Возможны, разумеется, и «кибервоенные» (cyberwar) операции против террористов, активные атаки на используемые ими компьютеры. Как известно, используется и мониторинг по характерным паттернам в трафике. Это уже на грани легального и нелегального, и в любой момент такая работа может стать нелегальной – ведь законодательство развивается. Но в настоящее время отслеживание паттернов широко ведут, например, онлайновые торговцы. Установка вирусов, рассылающих информацию, на компьютерах террористов – вот пример действительно незаконных действий спецслужб. А отслеживание трафика, включая переводы денег – без привязки к конкретным людям и конкретным компьютерам, – пока что абсолютно легально, этим занимаются и исследователи, и маркетёры. Google Mail прекрасно приспосабливает свою рекламу к содержанию наших писем. С одной стороны, это серьезное вторжение в приватность, с другой – мы согласны на это, в обмен на удобства Google Mail. "Могу представить себе систему, – говорит Яэль, – для отслеживания террористических обменов через Google Mail, которая будет подсовывать таким пользователям рекламу бомб".
Один из известных в Интернете борцов с террором Аарон Вайсбурд (Aaron Weissburd, создатель sofir org), которого часто называют "сетевым виджиланте" (см. врезку о виджилантизме в материале "Предатор/виджиланте/бэкспейс"), хотя он всегда действует в рамках закона, считает, что главные уязвимости нашего противника не технические, а поведенческие: "слабое звено находится между стулом и клавиатурой". Поэтому нет необходимости ввязываться в незаконные операции. Сидя здесь, у компьютера, мы можем заставить противника совершить ошибочное действие.
Интернет должен быть для «них» небезопасен, и надо дать «им» это почувствовать. Необходимо следить за администраторами, модераторами и вебхостерами форумов. Но главная задача – подорвать доверие к форумам. Для этого мы должны сами активно участвовать в их работе. Это сетевой эквивалент агентурной разведки. Бывает очень приятно сидеть в форуме, читать, что там пишут, и понемногу скармливать участникам абсолютно гнилую (bogus) информацию.
Другой фактор уязвимости – сбор разведданных с помощью Интернета. К сожалению, разведывательные агентства все больше становятся новостными агентствами – от них ждут обеспечения правительства новостями, а не прогнозами. На самом деле прогнозы должны быть основой работы разведок. В Интернете, этом виртуальном лагере для подготовки террористов, ключевые идеологи сообщают все свои идейные установки сами, мы получаем их из первых рук. Почти все обсуждения идут в онлайне. Изучая активность в чатах, можно легко выделить идеологических лидеров терроризма. Анализ данных показывает: всех нынешних молодых идеологов Аль-Каиды можно было обнаружить еще три года назад.
Форумы – ценнейший источник информации, так как там обсуждаются реальные тактические операции. Они дают информацию и о стратегии: о методах достижения целей, о структуре организаций, о том, кто и как принимает решения.
Исследователи отмечают: структура организации изоморфна структуре ее вебсайта. Например, сайт Хизбаллы – иерархический, вещательный, неинтерактивный, структурированный сверху вниз. Так принимает решения и сама организация. Их сайт похож на сайт Госдепартамента США. Они сообщают посетителям, что им следует думать, мнение посетителей их не интересует. Напротив, у суннитских организаций, таких как Аль-Каида, сайт обычно разветвленный, интерактивный, демократичный.
Такие организации больше всего беспокоит идеологический раскол. Многие идеологи движений, использующих лозунги "джихада", неплохо знают Коран, но их взгляды обычно далеки от богословского "мейнстрима". Поэтому легко найти критиков-священников, которые знают Коран еще лучше и могут поспорить с этими идеологами. Идеологи, в свою очередь, стремятся заглушить голос этих деятелей – или стараются кооптировать в свою организацию влиятельных богословов, поддерживающих нужную им интерпретацию. Все это важнейшие факторы уязвимости "джихадистов".
Нам очень важно знать, чему они учат друг друга. В форумах, на сайтах мы видим оружие, которое они предпочитают, оценку его эффективности. В таких случаях мы можем вмешаться в дискуссию и сказать: нет, это неэффективно, лучше попробуйте вот это. Это же открытый университет, что-то вроде википедии. Можно подсказать им идею глушителя, но такого, что размер слишком мал. И предложить испытать его со студентами, посмотреть, как он работает. То же со взрывчаткой: легко придумать новые варианты состава, выложить на сайт открытого университета – и на следующий день посмотреть, у кого не хватает пальцев на руках. Мы можем анализировать их видео – это подскажет, на какие цели они собираются нападать.
В таких сообществах всегда боятся шпионов. Поэтому надо провоцировать их членов, чтобы они обвиняли друг друга в шпионаже. В онлайновых сообществах особенно легко устраивать войну между группами, заставляя одну из них не доверять другой. После чьего-нибудь ареста мы объявляем: ясно, его предали вот эти!..
Мы должны смотреть, как они проводят набор добровольцев, ведут психологические операции, – и подражать им. Делать контент-анализ и контекст-анализ, чтобы понять, как они манипулируют своими людьми, а главное – что думают лидеры о том, что хотят слышать их рядовые члены. Мы соперничаем с ними за одну и ту же часть населения. Например, они хотят рекрутировать молодежь в европейских городах. А мы должны сделать так, чтобы молодежь захотела сражаться с ними.
Мы можем считать Интернет тренировочным лагерем не только для террористов, но и для контртеррористов. Для этого надо сделать веб существенной частью своего инструментария. Психологические операции должны стать ключевыми. Надо изменить нашу собственную структуру с иерархической на сетевую. Включить туда академическое сообщество, коммерческое сообщество. Потому что государственной организации очень трудно справиться с общественным движением.
Отметим: Тут уж, пожалуй, и отмечать нечего. Да, это повседневная практика. Да, именно так ведется эта война, и важно знать ее методы в подробностях – мы ведь каждый день читаем блоги и форумы, пусть и не всегда с террористическими инструкциями. Но где перспектива? Оставим все, кроме формальной прагматики, далеко за скобками – и вспомним борьбу спецслужб и революционного подполья в начале XX века в России. Там были великие провокаторы и грандиозные предатели. Были, как говорят, даже ячейки революционных партий, где число «засланных» участников превышало число настоящих. Ну и?..
БезИзвестный исследователь информационного общества Симсон Гарфинкель рассматривает феномен безлидерного сопротивления в статье «Leaderless resistance today», (см. также «КТ» #538). Так называют методы, применямые неструктурированными группами, объединенными общей идеологией, для достижения своих целей. Во имя «руководящей идеи» группы активистов действуют согласованно, причем без руководства в традиционном смысле слова. Координация осуществляется через информационные ресурсы. Так, движение радикальных экологистов ELF (Earth Liberation Front), до событий 9/11 считавшееся в США самой опасной организацией по части террористических атак, координировалось при помощи единственного списка рассылки.
Предатор/виджиланте/бэкспейс
Автор: Леонид Левкович-Маслюк
Санджай Гоел (Sanjay Goel) – директор по исследованиям Центра информационной криминалистики штата Нью-Йорк (NYS Center for Information Forensics and Assurance), профессор университета SUNY (State University of New-York). Вырос и учился в Индии, защищал диссертацию в Штатах, где с тех пор живет и работает – распространенный биографический паттерн среди индийских техноинтеллектуалов. У него спокойный внимательный взгляд йога, но стрижка – как у морского пехотинца.
Санджай занимается информатическими исследованиями самого широкого профиля: прикладной математикой сетей, их вирусологией и зомбологией (у него есть цикл работ по ботнетам, сетям "зомбированных машин" [Об этой все более грозной напасти недавно писал Родион Насакин ("КТ" #685)]). Санджай ищет в экологии и иммунологии параллели с жизнью сетевой фауны, он применяет очень непростые инструменты анализа – например, вычисление "колмогоровской сложности", – да еще и немедленно переносит идеи в область оценки рисков инвестирования.
Ну а боевая стрижка объясняется долгосрочным исследовательским сотрудничеством с департаментом полиции штата Нью-Йорк. Один из проектов – технологии поиска и картирования сетевых следов второго по упоминаемости в медиа (после "международного террориста") злейшего врага человечества – "сексуального хищника, угрожающего детям" (child sexual predator), для краткости назовем его просто «предатор» (не так уж уродливо, если сравнить со многими уже общепринятыми кальками с английского). Совместные разработки университета, полиции и других заинтересованных организаций достигли вполне рабочего уровня. Во всяком случае, доклад Гоела на семинаре завершился показом многочисленных карт городских районов, усеянных разноцветными флажками в виде перевернутой капли – словно булавками, что удерживают добытые энтомологом ценные экземпляры коллекции.
Система, как мы уже писали ("КТ" #686), вызвала большой интерес у наших ИБ-специалистов из МГУ, и сейчас вовсю планируется совместный проект МГУ и SUNY. Но в том варианте ppt’шника, который я в конце концов заполучил, слайдов с булавками уже не было. Оказалось, что на лекции мы видели чуть ли не реальные оперативные сводки полицейского департамента, с фамилиями и адресами настоящих подозреваемых; цвет флажка кодировал степень уверенности властей в необходимости срочно изолировать данного персонажа от менее опасной части общества. Передавать эти данные в открытую печать разработчики, естественно, не стали. Похоже, что и многие технические подробности исчезли вместе с картами и флажками, и это тоже правильно – ибо предатор не дремлет и, узнав эти подробности, может выскользнуть из сетей.
Однако и без всего этого большой интерес представляют две вещи: сам факт появления подобных систем, а также принципы их функционирования и проблемы, ему препятствующие. Отметив факт, перейдем к принципам и проблемам.
"Много данных, но мало информации!"
Этот лозунг часто повторяют по самым разным поводам. В ситуации, о которой идет речь, главное препятствие на пути превращения данных в информацию – их разрозненность. Предположим, в чатах обнаружена подозрительная активность, наводящая на мысль о появлении предатора. Обнаружить ее можно по сигналу программы-монитора, настроенной на определенные параметры контента – или по личным впечатлениям агента-оперативника, мониторящего этот чат или форум, маскируясь под обычного участника. Кстати, в качестве агентов все чаще выступают гражданские добровольцы, работающие на свой страх и риск и лишь в последний момент перед задержанием выслеженного злодея вступающие в контакт с «органами» (см. врезку об очень интересном явлении – сетевом виджилантизме [network vigilantism], касающемся не только антипредаторства, но и антитерроризма). Однако в данной системе такие источники информации, по-видимому, не учитывались. Так или иначе, первая задача – установить, кто может скрываться под ником, вызвавшим подозрения. В отличие от виджиланте (борцов за охрану порядка, так сказать, "по понятиям"), полиция имеет доступ к огромным массивам данных, которыми располагают госорганы. Она может – но лишь при соблюдении корректного юридического протокола! – рассчитывать также на доступ (в рамках так называемых точечных операций) к нужным данным через провайдера или средствами "легального перехвата" (аналога нашего СОРМа – см. врезку в материале "Инструктаж").
Однако на практике наличие этих возможностей и их реализация – совсем не одно и то же. Очень важной частью всей работы по проекту было создание системы C-Map для картирования и анализа данных из баз о криминальной активности. Туда же интегрируются и данные, получаемые от провайдеров В результате возникают упоминавшиеся выше красивые карты (создаваемые при помощи популярной геоинформационной системы [ГИС] MapInfo), где подозреваемые отображены флажками. Географическая составляющая – хотя бы простое наложение карт криминальной активности на карту школьных округов, других административных образований, – как раз обеспечивает превращение данных в "информацию". Потенциальные предаторы А, B, C живут в школьном округе Х, а в чате некто зазывает в гости с какими-то зловещими намерениями девочек и мальчиков именно из школы этого округа – такое сопоставление сразу порождает несколько флажков на карте. Ну а дальше начинается более сложный анализ. Хотя, рискну предположить, и не использующий модели из иммунологии и "колмогоровскую сложность". Но это лишь предположение.
Но даже после того, как выставлены красные флажки и крепкие ребята с прическами, как у Санджая (но не носящие профессорского титула), сделали свое дело – например, «приняли» предатора, – возникает серьезная задача предъявления улик, доказывающих суду, что за предатора не приняли человека, непричастного ни к каким гнусностям. Так вот, вторая часть системы нацелена как раз на решение этой задачи. Более того. Именно эта часть и считается "критическим ингредиентом" в работе с компьютерной преступностью. Надо уметь внятно предъявить доказательства, собранные по следам, которые оставлены не в форме отпечатков пальцев или смятых окурков. Киберкриминалистика имеет дело с маловещественными объектами – следами сетевой активности, битами и байтами в файлах на каких-то удаленных серверах. И извлечь из этих байтов четкие, понятные и убедительные для суда доказательства того, что именно этот человек планировал нечто ужасное и уже сделал такие-то и такие-то шаги для реализации своих планов, совсем не тривиальная задача. Здесь превратить данные в информацию пока не получается, но вряд ли могут быть сомнения в том, что скоро получится. И венцом всей этой деятельности должна быть система, которая не просто позволяет эффективно заниматься киберкриминалистикой, а еще и автоматически демонстрировать имеющиеся улики (например – по-видимому! – доказательно подлинные логи чатов) прямо в зале суда.
Глобализация
Вполне естественно, что если ситуация по каким-то параметрам выходит за пределы школьных округов штата Нью-Йорк, и даже всех Соединенных Штатов, – например, по ходу дела всплывают какие-нибудь серверы на территориях, до которых ребятам со стрижкой под "Морских котиков" добраться не так просто, – то сразу же возникает та самая история с согласованием национальных законодательств, сотрудничеством стран в киберпространстве (а для начала – выработкой хоть какого-то юридического понимания, что же это такое – киберпространство) и тому подобными совсем не инфотехническими проблемами, о которых много говорилось в первой части этой темы номера (см. «КТ» #686). Более того, глобальное единство киберполиций разных стран позволит делать нечто гораздо большее, нежели обкладывать флажками какого-то жалкого предатора. Ключевые слова известны – это и отмывание денег и, разумеется, терроризм, да и много чего еще. Ну а в применении к глобальной ловле предатора текущие задачи, к которым подключается все больше академических учреждений, примерно таковы.
Надо разработать надежную систему автоматического анализа текстов чатов и форумов, которая бы быстро локализовывала подозрительную активность. Она же должна вести и анализ мотивов, намерений, образа действий предполагаемого предатора. Все это должно работать в глобальном масштабе, то есть форумы и чаты и в Китае, и в Индии, и в России, и в Штатах должны быть в достаточной мере прозрачны для такой системы. А для этого нужны глобальные же юридические сдвиги. Важнейший из них – убрать «асимметрию» национальных законодательств. Проще говоря, движение к глобальной экономике потребует введения общих для всех законов. Но как это сделать?
Очень трудно – ведь законы основаны на культурных и социальных нормах разных стран и народов, а эти нормы меняются крайне медленно. Есть ли выход? Есть. Нужно работать над их согласованием, не пытаясь форсировать события. К этому сводится ответ, который дал Санджай Гоел – подчеркнув, что он опирается не только на логику, но и на свой опыт, опыт человека, рожденного и воспитанного на Востоке, живущего и работающего на Западе.
Мудрый ответ, вне всякого сомнения. Тем более что других вариантов пока, слава богу, все равно не видно.
Сетевой виджилантизмСлово «виджиланте» (vigilante, множ. vigilanti) пока не вошло в русский язык – думаю, что не столько из-за трудной произносимости, сколько потому, что у нас особенно-то и нечего им обозначать. Отряды виджиланте – это группы граждан, самостоятельно поддерживающих правопорядок. Причем исторически такой правопорядок мог не иметь ничего общего ни с правом, ни с порядком – так, на Диком Западе в девятнадцатом веке отряды виджиланте частенько занимались линчеванием негров и были скорее похожи на шайки бандитов. Более поздний, новый виджилантизм связан и с экстремальными формами борьбы против абортов, и с патрулированием жителями станций метро и дворов в криминализованных районах, и с пограничными патрулями, выслеживающими нелегальный трафик людей и товаров.
Кибервиджилантизм, сетевой виджилантизм (network vigilantism) – явление совсем новое и иногда принимающее весьма резкие формы. Вот два примера групп, занятых чем-то в этом роде.
Название первой организации – Perverted justice – сразу и не поймешь как перевести. То ли «извращенное правосудие», то ли «правосудие по отношению к извращенцам». Так или иначе, в действиях PeeJ есть элементы и того и другого. Цель – борьба с педофилией в Сети. По выражению самих активистов, они хотят «отравить колодцы» – создать в популярных чатах знакомств, в социальных сетях такую атмосферу, чтобы – буде вы соберетесь туда, дабы познакомиться даже не с детьми, а просто с очень молодыми женщинами, – на душе у вас было малость неспокойно: а вдруг это западня и меня арестуют, едва я к ней подойду?..