Архивы: по дате | по разделам | по авторам

Предатор/виджиланте/бэкспейс

Архив
автор : Леонид Левкович-Маслюк   27.07.2007

Санджай Гоел (Sanjay Goel) - директор по исследованиям Центра информационной криминалистики штата Нью-Йорк (NYS Center for Information Forensics and Assurance), профессор университета SUNY (State University of New-York).

Санджай Гоел (Sanjay Goel) - директор по исследованиям Центра информационной криминалистики штата Нью-Йорк (NYS Center for Information Forensics and Assurance), профессор университета SUNY (State University of New-York). Вырос и учился в Индии, защищал диссертацию в Штатах, где с тех пор живет и работает - распространенный биографический паттерн среди индийских техноинтеллектуалов. У него спокойный внимательный взгляд йога, но стрижка - как у морского пехотинца.

Санджай занимается информатическими исследованиями самого широкого профиля: прикладной математикой сетей, их вирусологией и зомбологией (у него есть цикл работ по ботнетам, сетям "зомбированных машин" [Об этой все более грозной напасти недавно писал Родион Насакин ("КТ" #685)]). Санджай ищет в экологии и иммунологии параллели с жизнью сетевой фауны, он применяет очень непростые инструменты анализа - например, вычисление "колмогоровской сложности", - да еще и немедленно переносит идеи в область оценки рисков инвестирования.

Ну а боевая стрижка объясняется долгосрочным исследовательским сотрудничеством с департаментом полиции штата Нью-Йорк. Один из проектов - технологии поиска и картирования сетевых следов второго по упоминаемости в медиа (после "международного террориста") злейшего врага человечества - "сексуального хищника, угрожающего детям" (child sexual predator), для краткости назовем его просто "предатор" (не так уж уродливо, если сравнить со многими уже общепринятыми кальками с английского). Совместные разработки университета, полиции и других заинтересованных организаций достигли вполне рабочего уровня. Во всяком случае, доклад Гоела на семинаре завершился показом многочисленных карт городских районов, усеянных разноцветными флажками в виде перевернутой капли - словно булавками, что удерживают добытые энтомологом ценные экземпляры коллекции.

Система, как мы уже писали ("КТ" #686), вызвала большой интерес у наших ИБ-специалистов из МГУ, и сейчас вовсю планируется совместный проект МГУ и SUNY. Но в том варианте ppt’шника, который я в конце концов заполучил, слайдов с булавками уже не было. Оказалось, что на лекции мы видели чуть ли не реальные оперативные сводки полицейского департамента, с фамилиями и адресами настоящих подозреваемых; цвет флажка кодировал степень уверенности властей в необходимости срочно изолировать данного персонажа от менее опасной части общества. Передавать эти данные в открытую печать разработчики, естественно, не стали. Похоже, что и многие технические подробности исчезли вместе с картами и флажками, и это тоже правильно - ибо предатор не дремлет и, узнав эти подробности, может выскользнуть из сетей.

Однако и без всего этого большой интерес представляют две вещи: сам факт появления подобных систем, а также принципы их функционирования и проблемы, ему препятствующие. Отметив факт, перейдем к принципам и проблемам.

"Много данных, но мало информации!"

Этот лозунг часто повторяют по самым разным поводам. В ситуации, о которой идет речь, главное препятствие на пути превращения данных в информацию - их разрозненность. Предположим, в чатах обнаружена подозрительная активность, наводящая на мысль о появлении предатора. Обнаружить ее можно по сигналу программы-монитора, настроенной на определенные параметры контента - или по личным впечатлениям агента-оперативника, мониторящего этот чат или форум, маскируясь под обычного участника. Кстати, в качестве агентов все чаще выступают гражданские добровольцы, работающие на свой страх и риск и лишь в последний момент перед задержанием выслеженного злодея вступающие в контакт с "органами" (см. врезку об очень интересном явлении - сетевом виджилантизме [network vigilantism], касающемся не только антипредаторства, но и антитерроризма). Однако в данной системе такие источники информации, по-видимому, не учитывались. Так или иначе, первая задача - установить, кто может скрываться под ником, вызвавшим подозрения. В отличие от виджиланте (борцов за охрану порядка, так сказать, "по понятиям"), полиция имеет доступ к огромным массивам данных, которыми располагают госорганы. Она может - но лишь при соблюдении корректного юридического протокола! - рассчитывать также на доступ (в рамках так называемых точечных операций) к нужным данным через провайдера или средствами "легального перехвата" (аналога нашего СОРМа - см. врезку в материале "Инструктаж").

Однако на практике наличие этих возможностей и их реализация - совсем не одно и то же. Очень важной частью всей работы по проекту было создание системы C-Map для картирования и анализа данных из баз о криминальной активности. Туда же интегрируются и данные, получаемые от провайдеров В результате возникают упоминавшиеся выше красивые карты (создаваемые при помощи популярной геоинформационной системы [ГИС] MapInfo), где подозреваемые отображены флажками. Географическая составляющая - хотя бы простое наложение карт криминальной активности на карту школьных округов, других административных образований, - как раз обеспечивает превращение данных в "информацию". Потенциальные предаторы А, B, C живут в школьном округе Х, а в чате некто зазывает в гости с какими-то зловещими намерениями девочек и мальчиков именно из школы этого округа - такое сопоставление сразу порождает несколько флажков на карте. Ну а дальше начинается более сложный анализ. Хотя, рискну предположить, и не использующий модели из иммунологии и "колмогоровскую сложность". Но это лишь предположение.

Но даже после того, как выставлены красные флажки и крепкие ребята с прическами, как у Санджая (но не носящие профессорского титула), сделали свое дело - например, "приняли" предатора, - возникает серьезная задача предъявления улик, доказывающих суду, что за предатора не приняли человека, непричастного ни к каким гнусностям. Так вот, вторая часть системы нацелена как раз на решение этой задачи. Более того. Именно эта часть и считается "критическим ингредиентом" в работе с компьютерной преступностью. Надо уметь внятно предъявить доказательства, собранные по следам, которые оставлены не в форме отпечатков пальцев или смятых окурков. Киберкриминалистика имеет дело с маловещественными объектами - следами сетевой активности, битами и байтами в файлах на каких-то удаленных серверах. И извлечь из этих байтов четкие, понятные и убедительные для суда доказательства того, что именно этот человек планировал нечто ужасное и уже сделал такие-то и такие-то шаги для реализации своих планов, совсем не тривиальная задача. Здесь превратить данные в информацию пока не получается, но вряд ли могут быть сомнения в том, что скоро получится. И венцом всей этой деятельности должна быть система, которая не просто позволяет эффективно заниматься киберкриминалистикой, а еще и автоматически демонстрировать имеющиеся улики (например - по-видимому! - доказательно подлинные логи чатов) прямо в зале суда.

Глобализация

Вполне естественно, что если ситуация по каким-то параметрам выходит за пределы школьных округов штата Нью-Йорк, и даже всех Соединенных Штатов, - например, по ходу дела всплывают какие-нибудь серверы на территориях, до которых ребятам со стрижкой под "Морских котиков" добраться не так просто, - то сразу же возникает та самая история с согласованием национальных законодательств, сотрудничеством стран в киберпространстве (а для начала - выработкой хоть какого-то юридического понимания, что же это такое - киберпространство) и тому подобными совсем не инфотехническими проблемами, о которых много говорилось в первой части этой темы номера (см. "КТ" #686). Более того, глобальное единство киберполиций разных стран позволит делать нечто гораздо большее, нежели обкладывать флажками какого-то жалкого предатора. Ключевые слова известны - это и отмывание денег и, разумеется, терроризм, да и много чего еще. Ну а в применении к глобальной ловле предатора текущие задачи, к которым подключается все больше академических учреждений, примерно таковы.

Надо разработать надежную систему автоматического анализа текстов чатов и форумов, которая бы быстро локализовывала подозрительную активность. Она же должна вести и анализ мотивов, намерений, образа действий предполагаемого предатора. Все это должно работать в глобальном масштабе, то есть форумы и чаты и в Китае, и в Индии, и в России, и в Штатах должны быть в достаточной мере прозрачны для такой системы. А для этого нужны глобальные же юридические сдвиги. Важнейший из них - убрать "асимметрию" национальных законодательств. Проще говоря, движение к глобальной экономике потребует введения общих для всех законов. Но как это сделать?

Очень трудно - ведь законы основаны на культурных и социальных нормах разных стран и народов, а эти нормы меняются крайне медленно. Есть ли выход? Есть. Нужно работать над их согласованием, не пытаясь форсировать события. К этому сводится ответ, который дал Санджай Гоел - подчеркнув, что он опирается не только на логику, но и на свой опыт, опыт человека, рожденного и воспитанного на Востоке, живущего и работающего на Западе.

Мудрый ответ, вне всякого сомнения. Тем более что других вариантов пока, слава богу, все равно не видно.

Сетевой виджилантизм

Слово "виджиланте" (vigilante, множ. vigilanti) пока не вошло в русский язык - думаю, что не столько из-за трудной произносимости, сколько потому, что у нас особенно-то и нечего им обозначать. Отряды виджиланте - это группы граждан, самостоятельно поддерживающих правопорядок. Причем исторически такой правопорядок мог не иметь ничего общего ни с правом, ни с порядком - так, на Диком Западе в девятнадцатом веке отряды виджиланте частенько занимались линчеванием негров и были скорее похожи на шайки бандитов. Более поздний, новый виджилантизм связан и с экстремальными формами борьбы против абортов, и с патрулированием жителями станций метро и дворов в криминализованных районах, и с пограничными патрулями, выслеживающими нелегальный трафик людей и товаров.

Кибервиджилантизм, сетевой виджилантизм (network vigilantism) - явление совсем новое и иногда принимающее весьма резкие формы. Вот два примера групп, занятых чем-то в этом роде.

Название первой организации - Perverted justice - сразу и не поймешь как перевести. То ли "извращенное правосудие", то ли "правосудие по отношению к извращенцам". Так или иначе, в действиях PeeJ есть элементы и того и другого. Цель - борьба с педофилией в Сети. По выражению самих активистов, они хотят "отравить колодцы" - создать в популярных чатах знакомств, в социальных сетях такую атмосферу, чтобы - буде вы соберетесь туда, дабы познакомиться даже не с детьми, а просто с очень молодыми женщинами, - на душе у вас было малость неспокойно: а вдруг это западня и меня арестуют, едва я к ней подойду?..

Основной метод работы - провоцирование. Взрослые люди - судя по фотографиям, это чаще всего молодые мужчины и женщины (есть и супружеские пары) лет 25–35 - прочесывают чаты и форумы, представляясь ищущими приключений несовершеннолетними. Когда предполагаемый предатор-педофил клюнет, его заманивают на встречу и там сдают полиции. Участники ни от кого не прячутся, на сайте масса фотографий и другой информации. О деталях технологии, способах взаимодействия с полицией и прочих подробностях каждый сам может прочитать на сайте PeeJ. Одну деталь все же стоит привести здесь: согласно "Вопросам и ответам", 50% участников этой группы в детстве подверглись сексуальным злоупотреблениям (в ответах, правда, акцент на том, что 50% участников этого не испытали). Ну а результативность просто-таки ошеломляет и даже озадачивает: в данный момент на сайте ликуют по поводу двухсотого (!!) осужденного по соответствующей статье в результате работы группы. Чтобы заработать первую сотню осужденных, понадобилось два года и пять месяцев, а вторую сотню сделали всего за семь месяцев. Эта динамика, этот азарт производят впечатление.

Ну, а второй пример бэкспейсом возвращает нас к первой статье темы, в которой упоминался сайт Аарона Вайсбурда Sofir (sofir.org) - Society for Internet Research (вот интервью с ним для Fox News: youtube.com/watch?v=HIQxCSzm-II). Руководящая техническая идея не нова - чтобы победить сеть, надо быть сетью. Собственно, на этом сайте реализованы и многие другие идеи, о которых говорит Яэль Шахар в "Инструктаже". Во всяком случае, там собрано много материала для их реализации - источников фактической, цифровой информации, аналитических статей, и к счастью, это не тот - самый распространенный, увы, особенно у нас, - вид анализа, который признает лишь один источник: заглядывание в бездны собственного интеллекта. Есть и специальный раздел OSINT, разведка по открытым источникам, о которой недавно писал Берд Киви ("КТ #690"). Основной проект sofir - сайт Internet Haganah (haganah.org.il).

Там - мониторинг новостей о терроризме по всему миру и много другой информации.

В целом задача формулируется так: выслеживать терроризм в Сети. Не только "джихадизм" - терроризм вообще. И это реализуется, хотя "джихадистский" терроризм полностью в центре внимания: в частности, здесь ведутся и обновляются списки сайтов и других ресурсов, работающих под лозунгами "джихада". Но кроме сбора информации - по крайней мере на поверхностный взгляд - никаких свидетельств кибербоевых операций не видно. Впрочем, сбор информации - уже серьезное оружие.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.