ПоделитьсяДаже при наступлении «великого русского файервола» умелые руки смогут спрятать концы в воду. А вот на уровне «маршрутов» рассылок о «заминированиях» специалисты способны понять, реальна ли угроза, и, возможно, не гонять людей на улицу по каждой анонимке.
Истинные «минёры» по Интернету останутся, скорее всего, «неуловимыми Джо». Два самых медийных «технаря» двух столиц, московский математик Дмитрий Богатов, которому поддержка Tor едва не вышла сроком, и петербуржец, бывший технический директор «ВКонтакте» Антон Розенберг через «Фонтанку» рассказывают, какие технические зацепки могут нарисовать правоохранительным органам портрет злоумышленника.
- В Петербурге шесть дней ежедневных «заминирований». Злоумышленник, который таким образом пытается сеять панику и заодно вымогает деньги, по нашей информации, пользуется браузером Tor (позволяет пользователю оставаться не обнаруживаемым территориально. – Прим. ред.). Известно также, что рассылает он свои письма вручную. Tor – лучший способ оставаться не обнаруженным при рассылке электронных писем?
«Евангелист» Tor Project Дмитрий Богатов: Tor хорошее решение. Протокол SMTP (простой протокол передачи почты. – Прим. ред.), которым мы пользуемся до сегодняшнего дня, создавался, когда Интернет был маленький и дружелюбный. Теоретически, чтобы отправить письмо кому-либо, не нужно никакой инфраструктуры – это делается несложным запросом на 25-й порт (порт TCP 25 в рамках протокола SMTP. – Прим. ред.) . Некоторые принимающие сервера предъявляют более жёсткие требования (например Google, отчего почта до них периодически не доходит). Так или иначе, но Tor позволяет скрыть единственную информацию – IP-адрес.
Программист Антон Розенберг: Tor – это и технология анонимизации, позволяющая скрыть истинный IP-адрес пользователя в сети Интернет, и браузер с поддержкой этой технологии. А уж письма рассылать или сообщения в соцсетях и форумах – дальше уже не важно. Tor – не единственный, но самый известный подобный инструмент, однако я бы не был уверен в стопроцентной анонимности. Это напоминает историю с Telegram – большинство пользователей свято верит, что он едва ли не самый надёжный и безопасный, но никогда не пытались даже разобраться, почему они в это верят, и даже не заглядывали в расширенные настройки безопасности.
- Можно ли технически установить местонахождение злоумышленника, учитывая, что известны адреса почты? Они «говорящие» – PUTIN.VOLODYA@LENTA.RU, PUTIN.CREMLIN@LENTA.RU, VOVAN.PUTIN@MYRAMBLER.RU. Каким может быть алгоритм действий?
Дмитрий Богатов: Теоретически, если предположить, что эти адреса и правда существуют, то, возможно, сохранилась информация о том, с какого IP-адреса эти ящики регистрировались. Это может быть очень слабой зацепкой, если регистрировались они не из-под Tor. А может быть, эти адреса просто придуманы (поле «От кого» технически можно сделать абсолютно любым).
Антон Розенберг: Электронная почта сама по себе – весьма древняя технология, создававшаяся в те времена, когда никто не думал даже о спаме. Отсюда масса проблем, в частности, при отправлении письма не обязательно даже быть владельцем указанного ящика, в качестве отправителя можно указать любой чужой ящик, хоть ЦРУ, хоть ФСБ. Впрочем, судя по названиям ящиков, скорее всего, письма отсылал их владелец. Тогда у почтового провайдера может быть какая-то информация, вроде IP-адреса, с которого ящик регистрировали, истории входов и т.д. Но все эти адреса могут быть замаскированы через Tor, если злоумышленник нигде не просчитался, регистрировал ящик тоже через Tor и т.д. Так что в общем случае установить его местонахождение невозможно, но для идентификации могут быть различные варианты: допущенные ошибки в процессе использования Tor, косвенная информация вроде других писем с этих ящиков, настройки браузера, время выхода в сеть, анализ орфографии и пунктуации. Теоретически можно даже пытаться идентифицировать человека по тому, как и с какой скоростью он набирает текст, как работает с сайтом через браузер. Но меня больше повеселила фраза в письмах-угрозах о том, что «бомба активируется с момента открытия письма». Это смешно, потому что в общем случае протокол электронной почты не предусматривает никаких автоматических уведомлений о прочтении. С тем же успехом можно послать бумажное письмо, в котором также написать, что «бомба активируется в момент открытия конверта или прочтения текста на бумаге».
- Можно ли обнаружить, через какие узлы получает доступ в Tor злоумышленник? И даст ли это эффект?
Дмитрий Богатов: Вряд ли. Впрочем, это бесполезно. Один из трёх узлов наверняка окажется вне вашей юрисдикции.
- Злоумышленник требует переводить деньги через конкретную платежную систему в Интернете. Эта информация позволяет отследить человека и в конечном итоге привлечь его к ответственности?
Антон Розенберг: Можно попытаться получить у владельца платёжной системы информацию о владельце аккаунта, но IP-адреса точно так же могут вести в Tor. Можно предположить, что злоумышленник до этого разбирался с этой платёжной системой, так что у него там есть аккаунт, которым он пользовался не через Tor. Это сужает круг до всех пользователей. Но вряд ли стоит записывать всех её пользователей в поголовно подозреваемые и проверять их всех. Отследить, куда перевели деньги, если кто-то их всё же перевёл, – ещё один способ попытаться найти злоумышленника. И вывести деньги, не оставив никаких следов, подозреваю, тоже сложная задача. Но не знаю, насколько высоки тут компетенции у наших правоохранительных органов.
- Меняется ли навык государства по выявлению злоумышленников, использующих средства для сохранения своей анонимности?
Дмитрий Богатов: Мне кажется, что ничего не меняется, за ненадобностью. «Правоохранители» работают не отмычкой, а кувалдой. Так, что граждане понимают, что под удар может попасть любой. Тех, кто призван курировать такую «работу», всё устраивает.
- В «деле математика Богатова» про «экстремистские высказывания» через Tor силовики вроде как нашли «истинного автора цитат». Человек признался и был осуждён. Как удалось его найти?
Дмитрий Богатов: Нашли? Думаю, что он уже был на карандаше: у него была судимость по 319 (УК РФ. Статья 319. Оскорбление представителя власти, а осуждённый житель Ставрополя был осуждён в особом порядке, так как признал вину до суда. – Прим. ред.).
Антон Розенберг: Пока государство старается скорее контролировать и запрещать, но поскольку до Великого китайского файервола и Интернета по паспорту всё ещё далеко, сохранить анонимность можно, а какие-то суперсредства у государства вряд ли есть. Речь не об одном шаге. В подозреваемые можно записывать хоть всех пользователей Tor. Шутка шуткой, а в США, подозреваю, так и делают. И если речь пойдёт о каком-то реально важном деле, скорее всего, проще будет не искать пути «расшифровать» цепочку анонимайзеров, а искать злого гения, «профессора Мориарти», по другим следам, исходя из того, что круг подозреваемых не так велик. Хотя в данном случае речь точно не о злом гении, а скорее о банальном жулике и аферисте. Но не Великим же файерволом перекрывать весь Интернет – это будет победой террористов, так как ущерб экономике будет несравнимо больше, чем плюсов от этого.
- Эксперты по кибербезопасности (крупные антивирусные компании) отказываются говорить с нами на тему методов поиска «лжеминёров», аргументируя тем, что если рассказывать, как ловить, то тот, кто не хочет, чтобы его поймали, получит полезную информацию. Соглашаемся с крупным бизнесом, зарабатывающим миллиарды на цифровых угрозах?
Дмитрий Богатов: Тезис логичный. Чем больше мы будем знать о технологичных способах, тем, конечно, больше будет знать потенциальный злоумышленник. Но это важно, так как тем более неудобные вопросы общество сможет задать правоохранительным органам.
Антон Розенберг: Раскрывать свои технологии расследования не стоит. Хотя, на самом деле, это может быть удача или везение в каком-то конкретном случае. Я не берусь ручаться за Tor просто потому, что не уверен в нём на 100%, и потому, что там точно есть масса подводных камней. Если кто-то не слишком умный поначитается и решит рассылать подобные письма, скорее всего, он вскоре совершит ошибку, по которой его, при желании, можно будет поймать. Скажем так, таков мой опыт борьбы со спамом в ВК и Telegram, большинство спамеров не были техническими гениями.
Но лучше всего такие проблемы решаются экономическим путём, талантливые хакеры и мошенники есть, и они занимаются теми делами, которые приносят деньги. Поэтому первое, что надо делать – не платить им. А второе – решить проблему эвакуаций по заведомо ложным угрозам. Вот это та область, где хорошие законы, вероятно, не помешали бы.
Николай Нелюбин, специально для «Фонтанки.ру»
