К вопросу добывания оперативно значимой информации в сети Интернет: проблемы и пути их решения

Timofeev S. V. To the question of gathering of operately significant information on the internet: problems and ways of their solution. Kriminalistika: vchera segodnya, zavtra = Forensics: yesterday, today, tomorrow. 2021, vol. 18. no, 2, pp. 111—117 (in Russ.).

Преступления, совершаемые с использованием информационно-телекоммуникационных технологий (далее — ИТТ) в настоящее время являются одними из самых распространённых в Российской Федерации и имеют динамику к ежегодному увеличению. Так, согласно статистическим данным Главного информационноаналитического центра МВД России, каждое четвертое преступление, выявленное сотрудниками органов внутренних дел (далее — ОВД) в 2020 г., совершено с использованием современных ИТТ. Только за 2020 г. зарегистрировано более 510 тыс. преступлений данной категории. Рост числа преступлений, совершённых данным способом, составил 73,4 %, при этом раскрыто лишь 14,3 %.1

Министр внутренних дел Российской Федерации В. А. Колокольцев в своем выступлении на расширенной коллегии МВД России 3 марта 2021 г. отметил: «В целом общий массив зарегистрированных в прошлом году преступлений практически не изменился. Рост тяжких составов произошел преимущественно за счет увеличения посягательств с использованием IT-технологий. По другим наиболее опасным видам криминальных деяний, в том числе против личных и имущественных прав граждан, наблюдается устойчивая динамика снижения. Такая тенденция сохраняется уже на протяжении ряда лет» [1].

Нам импонирует точка зрения Д. Н. Лузько о том, что «стремительное расширение информационного пространства, достижения науки и техники в значительной мере преобразовали современное общество, способствовали возникновению различных форматов обмена информацией между людьми посредством использования современных информационных технических средств [2, с. 63].

Анализ практики показал, что существует целый пласт проблем организационного, правового, тактического, материально-технического и кадрового характера. К одной из таких, можно отнести проблему деанонимизации личности пользователей ресурсов сети Интернет и ИТТ в целом. Особенно сложной представляется проблема установления личности преступника, совершающего преступления с использованием в теневого сегмента сети Интернет — сети DarkNet.

Цель настоящей статьи — проанализировать и охарактеризовать закрепленные оперативно-розыскным законодательством механизмы добывания оперативно значимой информации в сети Интернет в общем и в сети DarkNet в частности. Кроме того, стоит обратить внимание на проблемы законодательного регулирования, влияющие на оперативно-розыскную практику деятельности оперативных подразделений ОВД по раскрытию преступлений, совершаемых с использованием ИТТ, предложить новые механизмы эффективного решения одной из важных задач оперативно-розыскной деятельности (далее — ОРД).

Этому посвящено сравнительно мало работ, однако сказать, что данная тема нова, нельзя; в определенной мере она в юридической литературе исследовалась, хотя полного завершения не получила.

На наш взгляд наиболее обоснованно мнение И. Н. Железняка о том, что «оперативно-розыскная деятельность — одно из наиболее сложных направлений правоохранительной работы...» [3, с. 150].

Следует согласиться с мнением А. В. Варданяна и О. П. Грибунова, которые отметили, что «Раскрытие и расследование преступлений — это сложный процесс, осуществляемый на основе соответствующей уголовно-правовой, процессуальной, оперативно-розыскной и криминалистической информации и знаниях определенных частных закономерностей» [4, с. 27].

Указанные обстоятельства определяют актуальность и необходимость выработки научно-обоснованных практических рекомендаций, направленных не только на выявление признаков преступлений, совершаемых с использованием ИТТ, но и на установление (деанонимизацию) лиц, их совершающих.

Изучение следственно-судебной практики правоохранительных органов Российской Федерации показало, что основными факторами, негативно влияющими на достижение целей ОРД по защите граждан, общества и государства от преступных посягательств в виде преступлений, совершаемых с использованием ИТТ, являются:

• —    отсутствие нормативного закрепления в оперативно-розыскном законодательстве формальных оснований, предусмотренных п. 1 ч. 1 ст. 7 ст. 7 федераль-ныого законоа от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (далее — ФЗ «Об ОРД») норм, предусматривающих проведение оперативно-розыскных мероприятий (далее — ОРМ) поискового характера в сети Интер-нет¹;

• —    недостаточный уровень теоретической подготовки сотрудников ОВД в области принципов, механизмов функционирования и осуществления противоправной деятельности преступниками в теневом сегменте сети Интернет — DarkNet;

• —    недостаточная эффективность используемых подразделениями ОВД инструментов деанонимизации пользователя сети Интернет.

Приведенные цифры и сказанное показывают, что первая проблема по обеспечению защиты граждан, общества и государства от преступных посягательств в виде преступлений, совершаемых с использованием ИТТ, обусловлена тем, что осуществление ОРМ не всегда эффективно ввиду определенной специфики. Так, в условиях практически полной анонимности пользователя сети Интернет, а также реализуемых принципов функционирования сети DarkNet (отсутствие правового регулирования данного сегмента сети Интернет) эффективность оперативно-розыскного противодействия преступлениям данной категории находится на недостаточном уровне [5, с. 211]. Например, в соответствии с Модельным законом ОРМ «Наведение справок» — это получение информации, имеющей значение для реше- ния конкретных задач борьбы с преступностью путем направления запроса юридическому или физическому лицу, располагающему или могущему располагать таковой, а равно и её получение путем непосредственного ознакомления с соответствующими материальными носителями, в том числе оперативных, криминалистических и иных баз данных (учетов), информационных систем и других источников [6, с. 191].

Изложенное выше и практика деятельности оперативных подразделений ОВД позволяет констатировать, что проведение ОРМ «Наведение справок» путем направления запросов оператору связи1 в теневом сегменте сети Интернет невозможно, ввиду отсутствия сведений об абоненте сети (отсутствие индексации в сети Интернет).

Проведение оперативно-розыскных в целях деанонимизации пользователя в сети Интернет также не представляется возможным ввиду отсутствия сведений о реальном протоколе соединений TCP/IP2, установление которых не представляется возможным ввиду технологических особенностей индексации сети.

Другим аспектом данной проблемы являются особенности законодательного регулирования деятельности оперативных подразделений ОВД по основаниям для проведения ОРМ. Как показывает практика, ОРМ в сети Интернет осуществляются на стадии совершения преступления, а не на стадии его подготовки и вынашивания противоправных намерений, тем самым не реализуется функция предупреждения преступлений.

Нам представляется верной точка зрения Е. В. Кузнецова и А. Е. Ступни-цкого о том, что «контрразведывательные функции ОРД реализуется посредством проведения специальных мероприятий, основания для проведения которых закреплены в ст. 9 федерального закона от 03.03.1995 № 40-ФЗ «О федеральной службе безопасности» (далее — ФЗ «Об ФСБ»). Среди них обращает на себя внимание такое основание как необходимость получения сведений о событиях или действиях, создающих угрозу безопасности Российской Федерации (п. «б» ч. 2 ст. 9 «ФЗ об ФСБ»).

Представляется, что подобная юридическая конструкция законодателя создает правовою основу для осуществления инициативной поисковой работы сотрудниками специальных подразделений» [7, с. 13]. Решению данной проблемы может способствовать дальнейшее совершенствование правовых основ ОРД путём дополнения в п. 1 ч. 1 ст. 7 ФЗ «Об ОРД» подпунктом 5 в следующей редакции: «Необходимость получения сведений о событиях или действиях, создающих угрозу безопасности жизни и (или) здоровью граждан».

Второй проблемой добывания оперативно значимой информации в сети Интернет является недостаточный уровень теоретической осведомленности сотрудников ОВД в области принципов, механизмов функционирования и осуществления противоправной деятельности преступников в сети DarkNet. Логично пред- положить, что сложившаяся ситуация вызвана тем, что, сотрудники подразделений ОВД, как правило, имеют гуманитарное высшее образование. Тогда как для понимания механизмов функционирования сети Интернет им необходимы знания о технических процессах функционирования ИТТ, и, как следствие, эффективность противодействия данному виду преступности не имеет соответствующих знаний об алгоритмах организационных, технических и правовых инструментов.

Третья проблема оперативно-розыскного противодействия киберпреступности связана с неэффективностью используемых подразделениями ОВД методов деанонимизации пользователя в сети Интернет.

Изучение вопросов организации и технологических процессов функционирования сети Интернет показало, что существуют некоторые возможности деанонимизации пользователей теневого сегмента сети Интернет. Методы деанонимизации пользователя сети Интернет следует условно разделить на три группы:

• —    влияние на интернет-браузер пользователя сети;

• —    воздействие на соединение;

• —    комплексный анализ действий пользователя в сети Интернет.

Первая группа методов основывается на использовании средств эксплуатации уязвимостей к интернет-браузеру, с помощью которого осуществляется доступ к DarkNet. Например, использование сотрудниками оперативных подразделений ОВД библиотеки WebRTC1, предназначенной для обмена сетевыми данными в режиме реального времени между браузерами без промежуточных серверов, позволяет установить реальный IP-адрес пользователя сети (несмотря на использование им технологий VPN2 и Proxy3).

Вместе с тем подобный подход не всегда позволяет осуществлять эффективную поисковую работы в сети DarkNet. Это связано с тем, что жизненный цикл уязвимостей составляет всего от недели до нескольких месяцев, а существование версий Tor Browser, содержащих конкретную уязвимость, компрометирует весьма ограниченный круг пользователя в сети Интернет, использующих скрытый сегмент Интернета в противоправных целях.

Вторая группа методов основана на анализе записей в Netflow4 на маршрутизаторах, которые непосредственно являются узлами сети DarkNet или находятся недалеко от них. Netflow — проприетарный открытый протокол, предназначенный для мониторинга трафика сети. Он представляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP.

Несмотря на кажущуюся простоту и эффективность, указанный способ предполагает огромное количество точек присутствия внутри сети DarkNet, требуя наличия большего пула вычислительной ресурсов.

Третья группа методов представляет наибольший интерес. Они основаны на анализе сетевой активности пользователя сети Интернет. В их основе лежит интерес реализация тега canvas1, генерирующего растровые изображения2 при помощи JawaScript3 на платформе HTML54. Ключевая особенность подхода состоит в том, что ренденринг5 таких изображений каждый браузер осуществляет по-разному в зависимости от типа графического адаптера, аппаратно-программной составляющей компьютера, операционной системы и её конфигурации. Следовательно, параметры отрисованных изображений могут уникально идентифицировать браузер и его программно-аппаратное окружение.

Использование данного метода позволяет отслеживаться и другие параметры электронного вычислительного средства пользователя в сети Интернет. Так, например, — заголовки браузера и его настройки, программно-аппаратные характеристики экрана (разрешение, поддержка сенсорного ввода), часовой пояс, сведения об операционной системе и др.

Комплекс полученной цифровой информации позволяет сформировать так называемый цифровой отпечаток, имеющий вид 32-битного числа шестнадцатеричной системы, которое получается в результате обработки всех принятых интер-нет-браузером данных.

Использование сотрудниками оперативных подразделений ОВД предложенных нами методов позволят получить возможность зафиксировать необходимую оперативно значимую и аналитическую информацию о пользователях сети Интернет с определенным цифровым отпечатком. Например, путем изучения истории его серфинга и авторизаций на сайтах. В последующем данные сведения могут способствовать установлению круга его общения, их частоту, социальные связи, интересы, предпочтения и др.

Дальнейшее действия по деанонимизации лиц, совершающих преступления в сети Интернет, в том числе сети DarkNet, обусловлены с применением всего комплекса оперативно-поисковых средств и методов. Данный инструментарий позво- ляет идентифицировать личность конкретного лица, выяснить роль каждого из объектов оперативной заинтересованности, а также установить иные обстоятельства, относящиеся к эпизодам преступной деятельности.

Синтезируя изложенную нами информацию, полагаем, что предложенные меры по совершенствованию правовых основ оперативно-розыскного противодействия преступлениям, совершаемым с использованием ИТТ, и методы деанонимизации пользователя сети Интернет требуют дальнейшего научного осмысления. Однако, считаем, что даже их частичная реализация положительно отразится на эффективности деятельности правоохранительных органов в целом.