Бойцы
невидимого фронта
Автор:
Григорий Рудницкий
Опубликовано 19 января 2009 года
"Наша
служба и опасна и трудна, и на первый взгляд как будто не видна", - вторую
часть этой строфы как нельзя лучше можно отнести к деятельности
"Управления К", специального подразделения
ГУВД г. Москвы, занимающегося расследованием преступлений в сфере
информационных технологий. Сотрудники этого подразделения, как правило, не
участвуют в погонях и перестрелках, а вся их деятельность по расследованию
уголовных дел происходит за компьютером. Тем не менее, представителям
"компьютерной милиции" есть что рассказать, а работа у них по-своему
интересна и увлекательна.
Один из
сотрудников "Управления К" согласился
ответить на наши вопросы. Разговор носил неофициальный характер, поэтому об имени
и должности нашего собеседника мы умолчим. Достаточно того, что он отлично
знает, о чем говорит.
- Чем занимается "Управление К"?
В чем состоит специфика его работы?
-
"Управление К" ГУВД г. Москвы занимается
расследованием преступлений в сфере высоких технологий. Кроме того, в нашей
работе присутствует и экономическая направленность, в рамках которой мы тесно
взаимодействуем с УБЭП. Фактически, в эту категорию попадают все преступления,
связанные с мошенничеством, которые при этом осуществлялись с помощью
Интернета. Чаще всего речь идет о преступлениях, связанных с электронными
платежами. По закону все подобные преступления должны проходить через наше
Управление, но часто они напрямую попадают в УБЭП. И хотя у сотрудников УБЭП
зачастую нет соответствующих знаний и квалификации, они также охотно берутся за
расследование дел такого рода.
В основном,
конечно, мы занимаемся расследованием взломов - электронной почты, сайтов,
социальных сетей. Еще одно направление - расследование мошенничеств, связанных
с мобильными телефонами.
- Каких дел приходится больше расследовать -
мошенничеств или взломов?
- Трудно
сказать, так как у каждого своя направленность, своя специализация. Как-то
получилось, что минувшей осенью мошенничеств было особенно много, какая-то
волна просто пошла. Чаще всего мошенники представлялись сотрудниками
"Русского радио", сообщали, что человек выиграл в лотерею, а для
получения выигрыша они просили перечислить ту или иную сумму на тот или иной
номер или мобильный кошелек. Конечно, никакой лотереи "Русское радио"
не проводило, а все телефоны, с которых мошенники обращались к своим жертвам,
были зарегистрированы в республике Коми и городе Сыктывкаре. Но чаще всего
люди не обращали на это никакого внимания, попадались на удочку злоумышленников
и отсылали им деньги. Причем, деньги были не такие уж и маленькие. Преступники
требовали от 1000 до 2500 рублей. Как это происходило на практике? Мошенники
связывались с человеком и сообщали, что он выиграл ноутбук стоимостью 40 тысяч
рублей. Чтобы узнать, как его получить, требуется позвонить по определенному
номеру. Сразу было видно, что номер это не московский. Эту информацию легко
проверить в Интернете. Но это мало кого останавливало. Человек звонит, а ему
говорят, что для получения выигрыша он должен заплатить госпошлину -
перечислить деньги на кошелек в системе "Яндекс-Деньги"
или QIWI. От человека злоумышленники требовали быстро подойти к
терминалу, а сами тем временем быстро через Интернет создавали аккаунт с его номером, а тому человеку, то есть
потерпевшему, приходило SMS-сообщение с пин-кодом,
который он должен был ввести, положить деньги, а затем сообщить пин-код преступникам. Далее они спрашивали его, куда
доставить приз, но, разумеется, никакого приза никто не получал. Осенью была
большая волна подобного рода преступлений, но сейчас она уже практически сошла.
- Кто занимается такими мошенничествами - группировки
или отдельные личности?
- Насколько
мне известно, этими преступлениями занималась группировка, базировавшаяся в
одном из крупных российских городов. В свое время в республике Коми произошел
сбой у сотовых операторов. Кто-то, скорее всего, какой-либо из сотрудников
сотовых компаний, скопировал номера сим-карт,
которые были ранее зарегистрированы, проще говоря - сделал дубли сим-карт. Но все эти мошеннические схемы рождены не у нас,
а взяты с Запада. Все это уже было в Европе, в США. Люди или прочитали
про эти схемы или услышали от кого-то, вот и решили повторить их в
России. Российские мошенники ничего нового не придумали. По крайней мере, пока.
- Каким образом вычисляются мошенники?
- Это делается
очень легко. Каждый номер мобильного телефона привязан не только к конкретному
человеку, но и к территории. При необходимости можно сделать детализацию
звонков и SMS-сообщений. Даже если человек украл SIM-карту, его вычислят по
территориальному местоположению. Не менее важна и оперативная информация. У нас
есть свои люди, которые периодически сообщают нам различные сведения. Да и
вообще, почти у любого преступления есть свидетели. Даже если человек не желает
выступить свидетелем на суде, мы все равно работаем с ним и принимаем от него
информацию. С сотовыми операторами мы работаем напрямую, не
только с московскими, но и с питерскими.
- Интересно узнать и том, как ваше Управление борется
с пиратством в Интернете. Ведь пиратов с лотков постепенно выжимают в Сеть, а
здесь уже ваша "епархия".
-
Действительно, таких дел очень много. Таких людей очень легко выслеживать. В
основном, все они нам известны. Известно, где эти диски выпускаются, где они
складируются, где находятся точки оптовых продаж. По сути, "фирм",
которые этим занимаются, очень немного, все их пути нам известны, и мы с ними
уже давно работаем.
- Есть и другой вид интернет-пиратства.
Существует множество сайтов, на которых публикуются ссылки на
контрафактное ПО, причем сами программы или игры размещены на файлообменных серверах, чаще всего зарубежных. Как
вы поступаете в этом случае?
-
Администрация файлообменных серверов предоставляет
нам IP-адреса, с которых был загружен файл. Через прокси-сервер
залить что-то большое нереально. Даже если образ диска "весит" 700
мегабайт, через прокси-сервер он будет загружаться
три-четыре дня. Кроме того, нам необходимо заявление от правообладателя. Нам
нужно, чтобы правообладатель официально к нам пришел, предоставил все
необходимые данные. Для составления данных о материальном ущербе нам требуется
знать, сколько стоит один диск. Но правообладатели редко приходят к нам с
заявлениями. Приходится самим к ним ездить и просить написать заявление. Далеко
не все правообладатели по своей инициативе их пишут! Чаще всего, это компании
отечественные, наиболее активна в этом направлении фирма "1С".
- Насколько я понимаю, вы взаимодействуете с
администрацией тех файлообменных сервисов,
представительства которых есть в России. А если его нет?
- Если его
нет, то мы запрашиваем информацию через международный департамент Министерства
Внутренних Дел. К примеру, с серверами Rapidshare.com, Letitbit.net и
Depositfiles.com у нас уже давно налажено сотрудничество, у меня есть все
необходимые контакты.
- Часто говорят и о такой стороне вашей деятельности,
как выявление экстремистских сайтов и записей в блогах,
которые противоречат российскому законодательству. Вспомним хотя бы нашумевшее
дело сыктывкарского блоггера Саввы Терентьева,
которого вычислили именно сотрудники "Управления К".
- Конечно, мы
фиксируем различные экстремистские записи в Интернете, протоколируем их с
участием понятых. Даже если человек что-то удалил и все отрицает, мы можем
легко все это восстановить. Администрация LiveJournal,
LiveInternet и других подобных сервисов сама по нашей
просьбе восстанавливает удаленные записи и сообщает нам с указанием IP-адресов,
разумеется. Хотя экстремизм - это, все-таки, скорее, к ФСБ. В принципе, мы не
обязаны передавать им дела подобного рода, но они могут сами к нам обратиться.
- Допустим, вы обнаружили в Интернете экстремиста.
Сразу же возбуждается дело, оформляется запрос к хостеру
о закрытии сайта?
- Совсем нет.
Мы можем сначала пригласить человека, просто побеседовать с ним по душам. В
результате этой беседы сразу же становится видно, сам он это писал или нет,
знает он что-то об этом или не знает. В конце концов, мы можем по IP или
MAC-адресу вычислить, с какого компьютера все это было написано. Даже если
запись была сделана с телефона или КПК, все равно служебная информация
сохраняется, и ее можно посмотреть.
- Занимается ли "Управление К"
мониторингом торрент-сетей?
- В
основном сейчас правообладатели самостоятельно обращаются к администрации торрент-сетей, если обнаруживают незаконное распространение
какого-либо из своих продуктов. Администрация закрывает раздачи буквально по
одному звонку или письму правообладателя. Раньше этого не было, но с 2007 года
такая практика уже началась. Иногда даже правообладатель заранее просит
администрацию не распространять свой фильм, программу или игру. А дальше
модераторы сами отыскивают эти продукты и закрывают их раздачи.
- А как быть с зарубежными торрент-сетями?
- Здесь уже
все намного сложнее. Поскольку они иностранные, то у них свое законодательство.
По сути, к России и к нашим законам они никакого отношения не имеют. Интернет -
это глобальная сеть, но если, к примеру, сайт расположен у российского
хостинг-провайдера, то и преступление совершено в
России. С торрентами совершенно другая ситуация. Но
если мы увидим, что пираты массово перебазировались с torrents.ru
на какой-нибудь torrents.net, то, конечно, будем принимать меры и привлекать
специализированный отдел МВД.
- Хотелось бы вспомнить и такой вид преступлений, как
DDoS-атаки. Как вам удается находить их инициаторов? Ведь они осуществляются со множества компьютеров одновременно.
- Атакуют
довольно часто, чаще всего по заказам конкурентов, но наше законодательство в
этой области очень несовершенно. Чисто профильных статей по ИТ-преступлениям
у нас в Уголовном кодексе всего три - 272, 273 и 274. Ни одна из них не
классифицирует DDoS-атаку. Единственное, за что можно в этом случае привлечь
человека - это за неправильное использование компьютерных сетей. К примеру,
один компьютер заходил на сайт десять тысяч раз в секунду. Это означает, что
человек неправильно его использовал, и за это его можно привлечь. Кроме того,
DDoS-атаку можно классифицировать по статье 274 УК РФ ("Нарушение правил
эксплуатации ЭВМ и их сетей"). Правда, многое еще зависит от суда и,
особенно, от следователя, который за это дело возьмется, и будет собирать
доказательную базу. Да и не каждому судье можно объяснить, что такое ЭВМ.
Судьи - это люди, как правило, немолодые, старой закваски.
Хотелось бы,
чтобы в нашем Уголовном Кодексе появилось больше статей, касающихся
компьютерных преступлений. Хорошо бы наказывать не только за раздачу с торрентов, но и за скачивание с них. С одной стороны, сложно
будет доказать вину человека, если он скачал с торрента
программу или игру, ведь он может заявить, что не знал о том, что загруженный
им софт является нелицензионным. С другой стороны, сами разработчики могли бы
нам в этом помочь. Когда они внесут в лицензионное соглашение пункт о том,
что если пользователь приобрел игру не на заводском диске с голограммой, то он
нарушает российское законодательство, у нас появится доказательная база. При
этом лицензионное соглашение обязательно должно быть русифицировано, ведь
английский язык никто знать не обязан.
Пользователей торрентов сложно привлекать к ответственности, но все же
можно. Есть ряд тонких вопросов, отвечая на которые, человек скомпрометирует
себя. Например, фильм выходит на экраны 22 января, а в торрентах
он появляется 20 января. Понятно, что это заведомо нелицензионная копия. Да и
по качеству это будет заметно.
- Легко ли находить следователей, которые потом будут
работать с такими сложными техническими преступлениями?
- Конечно,
таких людей находить сложно. Каждый следователь хочет получить легкое и быстрое
дело, которое можно очень быстро закончить и направить в суд. Мало кому хочется
вести дело, к примеру, по статье 274 УК РФ ("Нарушение правил эксплуатации
ЭВМ и их сетей"). Ведь такое преступление можно расследовать чуть ли не
год, при этом раскрываемость у него будет практически нулевая. Если, конечно,
начальство кому-то конкретному поручит, то он уже будет работать, а энтузиастов
очень немного.
- Наверняка бывают случаи, когда вам не удается вычислить
злоумышленника. Ведь вы в основном ориентируетесь на IP-адрес, а как быть, если
человек воспользовался анонимайзером, скрывающим
реальный адрес?
- На самом
деле, это не очень хороший способ сокрытия. Некоторые из этих серверов, когда
проводят транзакцию, все равно отображают и реальный
IP-адрес. Возможно, там будет приписка via proxy, однако он все равно будет виден. Анонимные прокси-серверы никогда не дадут стопроцентную гарантию
анонимности. Это очень большое заблуждение, что в Интернете никто никого не
найдет.
Есть и другая
проблема. Некоторые крупные провайдеры, предоставляющие доступ в Интернет
по беспроводным сетям, не требуют от пользователя никаких документов.
Достаточно просто купить карточку в подземном переходе, ввести при регистрации
абсолютно любые данные и получить доступ в Сеть. Это нарушение федерального
Закона о связи.
- Откуда вы привлекаете новых сотрудников?
- Почти все к
нам приходят после окончания факультета "Информационная безопасность"
Университета МВД. Ребята молодые и очень квалифицированные. Все они прекрасно
разбираются в специфике нашей работы, отлично знают, что такое компьютер, IP и
MAC-адрес, файлообменные сети. Все пиратские сайты им
известны, они и сами с них скачивают.
- Какого масштаба злоумышленники вас чаще всего
интересуют? Наверняка вы не стремитесь поймать
человека, который периодически скачивает что-либо "для себя", а
охотитесь за более крупной рыбой?
- Конечно, нас
интересуют "серьезные" люди, а не те, кто один раз раздал через торрент какой-нибудь фильм. Начальство нам попросту не
разрешает заниматься простенькими делами, когда
человек случайно или нет расшарил на своем компьютере
папку с программами или с фильмами, а у него их скачало человек пять. Мы
заранее смотрим и проверяем, что это за человек, наводим о нем справки. Навести
все необходимые справки можно быстро и легко, в течение буквально одного дня.
Часто полезную информацию можно получить из социальных сетей - "Одноклассники.ру", "Вконтакте" и.т.д., с администрацией которых у нас
налажено прочное сотрудничество.
- Много ли у вас дел, возбужденных по заявлениям
коммерческих структур? Допустим, им нужно доказать, что тот или иной сотрудник
ворует деньги или ценную корпоративную информацию?
- Да, конечно,
таких дел много. Чаще всего заявители, коммерческие структуры и их службы
безопасности сами готовят доказательную базу, а затем уже обращаются к нам. Мы
все это анализируем и оперативно возбуждаем уголовное дело. После этого
подозреваемого можно брать. Но все это происходит гладко лишь в тех случаях,
когда коммерческая структура охотно сотрудничает с нами. Некоторые же заявители
боятся, что если они заранее сообщат нам о том, что они подозревают сотрудника,
то мы ему это сообщим. В этом случае они сами полностью все подготовят,
попросят человека задержаться на работе, а дальше уже подключаемся мы.
- Можно ли рассказать о каком-нибудь интересном деле
из недавних расследований?
- У нас было
заявление, связанное с деятельностью одного из сайтов так называемых пранков. Пранки - это люди которые звонят и разыгрывают своих жертв по телефону.
Часто они пользуются IP-телефонией , Skype, Google Talk, но и в этих случаях
обнаружить их не составляет никакого труда. Пранки
звонят какой-нибудь знаменитости, записывают ее голос во время телефонного
разговора, затем звонят другой знаменитости, якобы от имени первой, и включают
эту запись во время разговора. Но, конечно, жертва шутки быстро догадывается,
что с ней "говорит" не живой человек, а запись. Таких шутников мы
очень легко и быстро находим. Повторяю, найти человека в Интернете в
большинстве случаев довольно легко, и наше Управление с этим справляется.
От
редакции: Не скроем, некоторые моменты в этом интервью вызвали у нас
неоднозначную реакцию. Иногда было страшно (ужас, они
повсюду!), иногда казалось, что собеседник перегибает палку (это про диски с
голограммой - а что, если я оплачиваю игру электронными деньгами и скачиваю
образ диска из торрентов? Не
запускать ее, пока по почте не пришлют голограммку?).
И все же общее впечатление от беседы очень хорошее - на том конце провода
обнаружился живой думающий человек, а не дуболом с
клавиатурой вместо дубинки. Или это просто Рудницкому
повезло? Что думаете о виртуальных милиционерах вы?
Источник - http://www.computerra.ru/interactive/395567/