Виртуальная милиция «пасет» «Вконтакте.Ру» и «Одноклассники»
«…Мы заранее смотрим и проверяем, что это за человек, наводим о нем справки. Навести все необходимые справки можно быстро и легко, в течение буквально одного дня. Часто полезную информацию можно получить из социальных сетей – «Одноклассники.ру», «Вконтакте» и.т.д., с администрацией которых у нас налажено прочное сотрудничество».
«Наша служба и опасна и трудна, и на первый взгляд как будто не видна», – вторую часть этой строфы как нельзя лучше можно отнести к деятельности «Управления К», специального подразделения ГУВД г. Москвы, занимающегося расследованием преступлений в сфере информационных технологий. Сотрудники этого подразделения, как правило, не участвуют в погонях и перестрелках, а вся их деятельность по расследованию уголовных дел происходит за компьютером. Тем не менее, представителям «компьютерной милиции» есть что рассказать, а работа у них по-своему интересна и увлекательна.
Один из сотрудников «Управления К» согласился ответить на наши вопросы. Разговор носил неофициальный характер, поэтому об имени и должности нашего собеседника мы умолчим. Достаточно того, что он отлично знает, о чем говорит.
– Чем занимается «Управление К»? В чем состоит специфика его работы?
– «Управление К» ГУВД г. Москвы занимается расследованием преступлений в сфере высоких технологий. Кроме того, в нашей работе присутствует и экономическая направленность, в рамках которой мы тесно взаимодействуем с УБЭП. Фактически, в эту категорию попадают все преступления, связанные с мошенничеством, которые при этом осуществлялись с помощью Интернета. Чаще всего речь идет о преступлениях, связанных с электронными платежами. По закону все подобные преступления должны проходить через наше Управление, но часто они напрямую попадают в УБЭП. И хотя у сотрудников УБЭП зачастую нет соответствующих знаний и квалификации, они также охотно берутся за расследование дел такого рода.
В основном, конечно, мы занимаемся расследованием взломов – электронной почты, сайтов, социальных сетей. Еще одно направление – расследование мошенничеств, связанных с мобильными телефонами.
– Каких дел приходится больше расследовать – мошенничеств или взломов?
– Трудно сказать, так как у каждого своя направленность, своя специализация. Как-то получилось, что минувшей осенью мошенничеств было особенно много, какая-то волна просто пошла. Чаще всего мошенники представлялись сотрудниками «Русского радио», сообщали, что человек выиграл в лотерею, а для получения выигрыша они просили перечислить ту или иную сумму на тот или иной номер или мобильный кошелек. Конечно, никакой лотереи «Русское радио» не проводило, а все телефоны, с которых мошенники обращались к своим жертвам, были зарегистрированы в республике Коми и городе Сыктывкаре. Но чаще всего люди не обращали на это никакого внимания, попадались на удочку злоумышленников и отсылали им деньги. Причем, деньги были не такие уж и маленькие. Преступники требовали от 1000 до 2500 рублей. Как это происходило на практике? Мошенники связывались с человеком и сообщали, что он выиграл ноутбук стоимостью 40 тысяч рублей. Чтобы узнать, как его получить, требуется позвонить по определенному номеру. Сразу было видно, что номер это не московский. Эту информацию легко проверить в Интернете. Но это мало кого останавливало. Человек звонит, а ему говорят, что для получения выигрыша он должен заплатить госпошлину – перечислить деньги на кошелек в системе «Яндекс-Деньги» или QIWI. От человека злоумышленники требовали быстро подойти к терминалу, а сами тем временем быстро через Интернет создавали аккаунт с его номером, а тому человеку, то есть потерпевшему, приходило SMS-сообщение с пин-кодом, который он должен был ввести, положить деньги, а затем сообщить пин-код преступникам. Далее они спрашивали его, куда доставить приз, но, разумеется, никакого приза никто не получал. Осенью была большая волна подобного рода преступлений, но сейчас она уже практически сошла.
– Кто занимается такими мошенничествами – группировки или отдельные личности?
– Насколько мне известно, этими преступлениями занималась группировка, базировавшаяся в одном из крупных российских городов. В свое время в республике Коми произошел сбой у сотовых операторов. Кто-то, скорее всего, какой-либо из сотрудников сотовых компаний, скопировал номера сим-карт, которые были ранее зарегистрированы, проще говоря – сделал дубли сим-карт. Но все эти мошеннические схемы рождены не у нас, а взяты с Запада. Все это уже было в Европе, в США. Люди или прочитали про эти схемы или услышали от кого-то, вот и решили повторить их в России. Российские мошенники ничего нового не придумали. По крайней мере, пока.
– Каким образом вычисляются мошенники?
– Это делается очень легко. Каждый номер мобильного телефона привязан не только к конкретному человеку, но и к территории. При необходимости можно сделать детализацию звонков и SMS-сообщений. Даже если человек украл SIM-карту, его вычислят по территориальному местоположению. Не менее важна и оперативная информация. У нас есть свои люди, которые периодически сообщают нам различные сведения. Да и вообще, почти у любого преступления есть свидетели. Даже если человек не желает выступить свидетелем на суде, мы все равно работаем с ним и принимаем от него информацию. С сотовыми операторами мы работаем напрямую, не только с московскими, но и с питерскими.
– Интересно узнать и том, как ваше Управление борется с пиратством в Интернете. Ведь пиратов с лотков постепенно выжимают в Сеть, а здесь уже ваша «епархия».
– Действительно, таких дел очень много. Таких людей очень легко выслеживать. В основном, все они нам известны. Известно, где эти диски выпускаются, где они складируются, где находятся точки оптовых продаж. По сути, «фирм», которые этим занимаются, очень немного, все их пути нам известны, и мы с ними уже давно работаем.
– Есть и другой вид интернет-пиратства. Существует множество сайтов, на которых публикуются ссылки на контрафактное ПО, причем сами программы или игры размещены на файлообменных серверах, чаще всего зарубежных. Как вы поступаете в этом случае?
– Администрация файлообменных серверов предоставляет нам IP-адреса, с которых был загружен файл. Через прокси-сервер залить что-то большое нереально. Даже если образ диска «весит» 700 мегабайт, через прокси-сервер он будет загружаться три-четыре дня. Кроме того, нам необходимо заявление от правообладателя. Нам нужно, чтобы правообладатель официально к нам пришел, предоставил все необходимые данные. Для составления данных о материальном ущербе нам требуется знать, сколько стоит один диск. Но правообладатели редко приходят к нам с заявлениями. Приходится самим к ним ездить и просить написать заявление. Далеко не все правообладатели по своей инициативе их пишут! Чаще всего, это компании отечественные, наиболее активна в этом направлении фирма «1С».
– Насколько я понимаю, вы взаимодействуете с администрацией тех файлообменных сервисов, представительства которых есть в России. А если его нет?
– Если его нет, то мы запрашиваем информацию через международный департамент Министерства Внутренних Дел. К примеру, с серверами Rapidshare.com, Letitbit.net и Depositfiles.com у нас уже давно налажено сотрудничество, у меня есть все необходимые контакты.
– Часто говорят и о такой стороне вашей деятельности, как выявление экстремистских сайтов и записей в блогах, которые противоречат российскому законодательству. Вспомним хотя бы нашумевшее дело сыктывкарского блоггера Саввы Терентьева, которого вычислили именно сотрудники «Управления К».
– Конечно, мы фиксируем различные экстремистские записи в Интернете, протоколируем их с участием понятых. Даже если человек что-то удалил и все отрицает, мы можем легко все это восстановить. Администрация LiveJournal, LiveInternet и других подобных сервисов сама по нашей просьбе восстанавливает удаленные записи и сообщает нам с указанием IP-адресов, разумеется. Хотя экстремизм – это, все-таки, скорее, к ФСБ. В принципе, мы не обязаны передавать им дела подобного рода, но они могут сами к нам обратиться.
– Допустим, вы обнаружили в Интернете экстремиста. Сразу же возбуждается дело, оформляется запрос к хостеру о закрытии сайта?
– Совсем нет. Мы можем сначала пригласить человека, просто побеседовать с ним по душам. В результате этой беседы сразу же становится видно, сам он это писал или нет, знает он что-то об этом или не знает. В конце концов, мы можем по IP или MAC-адресу вычислить, с какого компьютера все это было написано. Даже если запись была сделана с телефона или КПК, все равно служебная информация сохраняется, и ее можно посмотреть.
– Занимается ли «Управление К» мониторингом торрент-сетей?
– В основном сейчас правообладатели самостоятельно обращаются к администрации торрент-сетей, если обнаруживают незаконное распространение какого-либо из своих продуктов. Администрация закрывает раздачи буквально по одному звонку или письму правообладателя. Раньше этого не было, но с 2007 года такая практика уже началась. Иногда даже правообладатель заранее просит администрацию не распространять свой фильм, программу или игру. А дальше модераторы сами отыскивают эти продукты и закрывают их раздачи.
– А как быть с зарубежными торрент-сетями?
– Здесь уже все намного сложнее. Поскольку они иностранные, то у них свое законодательство. По сути, к России и к нашим законам они никакого отношения не имеют. Интернет – это глобальная сеть, но если, к примеру, сайт расположен у российского хостинг-провайдера, то и преступление совершено в России. С торрентами совершенно другая ситуация. Но если мы увидим, что пираты массово перебазировались с torrents.ru на какой-нибудь torrents.net, то, конечно, будем принимать меры и привлекать специализированный отдел МВД.
– Хотелось бы вспомнить и такой вид преступлений, как DDoS-атаки. Как вам удается находить их инициаторов? Ведь они осуществляются со множества компьютеров одновременно.
– Атакуют довольно часто, чаще всего по заказам конкурентов, но наше законодательство в этой области очень несовершенно. Чисто профильных статей по ИТ-преступлениям у нас в Уголовном кодексе всего три – 272, 273 и 274. Ни одна из них не классифицирует DDoS-атаку. Единственное, за что можно в этом случае привлечь человека – это за неправильное использование компьютерных сетей. К примеру, один компьютер заходил на сайт десять тысяч раз в секунду. Это означает, что человек неправильно его использовал, и за это его можно привлечь. Кроме того, DDoS-атаку можно классифицировать по статье 274 УК РФ ( «Нарушение правил эксплуатации ЭВМ и их сетей»). Правда, многое еще зависит от суда и, особенно, от следователя, который за это дело возьмется, и будет собирать доказательную базу. Да и не каждому судье можно объяснить, что такое ЭВМ. Судьи – это люди, как правило, немолодые, старой закваски.
Хотелось бы, чтобы в нашем Уголовном Кодексе появилось больше статей, касающихся компьютерных преступлений. Хорошо бы наказывать не только за раздачу с торрентов, но и за скачивание с них. С одной стороны, сложно будет доказать вину человека, если он скачал с торрента программу или игру, ведь он может заявить, что не знал о том, что загруженный им софт является нелицензионным. С другой стороны, сами разработчики могли бы нам в этом помочь. Когда они внесут в лицензионное соглашение пункт о том, что если пользователь приобрел игру не на заводском диске с голограммой, то он нарушает российское законодательство, у нас появится доказательная база. При этом лицензионное соглашение обязательно должно быть русифицировано, ведь английский язык никто знать не обязан.
Пользователей торрентов сложно привлекать к ответственности, но все же можно. Есть ряд тонких вопросов, отвечая на которые, человек скомпрометирует себя. Например, фильм выходит на экраны 22 января, а в торрентах он появляется 20 января. Понятно, что это заведомо нелицензионная копия. Да и по качеству это будет заметно.
– Легко ли находить следователей, которые потом будут работать с такими сложными техническими преступлениями?
– Конечно, таких людей находить сложно. Каждый следователь хочет получить легкое и быстрое дело, которое можно очень быстро закончить и направить в суд. Мало кому хочется вести дело, к примеру, по статье 274 УК РФ ( «Нарушение правил эксплуатации ЭВМ и их сетей»). Ведь такое преступление можно расследовать чуть ли не год, при этом раскрываемость у него будет практически нулевая. Если, конечно, начальство кому-то конкретному поручит, то он уже будет работать, а энтузиастов очень немного.
– Наверняка бывают случаи, когда вам не удается вычислить злоумышленника. Ведь вы в основном ориентируетесь на IP-адрес, а как быть, если человек воспользовался анонимайзером, скрывающим реальный адрес?
– На самом деле, это не очень хороший способ сокрытия. Некоторые из этих серверов, когда проводят транзакцию, все равно отображают и реальный IP-адрес. Возможно, там будет приписка via proxy, однако он все равно будет виден. Анонимные прокси-серверы никогда не дадут стопроцентную гарантию анонимности. Это очень большое заблуждение, что в Интернете никто никого не найдет.
Есть и другая проблема. Некоторые крупные провайдеры, предоставляющие доступ в Интернет по беспроводным сетям, не требуют от пользователя никаких документов. Достаточно просто купить карточку в подземном переходе, ввести при регистрации абсолютно любые данные и получить доступ в Сеть. Это нарушение федерального Закона о связи.
– Откуда вы привлекаете новых сотрудников?
– Почти все к нам приходят после окончания факультета «Информационная безопасность» Университета МВД. Ребята молодые и очень квалифицированные. Все они прекрасно разбираются в специфике нашей работы, отлично знают, что такое компьютер, IP и MAC-адрес, файлообменные сети. Все пиратские сайты им известны, они и сами с них скачивают.
– Какого масштаба злоумышленники вас чаще всего интересуют? Наверняка вы не стремитесь поймать человека, который периодически скачивает что-либо «для себя», а охотитесь за более крупной рыбой?
– Конечно, нас интересуют «серьезные» люди, а не те, кто один раз раздал через торрент какой-нибудь фильм. Начальство нам попросту не разрешает заниматься простенькими делами, когда человек случайно или нет расшарил на своем компьютере папку с программами или с фильмами, а у него их скачало человек пять. Мы заранее смотрим и проверяем, что это за человек, наводим о нем справки. Навести все необходимые справки можно быстро и легко, в течение буквально одного дня. Часто полезную информацию можно получить из социальных сетей – «Одноклассники.ру», «Вконтакте» и.т.д., с администрацией которых у нас налажено прочное сотрудничество.
– Много ли у вас дел, возбужденных по заявлениям коммерческих структур? Допустим, им нужно доказать, что тот или иной сотрудник ворует деньги или ценную корпоративную информацию?
– Да, конечно, таких дел много. Чаще всего заявители, коммерческие структуры и их службы безопасности сами готовят доказательную базу, а затем уже обращаются к нам. Мы все это анализируем и оперативно возбуждаем уголовное дело. После этого подозреваемого можно брать. Но все это происходит гладко лишь в тех случаях, когда коммерческая структура охотно сотрудничает с нами. Некоторые же заявители боятся, что если они заранее сообщат нам о том, что они подозревают сотрудника, то мы ему это сообщим. В этом случае они сами полностью все подготовят, попросят человека задержаться на работе, а дальше уже подключаемся мы.
– Можно ли рассказать о каком-нибудь интересном деле из недавних расследований?
– У нас было заявление, связанное с деятельностью одного из сайтов так называемых пранков. Пранки – это люди которые звонят и разыгрывают своих жертв по телефону. Часто они пользуются IP-телефонией , Skype, Google Talk, но и в этих случаях обнаружить их не составляет никакого труда. Пранки звонят какой-нибудь знаменитости, записывают ее голос во время телефонного разговора, затем звонят другой знаменитости, якобы от имени первой, и включают эту запись во время разговора. Но, конечно, жертва шутки быстро догадывается, что с ней «говорит» не живой человек, а запись. Таких шутников мы очень легко и быстро находим. Повторяю, найти человека в Интернете в большинстве случаев довольно легко, и наше Управление с этим справляется.
От редакции: Не скроем, некоторые моменты в этом интервью вызвали у нас неоднозначную реакцию. Иногда было страшно (ужас, они повсюду!), иногда казалось, что собеседник перегибает палку (это про диски с голограммой – а что, если я оплачиваю игру электронными деньгами и скачиваю образ диска из торрентов? Не запускать ее, пока по почте не пришлют голограммку?). И все же общее впечатление от беседы очень хорошее – на том конце провода обнаружился живой думающий человек, а не дуболом с клавиатурой вместо дубинки. Или это просто Рудницкому повезло? Что думаете о виртуальных милиционерах вы?
Григорий Рудницкий, Компьютерра
Tweet