УДК 343.982
Павлюков Виталий Владимирович Pavlyukov Vitaliy V.
старший инспектор учебно-методического отдела
Луганская академия внутренних дел имени Э.А. Дидоренко (91000, Луганск, ул. Карла Либкнех-та, 71)
chief inspector of educational-methodical department
Lugansk academy of internal affairs named after E.A. Didorenko (71 Karl Liebknechtstr, Lugansk, 91000)
E-mail: ykc@mail.ru
Компьютерная разведка как оперативно-разыскное мероприятие Computer intelligence as the operational-search activity
В статье рассмотрены теоретические аспекты ис- The article deals with the theoretical aspects of new
пользования нового оперативно-разыскного меропри- operational-search activities in establishing data kiber-
ятия при установлении данных о киберпреступнике. pre-criminal. Considered legally established ways of
Рассмотрены законодательно закрепленные пути obtaining and using the data from the providers of the
получения и использования данных у провайдеров и Ministry of Home Affairs of Russian Federation and the
информации, которая находится в сети «Интернет». information that is on the Internet. Here were identified
Выявлен законодательно обоснованный механизм legally substantiated mechanism of creating the site for
создания сайта для использования его в процессе using in the implementation of operational and investiga-
осуществления оперативно-разыскной деятельности. tive activities.
Ключевые слова: киберпреступность, оператив- Keywords: cybercrime, operational-search activity, но-разыскные мероприятия, Интернет, фишинг, сайт, the Internet, fishing, website, AWstats. AWstats.
В реализации основных задач оперативно-разыскной деятельности неизменными остаются способы оперативного получения информации и своевременное ее использование при раскрытии и расследовании преступлений. Безграничный доступ к информации стал во многом возможен благодаря применению компьютерных технологий. С их помощью обмен информацией происходит за считанные секунды, вне зависимости от месторасположения передающего и получающего пользователей сети.
Поскольку Интернет является общедоступной системой, практически каждый может получить доступ к глобальной сети, используя различные технические средства связи, будь то персональный стационарный компьютер или мобильный телефон. Не стоит упускать из виду и то, что доступ к сети предоставляется путем идентификации компьютера, а не пользователя. Отсутствие надлежащего контроля привлекает внимание злоумышленников, или, как их
еще принято называть в литературных источниках, киберпреступников.
Киберпреступностью именуют совокупность преступлений, совершаемых в киберпростран-стве с помощью, посредством или против компьютерных систем или компьютерных сетей, а также иных средств доступа к киберпростран-ству [1, с. 48].
Киберпреступником (хотя мы и отдаем себе отчет в уязвимости этого термина) принято именовать лицо, которое совершает противозаконные действия с использованием сети «Интернет». Зачастую, чтобы безнаказанно осуществлять подобную деятельность, лицо дезинформирует других пользователей, используя вымышленные анкетные данные и адреса. При этом оно способно получать, использовать и даже рассекречивать не только конфиденциальную информацию, но и информацию, представляющую государственную тайну, что может создавать угрозу не только конкретному человеку, но и государству и обществу в целом.
В качестве примера можно привести деятельность сайта «WikiLeaks» — международной некоммерческой организации, которая публикует секретную информацию, взятую из анонимных источников или полученную при ее утечке [2]. Так, в ноябре 2009 года на сайте опубликовали 570 тысяч перехваченных сообщений, посланных на пейджеры 11 сентября 2001 года. В 2010 году Администрация США заявляла, что «безответственная» утечка в СМИ тысяч файлов с секретной военной информацией может представлять угрозу для безопасности страны. Речь идет о документах, опубликованных на сайте «WikiLeaks» и перепечатанных ведущими мировыми изданиями — британской «The Guardian», американской «The New York Times» и немецким журналом «Der Spiegel» [3].
Согласно статистике в 2014 году в МВД России было зарегистрировано более 11 тысяч компьютерных преступлений. Об этом со ссылкой на заявление начальника Бюро специальных технических мероприятий МВД России А. Мош-кова сообщает ТАСС. Из них на долю краж и мошенничеств пришелся 41% киберпреступлений (в 2013 году этот показатель составлял 30%) [4].
Для получения оперативно значимой информации по выявлению преступления и лица, его совершившего, необходимы навыки и умения в области программирования и компьютерных технологий. А.А. Алябьев и А.В. Лагуточкин справедливо отмечают, что современный криминальный мир уже не мыслит своего преступного функционирования без Интернета и указывают на то, что проведение оперативно-разыскных мероприятий в сети «Интернет» должно стать главенствующим в борьбе с новейшими угрозами в условиях функционирования государства [5, с. 67].
А.Л. Осипенко указывает на проблему выявления стабильных каналов получения оперативно-разыскной информации непосредственно в сетевом пространстве и считает, что упорядочивание этих каналов и оптимизация поступающих из них информационных потоков сохраняет особую актуальность. Для принятия решений в этом направлении ученый предлагает с позиции оперативно-разыскной науки системно изучать закономерности отражения оперативно-разыскной информации в сетевых ресурсах и особенности применения разведывательно-поисковых методов для ее обнаружения, получения, проверки и фиксации [6, с. 14]. Предлагается внести ряд изменений и дополнений в законодательство и акцентировать внимание на проблемах, связанных с отсутствием дорогостоящего оборудования, высокоскоростных каналов
связи, а также специальных знаний в области использования компьютерных технологий.
В поисках решения указанных проблем целесообразно рассмотреть конкретные правовые способы и средства поиска и выявления правонарушителей, использующих в преступных целях сеть «Интернет». Анализируя Федеральный закон «Об оперативно-розыскной деятельности» как основное «плечо», на которое необходимо опираться в борьбе с киберпре-ступлениями, следует указать на новые шаги, предпринятые законодателем в этом направлении, а именно принятие Госдумой РФ «антитеррористического пакета Ирины Яровой» [7]. Так, Федеральным законом от 6 июля 2016 года № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» [8] были внесены изменения в статью 6 Федерального закона «Об оперативно-розыскной деятельности». Он был дополнен новым оперативно-разыскным мероприятием — «получение компьютерной информации». Из мероприятий, обозначенных в данной статье ранее, можно выделить еще два, которые оперативный сотрудник прямо либо косвенно может использовать для получения оперативно значимой информации из интернет-источников, — контроль почтовых отправлений, телеграфных и иных сообщений и снятие информации с технических каналов связи. Однако данные мероприятия не в полной мере адаптированы к рассматриваемым нами ситуациям, поскольку предусмотренные ими действия зачастую осуществляются при обстоятельствах, когда факт совершения противоправного деяния уже наличествует и установлена личность киберпреступника.
В свою очередь, добавление нового пункта — «получение компьютерной информации» — уже вызвало неоднозначную реакцию, в первую очередь на полицейских форумах сети «Интернет». Участники обсуждения считают, что получение компьютерной информации не что иное, как составная часть оперативно-разыскного мероприятия «снятие информации с технических каналов связи». Нам же больше импонирует мнение администратора форума «БкутепЬ, который верно подметил: «Простой запрос в "поисковик" подпадет под ОРМ...» [9]. Осмелимся предположить, что под мероприятием, именуемым «получение компьютерной информации», можно подразумевать любое гласное действие,
совершаемое в сети «Интернет», что возможно и без совершенно излишнего отнесения его к разряду оперативно-разыскного мероприятия.
На наш взгляд, для решения проблем, связанных с установлением личности злоумышленника и фиксации его преступной деятельности в сети «Интернет», необходимо не только получать компьютерную информацию, но и использовать те данные, доступ к которым возможен, хотя и ограничен.
А.В. Мовчан предлагает использовать метод компьютерной разведки, выделяя его как необходимое оперативно-поисковое мероприятие, заключающееся в целенаправленном поиске и получении информации из компьютерных систем и сетей, доступ к которым не ограничивается их собственником, владельцем или держателем или не связан с преодолением системы логической защиты, осуществляемым работниками оперативных или оперативно-технических подразделений с целью выявления сведений криминогенного и криминального характера [10, с. 110]. Мы солидарны с мнением автора и считаем, что в данной ситуации целесообразно указать не только на проводимые мероприятия, но также обозначить возможные правовые пути решения, при помощи которых будет осуществляться компьютерная разведка. Рассматривая понятия компьютерной разведки, было бы не лишне обозначить возможности компьютерных технологий, а именно их внедрение на этапе проведения ОРМ с целью получения оперативно значимой информации.
Рассмотрим стандартную ситуацию. Чтобы оставить информацию в сети «Интернет», нужно пройти регистрацию. При этом необходимо заполнить регистрационную форму, состоящую из полей, в которых пользователь указывает свои анкетные данные, такие как ФИО, страна и город проживания, контактный телефон, электронный почтовый адрес. Далее пользователь знакомится с пользовательским соглашением и заканчивает регистрацию. После этого все сведения, которые внесены в регистрационную форму, записываются и хранятся в базе данных сайта для последующей авторизации пользователя. С вышеуказанной информацией в базе данных сервера, где размещен сайт, записываются и хранятся:
— дата регистрации пользователя на сайте;
— Р-адрес компьютера, с которого производилась регистрация;
— данные о версии браузера и операционной системе, при помощи которой осуществлялась регистрация.
Полученную информацию владелец сайта использует, например, как статистические данные. Эти данные фиксируются и далее могут визуально отображаться специальным программным обеспечением. Процесс фиксации статистических данных происходит скрытно и зачастую без ведома пользователя. Владелец сайта может использовать статистические данные, чтобы запретить его повторную регистрацию с ^-адреса, с которого ранее происходила регистрация, заблокировать пользователя, определить его местонахождение, предложить информацию, соответствующую его фактическим географическим данным и т. д.
Полученная информация может выступать не только как статистическая , но также иметь решающее значение при поиске и фиксации лиц, осуществляющих противоправные действия в сети «Интернет». Как правило, при регистрации на сайтах киберпреступник указывает ложные данные о себе и вводит в заблуждение пользователя. Из-за этого становится практически невозможным установить реальную информацию о нем и выявить его местонахождение без доступа к статистическим данным. Не принимая во внимание то обстоятельство, что компьютер также оставляет данные о себе при посещении сайта, зачастую киберпреступник считает, что его противоправные действия останутся безнаказанными и уверен, что отследить его местонахождение практически невозможно из-за того, что он внес вымышленные данные в форму регистрации. В связи с этим можно предположить, что для того, чтобы выявить ки-берпреступника, нам необходимо получить статистические данные, оставленные им при посещении сайта.
Законодательное получение таких данных относится к такому оперативно-разыскному мероприятию, как снятие информации с каналов связи. Согласно статье 8 Федерального закона «Об оперативно-розыскной деятельности» снятие информации с технических каналов связи допускается на основании судебного решения и при наличии ограниченного перечня оснований, указанных в этой статье. Необходимо заметить, что подобное мероприятие является длительным по времени реализации и не всегда дает положительный результат.
В борьбе с киберпреступностью уместно сослаться на мнение ранее упомянутых ученых, которые убеждены, что в процессе оперативной работы очень важно применять такие оперативно-разыскные мероприятия, которые в случае их осуществления не требуют санкционирования со
стороны руководителя оперативно-разыскного органа или суда. Все это значительно упростит работу в информационном пространстве Интернет, сэкономит время и ресурсы, позволит действовать избирательно и эффективно [5, с. 68].
Учитывая сказанное, целесообразно рассмотреть методы, которые используют в своей деятельности сами правонарушители для получения интересующих их данных о пользователях сети. Для получения логинов и паролей на сайтах они чаще всего прибегают к созданию и использованию фишинговых сайтов (сайтов-ловушек). Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям [11].
Ю.В. Гольчевский и А.Н. Некрасов выделяют самые распространенные фишинговые сайты — поддельные или несуществующие интернет-магазины, а также сайты, которые полностью копируют официальные сайты банков или финансовых организаций, известных социальных сетей и т. д. [12, с. 254]. Для начала работы на таких сайтах требуется ввод логинов, паролей, номеров пластиковых карт и других данных, которые киберпреступник может использовать в противоправных целях.
Например, настоящий адрес популярнейшей социальной сети «Одноклассники» выглядит так: www.odnoklassniki.ru. Киберпреступники с целью обмана пользователя регистрируют доменные имена, максимально похожие на оригинал, при этом доменное имя поддельного сайта отличается лишь одной-двумя буквами (www. оdnoklasniki.ru, www.оdnokassniki.ru и т. п.). На беглый взгляд для пользователя такой адрес покажется подлинным. Далее на эти адреса мошенники загружают полные визуальные копии настоящего сайта «Одноклассники» и заманивают пользователя на свой сайт для получения логина, пароля и т. п. [13].
Взяв на вооружение такой способ «компьютерной разведки», оперативный сотрудник также может создать и использовать свой сайт для установления данных о киберпреступнике. Законодатель не запрещает создавать сайты сотрудникам ОВД. Более того, в части 1 статьи 11 Федерального закона «О полиции» указывается на то, что полиция в своей деятельности обязана использовать достижения науки и техники, информационные системы , сети связи , а также современную информационно-телекоммуникационную инфраструктуру.
Процесс создания сайта не является дорогостоящим и не требует санкционированного
разрешения. Для создания сайта необходимо приобрести домен (.ru, .сом, .net), создать сайт при помощи специальных сервисов или программ (AdobeDreamweaver, WordPress, Joomla) и разместить его на хостинге. Уже сейчас все это обойдется в считанные копейки: по состоянию на 22 июля 2016 года покупка домена в зоне «.ru» на официальном регистраторе доменных имен REG.RU составляет 199 рублей, а месячная стоимость услуг хостинга на этом сайте составляет 99 рублей [14]. После создания сайта и размещения его на хостинге оперативному сотруднику необходимо включить инструмент AWstats. Он служит инструментом веб-аналитики, который будет собирать статистику о трафике на сайте и о посетивших сайт пользователях [15]. На данный момент не только REG.RU, но и большинство хостинг-провайдеров предоставляют такой инструмент веб-аналитики, как AWstats.
Возможность программного обеспечения AWstats предоставляет получение данных, способствующих фактическому установлению компьютера, при помощи которого киберпреступник совершает противоправные действия. При помощи возможностей AWstats мы можем получить такие данные:
— IP-адрес компьютера, с которого осуществлялся переход на наш сайт;
— время перехода на сайт;
— активность на сайте;
— посещаемые страницы сайта.
Эти данные могут храниться и обрабатываться в режиме реального времени. При этом оперативному сотруднику не обязательно постоянно наблюдать за конкретным пользователем. Нужно создать такие условия, чтобы киберпреступник перешел на созданный им сайт. Зайдя в интерфейс программы AWstats, программа покажет, когда и с какого IP-адреса заходил пользователь на сайт. Это даст возможность, не имея полного доступа к сайту, при помощи которого мошенник совершает противоправные действия, оперативно устанавливать статистические данные, а именно время перехода и IP-адрес компьютера, с которого осуществлялся переход киберпреступником по ссылке. Полученные данные позволят значительно сузить круг подозреваемых.
После того как сотруднику станет известен IP-адрес компьютера, он может установить принадлежность данного IP-адреса к провайдеру. Для этого лучше всего подходит бесплатный сайт http://2whois.ru/, который покажет, какому провайдеру принадлежит запрашиваемый
IP-адрес, физический адрес провайдера и его владельца с контактным телефоном. Оперативному сотруднику останется установить связь с провайдером для предоставления анкетных данных владельца IP-адреса.
Стоит также отметить, что умение проводить разведку с использованием современных компьютерных технологий имеет большое значение в поиске правонарушителей и выявлении их противоправных действий не только в виртуальном, но и в реальном пространстве.
В поисках путей внедрения компьютерной разведки как необходимого современного мероприятия в оперативно-разыскной работе нами был рассмотрен и предложен вариант создания и настройки личного сайта оперативного сотрудника ОВД, после перехода на который киберпреступник оставит информацию о себе. Это поможет не только установить местонахождение лица, совершавшего противозаконные действия, но также узнать логин, пароль, электронную почту, IP-адрес киберпреступника, что даст возможность получать доступ к аккаунту последнего.
И в заключение. Дополнение перечня оперативно-разыскных мероприятий, указанных в статье 6 Федерального закона «Об оперативно-розыскной деятельности», не изменило наше мнение о целесообразности дополнения его таким мероприятием, как «компьютерная разведка». Подобный шаг повысит эффективность оперативно-разыскной работы в сети «Интернет».
Примечания
1. Номоконов В.А., Тропина Т.Л. Киберпреступ-ность как новая криминальная угроза // Криминология: вчера, сегодня, завтра. 2012. № 24.
2. About What is Wikileaks? URL: https://www. wikileaks.org/About.html (дата обращения: 28.06.2016).
3. WikiLeaks. URL: https://ru.wikipedia.org/wiki/ WikiLeaks#cite_note-hrono1600-3 (дата обращения: 28.06.2016).
4. МВД зарегистрировало около 11 000 кибер-преступлений в 2014 г URL: http://www.vedomosti. ru/technology/articles/2015/02/06/kiberprestupniki-v-spiskah-ne-znachatsya (дата обращения: 11.07.2016).
5. Алябьев А. А., Лагуточкин А. В. Проблемы осуществления оперативно-розыскных мероприятий в информационном пространстве сети Интернет // Проблемы правоохранительной деятельности. 2013. № 1.
6. Осипенко А.Л. Новые технологии получения и анализа оперативно-разыскной информации: правовые проблемы и перспективы внедрения // Вестник Воронежского института МВД России. 2015. № 2.
7. Госдума приняла антитеррористический пакет Ирины Яровой. URL: http://pravo.ru/news/view/130575 (дата обращения: 26.07.2016).
8. СПС «КонсультантПлюс» (дата обращения: 27.07.2016).
9. Форум сотрудников ОВД. URL: https://www. police-russia.ru/showthread.php?p=3553535 (дата обращения: 26.07.2016).
10. Мовчан А.В. Отдельные аспекты применения компьютерной разведки в оперативно-розыскной деятельности // Проблемы правоохранительной деятельности. 2014. № 2.
11. Фишинг URL: https://ru.wikipedia.org/wiki^^ шинг (дата обращения: 20.07.2016).
12. Гольчевский Ю.В., Некрасов А.Н. К вопросу о кибербезопасности Интернет-пользователей // Известия Тульского государственного университета. Технические науки. 2013. № 3.
13. Как отличить сайт-оригинал от сайта-подделки и мошеннического сайта? URL: http://www.vseafery. ru/afery-v-internete/kak-otlichit-sait-original-ot-saita-poddelki-i-moshennicheskogo-saita (дата обращения: 27.07.2016).
14. Зарегистрировать домен. URL: https://www. reg.ru/domain/new (дата обращения: 27.07.2016).
15. What is AWStats. URL: http://www.awstats.org (дата обращения: 23.07.2016).
Notes
1. Nomokonov V.A., Tropina T.L. Cybercrime as a new criminal threat // Criminology: yesterday, today and tomorrow. 2012. № 24.
2. About What is Wikileaks? URL: https://www. wikileaks.org/About.html (date of access: 28.06.2016).
3. WikiLeaks. URL: https://ru.wikipedia.org/wiki/ WikiLeaks#cite_note-hrono1600-3 (date of access: 28.06.2016).
4. MVD has registered some 11 000 cybercrime in 2014. URL: http://www.vedomosti.ru/technology/arti-cles/2015/02/06/kiberprestupniki-v-spiskah-ne-znachat-sya (date of access: 11.07.2016).
5. Alyabyev A.A., Lagutochkin A. V. Problems of the search operations in the information space of the Internet // Problems of law enforcement. 2013. № 1.
6. Osipenko A.L. New technologies of obtaining and analyzing operational and investigative information: Legal Problems and prospects of implementation // Bulletin VI Ministry of Internal Affairs of Russia. 2015. № 2.
7. The State Duma adopted an anti-terrorism package Irina Yarovaya. URL: http://pravo.ru/news/view/130575 (date of access: 26.07.2016).
8. ATP «ConsultantPlus» (date of access: 27.07.2016).
9. Forum police officers. URL: https://www.police-russia.ru/showthread.php?p=3553535 (date of access: 26.07.2016).
ТРИВУНЯ МОЛОДОГО УЧЕНОГО
10. Movchan A.V. Some aspects of the use of computer intelligence to the operational-search activity // Problems of law enforcement. 2014. № 2.
11. Fishing. URL: https://ru.wikipedia.org/wiki/ Omuimht (date of access: 20.07.2016).
12. Golchevsky U.V., NekrasovA.N. On the issue of cyber security of Internet users // News of the Tula state university. Technical science. 2013. № 3.
13. How to distinguish the site — from the original site — forgery and fraudulent web site? URL: http://www.vseafery. ru/afery-v-internete/kak-otlichit-sait-original-ot-saita-poddel-ki-i-moshennicheskogo-saita (date of access: 27.07.2016).
14. Register domain. URL: https://www.reg.ru/do-main/new (date of access: 27.07.2016).
15. What is AWStats. URL: http://www.awstats.org (date of access: 23.07.2016).