байт). — 60 электрон. опт. диск. (CD-ROM). — Загл. с этикетки диска.
3. Железняк И. Н. Проблемы юридической квалификации взаимоотношений лиц, заключивших контракт о конфиденциальном сотрудничестве с органами, осуществляющими оперативно-розыскную деятельность / И. Н. Железняк // Вестник Кузбасского института. — M З (44). — 2020. — С. 149—157.
4. Варданян А. В., Грибунов О. П. Современная доктрина методико-криминалисти-ческого обеспечения расследования отдельных видов преступлений / А. В. Варданян, О. П. Грибунов // Вестник Восточно-Сибирского института МВД России. — 2017. — M 2 (81). — С. 2З—З5.
5. Пучнин А. В., Горбова В. В. Аппаратно-программные и технические средства фиксации преступной деятельности, осуществляемой в сети Интернет / А. В. Пучнин,
B. В. Горбова // Охрана, безопасность, связь. — 2018. — Т. 1. — M З (З). — С. 209—217.
6. Павличенко Н. В., Самоделкин А. С. Конвергенция оперативно-розыскного законодательство государств — участников Содружества Независимых Государств / Н. В. Пав-личенко, А. С. Самоделкин // Общество и право. — 2016. — M 1 (55). — С. 190—194.
7. Кузнецов Е. В., Ступницкий А. Е. Основание для проведения оперативно-разыскных мероприятий, предусмотренных подпунктом i пункта 2 части i статьи 7 Федерального закона «Об оперативно-розыскной деятельности»: проблемы теории и практики / Е. В. Кузнецов, А. Е. Ступницкий // Оперативник (сыщик). — 2016. — M 4 (49). —
C. 16—21.
ИНФОРМАЦИЯ ОБ АВТОРАХ Тимофеев Сергей Владимирович, старший преподаватель кафедры оперативно-розыскной деятельности и специальной техники ОВД Восточно-Сибирского института МВД России. 664071, Россия, Иркутск, ул. Лермонтова, 110, e-mail: tsv.vsi@yahoo.com
INFORMATION ABOUT THE AUTHORS Sergey V. Timofeev, Senior lecturer of Department of operational and investigative activity and special equipment ATS. East-Siberian Institute of the MIA of the Russia. 110 Lermontov St., Irkutsk, Russia. 664071. e-mail: tsv.vsi@yahoo.com
