Игорь Бедеров: Как защититься от цифровых преступников
Игорь, как эксперт в области кибербезопасности и создатель аналитических продуктов, каким вы видите настоящее цифровой преступности и методов борьбы с ней?
Цифровая преступность, или киберпреступность, все еще находится в стадии становления и активного развития. Это видно даже по статистике МВД начиная с 2013 года. За это время число так называемых ИТТ выросло с 11 тыс. до 677 тыс. регистрируемых преступлений в год. В 60 раз! Однако это лишь видимая часть айсберга. Любой из топ-10 российских банков ежегодно фиксирует порядка миллиона незаконных списаний с карт клиентов, на сумму свыше 10 тыс. руб. Инциденты, ущерб по которым не превышал 5 тыс. руб., вовсе не попадают в публичное поле, поскольку относятся к числу административных правонарушений, а не преступлений.
Цифровизация все глубже входит в нашу жизнь, что открывает возможности не только для развития информационного общества и экономики данных, но и увеличивает риск технологической преступности. Сталкиваясь с проблемами в полиции и ее текущей неспособностью бороться с киберпреступностью, мы видим, как это стимулирует потенциальных преступников. Граждане начинают воспринимать преступления в Интернете как допустимое занятие с хорошими финансовыми перспективами и относительной безопасностью.
Что касается решений, они заключаются в постепенном устранении пробелов в деятельности субъектов оперативно-розыскной работы.
В числе таких пробелов стоит упомянуть недостаточное число квалифицированных кадров, административные и регуляторные барьеры для развития частно-государственного партнерства и внедрения инноваций, отсутствие должной автоматизации рутинных процедур — начиная от электронного документооборота и заканчивая роботизацией службы «02» при помощи нейросетевых технологий.
Желание менять положение вещей в сфере правоохранительной деятельности и решать ее хронические проблемы, безусловно, будет способствовать лучшей борьбе с киберпреступностью. В качестве удачного примера можно взять Казахстан, где внедрение электронного документооборота улучшило взаимодействие между правоохранительными органами, прокуратурой и судами. Оно позволило примерно в 4 раза ускорить работу над расследованием уголовных дел. Другой, достаточно старый пример — это внедрение в США системы учета и идентификации пользователей сети Интернет по их электронно-цифровому следу, которое произошло после терактов 11 сентября 2001 года. Если такую систему внедрить в России, это, очевидно, позволило бы вдвое улучшить раскрываемость технологических правонарушений.
Расскажите о самом необычном случае киберпреступления, с которым вам приходилось сталкиваться.
Первый случай скорее курьезный. Мы часто проводим исследования, направленные на установление лиц, причастных к администрированию различных Telegram-каналов. Однажды нам довелось устанавливать владельца такого канала, который выказывал явно оппозиционные, если не экстремистские мысли. Каково было наше удивление, когда его автором оказался один из действующих российских мэров. Разумеется, сейчас он уже отстранен от государственной службы.
Другой случай интересен тем, что в нем нам удалось доказать виновность иностранной спецслужбы в его совершении. Речь идет о массовых рассылках электронных писем, содержащих ложные сообщения об акте терроризма в 2019–2020 гг. Изучив транзакции криптовалюты, отправленной злоумышленнику, удалось выявить его связь с хакерской группой, подконтрольной спецслужбам одной из стран Восточной Европы. Особую пикантность данному расследованию придало то, что данная спецслужба, используя хакерскую группу, организовывала теракты и взломы не только в России. Они не гнушались работать по Китаю и даже странам Европейского союза.
Какие основные методы и технологии используются для идентификации администраторов телеграм-каналов, и насколько они эффективны?
У нас подобных методов и приемов более двух сотен. В конце концов именно наша практика легла в основу методологий проведения расследований в экосистеме Telegram, опубликованных обеими Академиями Следственного комитета и Академией Управления МВД России. Если коротко обобщить наши принципы работы, то стоит сказать о факторе времени. Любой канал может изменяться со временем. Возможно, что раньше он выглядел иначе, содержал указание на его администраторов или их контакты. Возможно, в нем находились личные сообщения администраторов, удаленные к настоящему моменту. Мы исследуем все содержимое канала, встроенные чаты, вложенные файлы, гиперссылки, UTM- метки, стикерпаки. Все это может привести нас к личности администратора или его профилю.
Нами разработана целая экосистема сервисов, предназначенных для проведения расследований в Telegram. В СМИ она известна под наименованием «Телеграм-Деанонимайзер». Она включает решения по сбору данных о каналах и чатах мессенджера, идентификации его пользователей и конструированию «ханиботов» — функциональных ботов-ловушек, позволяющих скрытно устанавливать пользователей Telegram. Все это, а также большая практика (нами было идентифицировано более 1000 различных сообществ), позволяют проводить эффективные расследования почти в 90% обращений.
Какие методы использует Пентагон для слежки за российскими чиновниками? И как защититься от подобного рода слежки?
Это очень интересно. В недавней публикации WIRED было рассказано о том, что американскими спецслужбами давно и успешно применяется система слежки за мобильными устройствами, основанная на сборе данных о рекламных идентификаторах. Методология такой слежки была разработана Полом Вайнсом в конце 2017 года в Вашингтонском университете. Она получила название ADINT (разведка по рекламным модулям). Позднее в США и Израиле был создан ряд программных продуктов, которые использовали ADINT и предоставляли своим клиентам возможность следить практически за любым смартфоном на планете, подключенным к Интернету. В отличие от классической методологии Вайнса, коммерсанты попросту покупали пользовательские идентификаторы у таких компаний, как Facebook* и Google, включая сведения о геолокации пользователей и их социальной активности. В России ADINT начал развиваться в 2019 году, на основе моей научной работы, в которой я показал возможность использования больших данных, собираемых ИТ-корпорациями, для организации пассивной слежки за пользователями посредством геотаргетированной рекламы.
Суть ADINT достаточно проста. ИТ-компании постоянно и бесконтрольно собирают наши пользовательские данные. Они это делают для того, чтобы зарабатывать за счет продажи таргетированной рекламы. Чем больше данных о нас они соберут и интерпретируют, тем точнее будет их реклама и тем дороже будут стоить их услуги для рекламодателей. ADINT оперирует публичными параметрами пользователя (номером телефона, почтой, MAC-адресом, идентификаторами операционной системы) для того, чтобы получить доступ к тем данным, которые собирает ИТ-компания. Это позволяет нам узнавать показатели пользователя, его пол и возраст, город проживания, поисковые интересы и, главное, контролировать его перемещения. Не спешите выбрасывать свой смартфон — любая ИТ-корпорация «склеивает» ваш портрет многие десятилетия, добавляя к нему все новые устройства, сервисы, соединений и весь контент. Защититься можно только путем отказа от современных гаджетов или их кардинальной «зачистки» от следящих модулей. Для большинства граждан это попросту покажется неудобным.
С учетом вашего опыта, какие самые эффективные методы распознавания и противодействия использованию дипфейков в телефонном мошенничестве сегодня?
На данный момент, учитывая отсутствие технических средств для выявления подмены голоса у операторов связи, гражданам стоит перезванивать на телефон того, кто якобы звонит им как родственник или начальник, или договориться о кодовом слове для общения. Оба способа довольно эффективны, главное — сделать их привычным правилом.
А вот российским законодателям я бы предложил «попотеть» над ужесточением мер регулирования генерации персонифицированного контента, вместо того чтобы пытаться промаркировать отдельные ИИ-модели. Дело в том, что речь и лицо живого человека могут пониматься как биометрические персональные данные. Соответственно, их использование или синтез может осуществляться им самим либо на основании его письменного согласия.
Учитывая участившиеся случаи подмены электронной почты и использования технологии подмены голоса, какие существуют методы обнаружения и предотвращения подобных атак?
Термин «подмена» электронной почты не полностью корректен. Фактически адрес электронной почты отправителя лишь маскируется под другой. Примерно так же, как это происходит в случае телефонного мошенничества. Если сильно упростить, то представим себе вашу книжку с контактами, в которой один адрес электронной почты подписан как другой адрес электронной почты. Когда вам напишут, вы увидите имя из контактов, которое лишь выглядит как адрес email.
Тем не менее для работы электронной почты нужен почтовый сервер. Если мы откроем служебные (технические) заголовки любого электронного письма, нам станет доступна информация о прохождении этим письмом цепочки серверов, начиная от почтового сервера отправителя и заканчивая сервером получателя. Если сервер отправителя не совпадает с электронным адресом — нужно бить тревогу. Кстати, большинство почтовых серверов уведомляют своих пользователей о несовпадении сервера отправки с адресом. Нужно лишь быть более внимательным по жизни.
Какие тенденции вы наблюдаете в развитии технологий искусственного интеллекта, связанных с созданием цифровых двойников, и какие риски они несут?
Разработка цифровых двойников явно набирает обороты, причем значительную роль в этом играют нейросети, которые делают процесс моделирования гораздо дешевле. Риски же цифровых двойников напрямую проистекают из их назначения. Напомню, что технология предполагает создание электронных копий людей, объектов, процессов или систем на основе получения данных от их физических прототипов, в целях удаленного управления или предиктивной аналитики. В том случае, если поступающие данные будут некорректными или неполными, цифровой двойник даст на выходе неверную информацию. В отдельных случаях, например в процессе лечения, это может привести к гибели пациентов.
Расскажите подробнее о функционале инструмента Unamer для работы с Telegram-аккаунтами. Какие его возможности оказались наиболее полезными в вашей работе?
Простая, но полезная поделка. Инструмент позволяет находить идентификационный номер пользователя Telegram по его имени или никнейму, включая и те имена, что уже были изменены. Это особенно ценно, учитывая, что имя и никнейм могут со временем меняться. Такой сервис становится ключевым, когда нужно найти информацию, ранее опубликованную пользователем, который позже скрыл свои данные. Я сделал решение даже поинтереснее этого бота — программный комплекс LeakAn, способный искать не только по массивам данных Telegram, но и вообще во всех возможных утечках. Комплекс может осуществлять поиск сразу по группе идентификаторов и имеет очень гибкие поисковые настройки, что позволяет использовать его в различных расследованиях ИТТ.
Какие методы и подходы считаете наиболее эффективными в борьбе с распространением фейков в социальных сетях?
Борьбу с фейками можно разделить на целый ряд направлений. Первым и самым очевидным является выявление подобных материалов в СМИ и социальных медиа (блогах, соцсетях, мессенджерах). При этом выявление недостоверного контента должно осуществляться в том числе в сети мессенджера Telegram, а также в сетях ограниченного доступа (Даркнет). Следует четко сформулировать критерии для отнесения информации к недостоверной (фейковой). В противном случае правообладатели СМИ и соцмедиа будут отказывать в удалении информации, каждый раз требуя судебного решения о признании ее недостоверной.
Еще одно важное направление работы — удаление фейков. В этом контексте стоит обратить внимание на международный опыт вовлечения в модерацию подозрительного контента представителей различных гражданских институтов, имеющих соответствующие полномочия. Примером такого подхода может служить работа ОНК, общественных наблюдательных комиссий, контролирующих соблюдение прав граждан в местах содержания под стражей. Людям с полномочиями можно предоставить специальные аккаунты на платформах социальных сетей с функциями приостановки публикации определенного контента и его обязательной проверки.
Наконец, к распространению любых недостоверных данных следует относиться серьезно, проводя их расследование. Это предполагает значительные изменения как в работе правоохранительных органов, так и в деятельности общественных институтов. Одним из таких изменений может стать создание системы криминалистического учета и идентификации пользователей Интернета, что позволит связывать публикацию фейков с конкретным человеком, даже если тот использует анонимные средства для связи в сети.
Могли бы вы объяснить важность OSINT (Open Source Intelligence) и цифровой форензики в современных условиях кибербезопасности? Какие навыки и знания наиболее актуальны для специалистов в области OSINT и цифровой форензики?
Сегодня мы находимся в реалиях не становления, а уже активного развития информационного общества. Эта общественно-политическая формация характеризуется переосмыслением ценностей. На смену средствам производства основной ценностью становится информация и доступ к ней. Те, кто владеет информацией, рано или поздно приобретут возможность заменить устаревшие иерархические политические модели на сетевые. В этих реалиях наиболее востребованными специалистами на рынке становятся те, кто может предложить новые способы сбора или анализа информации. OSINT — именно про это, вне зависимости от того, в какой именно сфере деятельности он применяется. Цифровая криминалистика, или форензика, представляет собой формализованный сбор доказательной информации с электронных устройств в процессе расследования преступлений. Естественно, по мере цифровизации граждан и общественных институтов потребность в такой деятельности тоже должна расти.
Что касается навыков, современный мир диктует нам потребность постоянно учиться и повышать свою квалификацию. Мир слишком быстро меняется, чтобы можно было говорить о неизменности профессионального опыта. Особенно в сферах, связанных с информационными технологиями. Также мы должны обладать способностями нелинейно и нестандартно мыслить. Именно это позволяет нам придумывать новые методы и приемы работы, создавать инновационные решения. Наконец, высокие ментальные способности, то есть адаптивная психика и память, способность обучаться на основе опыта, понимания и абстрактных концепций и управлять окружающей действительностью.
В контексте противодействия социальной инженерии какие технологии и методы вы считаете наиболее обещающими? Каковы основные вызовы при их внедрении?
В первую очередь это повышение осведомленности граждан о методах и приемах работы социальных инженеров, а также разработка и внедрение строгих политик безопасности. Это создание общепринятой культуры безопасности в самом широком смысле.
Затем нужно сказать о необходимости тщательной верификации собеседников, в число которых могут попасть и социальные инженеры. Это предполагает проверку их контактных данных, аккаунтов, документов со стороны граждан. А со стороны онлайн-сервисов — ужесточение процедуры KYC (знай своего клиента). Это позволит минимизировать регистрацию в различных системах пользователей с поддельными данными, следовательно, сократит число кибермошенничеств. Естественно, гражданам будет лень проводить проверку каждого нового контакта, а онлайн-сервисы потеряют в количестве пользователей. И тех и других на начальном этапе это заставит критиковать данные меры. Чтобы этого избежать, и нужно сформировать культуру безопасности в самом начале.
Как, по вашему мнению, изменения в Уголовном кодексе РФ, предусматривающие ужесточение наказаний за киберпреступления, повлияют на общую картину кибербезопасности в стране?
Боюсь, они не окажут значимого эффекта. За исключением, пожалуй, дисциплинирующего. Да и то, в отношении отдельной категории граждан, которые сомневались в том, стоит ли им вступать на кривую дорожку сайберкрайма. Как метко отметил один из хакеров, «хомячков это напугает». Большего эффекта ожидать не стоит. Дело в том, что любое ужесточение законодательства эффективно только тогда, когда неотвратимо его применение. Это один из основных принципов правосудия. Если же государство или его правоохранительные органы не в состоянии обеспечить фактическую выполняемость закона, то это приводит к разрастанию так называемой серой зоны. То есть той среды, которая формально регулируется правом, но не исполняется ввиду отсутствия возможности обеспечения контроля за соблюдением норм права. Тот случай, когда аппарат принуждения государства дает явный сбой. Так что без изменений в системе, прежде всего, МВД дело дальше не двинется.
Какие инновации в противостоянии киберпреступности, на ваш взгляд, будут наиболее востребованы в ближайшие годы?
Тут все достаточно просто. Во-первых, это внедрение новых систем криминалистического учета и идентификации пользователей сети. Без нее мы не двинемся дальше, поскольку все дальнейшие шаги кричат о необходимости централизации информации и обеспечения ее сквозной аналитики. Правоохранительные органы скоро не смогут уже работать привычным путем запросов и ответов. Хотя бы даже из-за колоссально возросших объемов информации. Во-вторых, это автоматизация. Внедрение различных автоматизированных рабочих мест по профилям работы (ГИБДД, следствие, криминалистика), электронный документооборот, внедрение ИИ-технологий во взаимодействие с заявителями, а также допросы, опросы, оцифровку места преступления. Борцы с киберпреступлениями, да и преступлениями вообще, должны больше внимания уделять проработке новых методов и приемов работы преступников, предупреждать их, а не затрачивать свои силы на чрезмерное бумагомарание, телефонные звонки и беготню с бумажками.
*Facebook запрещена в РФ, принадлежит корпорации Meta, которая признана в РФ экстремистской.
Опубликовано 01.04.2024