Современные подходы и возможности для получения и анализа цифровых данных при противодействии киберпреступности

Сегодня сеть Интернет стала неотъемлемой частью повседневной жизни, предоставляя огромное количество информации и возможностей. Социальные сети, онлайн-ресурсы, интернет-магазины и информационные сайты создают огромное пространство, которое предоставляет широкие возможности, в том числе для преступников. Преступность в онлайн-пространстве возникла с самого начала существования Интернета и продолжает совершенствоваться.

Ежегодно появляются новые методы и формы совершения преступлений. Причины распространения IT-преступности довольно просты: в сети гораздо сложнее выявить факт совершения преступления, практически нет возможности его предотвратить, а расследование таких деяний осложняется анонимностью преступников, отсутствием свидетелей и улик. «При этом приходится констатировать, что тенденция повышения уровня сетевой преступности среди населения, особенно молодежного возраста, имеет тенденцию к росту, что требует от оперативных подразделений ОВД внедрения и использования эффективных методов и средств борьбы с киберпреступностью» [1, с. 109].

Эффективность борьбы оперативных подразделений органов внутренних дел (далее – ОВД) с IT-преступностью во многом зависит от организационно-тактической готовности. К ней относятся вопросы планирования, координации и контроля действий оперативных служб, а также выбора наиболее эффективных методов и приемов работы. Технические аспекты включают в себя использование специальных программ и инструментов для поиска, анализа и обработки информации, а также обеспечение безопасности и конфиденциальности данных.

Мы согласны с С. В. Тимофеевым, что «современные технологии позволяют преступникам, находясь в одном месте, совершать противоправные действия в отношении лиц, проживающих в другом регионе или даже в другой стране. Поэтому, желая сохранить в государстве правопорядок и обезопасить граждан от преступных посягательств, сотрудники правоохранительных органов, различных силовых ведомств и специальных служб мира постоянно совершенствуют средства противодействия киберпреступности путем разработки, внедрения и использования в ОРД специальных программ слежения за действиями в сети Интернет лиц, представляющих оперативный интерес» [2, с. 133].

О. П. Грибунов, П. B. Никонов и C. B. Пархоменко указывали, что «активное внедрение цифровых технологий в различные сферы жизни общества требует в том числе разработки адекватного нормативного правового регулирования новых общественных отношений и создания правовых гарантий цифровой безопасности» [3, с. 6].

В научной литературе сравнительно мало работ по проблемам добывания оперативно-значимой информации с использованием ресурсов сети Интернет. Поэтому цель данной статьи состоит в исследовании теоретических и практических аспектов получения оперативно-значимой информации с использованием ресурсов сети Интернет.

Основная часть

При раскрытии преступлений, совершенных в сети Интернет, основной проблемой как в организационном, тактическом, техническом, так и правовом аспектах является проблема деанонимизации личности пользователя ресурсов сети Интернет, определения местоположения абонентского устройства или средства обеспечения связи [4, с. 171]. В данном случае особое значение приобретает знание технических особенностей электронных устройств, к числу которых следует отнести следующие идентификаторы:

• –    IMSI – международный идентификатор абонента сети подвижной связи;

• –    IMEI – международный идентификатор мобильного оборудования;

• –    MAC-адрес – уникальный идентификатор оборудования сетей передачи данных;

• –    ICQ – идентификатор служб обмена сообщениями;

• –    MIN – мобильный идентификационный номер мобильной абонентской радиостанции;

  – IP-адрес – уникальный сетевой адрес компьютера в сети, построенный по протоколу IP, где под уникальностью IP-адреса понимается использование конкретного IP-адреса в сети в определенное время одним устройством.

В соответствии с предметом нашего исследования особое внима- ние обратим на особенности IP-адреса, который имеет следующие виды:

• –    приватные «серые» IP-адреса;

• –    коллективные IP-адреса;

• – сетевые IP-адреса;

  – не выделенные или не присвоенные регистратором IP-адреса.

При этом в практике деятельности оперативных подразделений выделяются два вида IP-адресов: статический и динамический.

Статическим, постоянным и неизменяемым, IP-адресом называют адрес, назначенный пользователем в настройках устройства либо автоматически при подключении устройства к сети, который, соответственно, не может быть присвоен другому техническому устройству.

Динамическим, непостоянным и изменяемым, IP-адресом называют адрес, назначенный автоматически при подключении устройства к сети на определенный промежуток времени.

С учетом особенностей построения сети Интернет рассмотрим организационно-тактические аспекты подготовки и проведения оперативно-розыскных мероприятий (далее – ОРМ).

Регистрацией IP-адресов в сети Интернет занимаются регистраторы – «IP-registry». Данная система имеет трехуровневую иерархию, где «IANA» является основным регистратором, регистрирующим крупные блоки IP-адресов. «IANA» в свою очередь делится на так называемые регистраторы RIR, которых в настоящее время пять. RIR делятся на LIR – так называемые местные регистраторы, которые выделяют более мелкие диапазоны IP-адресов.

В настоящее время используются две формы записи IP-адреса: IPv4 и IPv6. IPv4 представляет собой запись четырех десятичных чисел значением от 0 до 255, разделенных точками. Например, размер адреса 192.168.0.1. составляет 32 бита. IPv6 является более современной версией протокола IP, где длина адреса составляет 128 бит.

На наш взгляд, при решении задач ОРД важно использовать регистрационные данные, полученные в том числе из общедоступных интер-нет-сервисов, например «WHOIS». Используя глобальные справочные ин-тернет-сервисы, сотрудник оперативного подразделения ОВД может получить информацию о регистрационных данных владельцев IP-адресов и доменных имен, установить интернет-провайдера, которому принадлежит IP-адрес.

При этом важно отметить, что использование глобальных сервисов неэффективно для следующих диапазонов IP-адресов:

– 10.0.0.1–10.255.255.254;

– 127.0.0.1–127.255.255.254;

– 169.254.0.1–169.254.255.254;

– 172.16.0.1–172.31.255.254;

– 192.168.0.1–192.168.255.254.

Это обусловлено тем, что указанные диапазоны используются для адресации внутри локальных и частных сетей передачи данных в так называемых «серых» IP-адресах. Подключение указанных IP-адресов к сети Интернет осуществляется с использованием общего NAT-сервера, где, как правило, с использованием такого IP-адреса к сети подключается одновременно несколько тысяч абонентов.

При установлении интернет-провайдера или оператора сети с целью получения оперативно значимой информации сотруднику оперативного подразделения необходимо направить в рамках ОРМ «Наведение справок» запрос оператору связи о предоставлении данных пользователя.

В запросе, как правило, отражается, является ли интересующий IP-адрес динамическим или статическим; выделен ли он NAT-серверу или оконечному пользователю. Кроме того, при наведении справок необходимо указывать конкретный IP-адрес и период времени его подключения. В случае отсутствия IP-адреса источника имеется техническая возможность установления его с помощью интер-нет-сервиса «WHOIS», для чего необ- ходимо указать вместо IP-адреса доменное имя источника.

Нередко в целях решения задач ОРД возникает необходимость установления отправителя электронного письма. Каждое электронное письмо содержит информацию о маршруте следования в процессе отправки– получения – RFC-заголовок. При этом, как правило, по умолчанию данная информация у получателя не отображается. Анализ информации о движении электронного письма позволяет получить сведения об IP-адресе компьютера, с которого письмо было отправлено, а также информацию об электронном почтовом ящике. В некоторых случаях при получении письма целенаправленно может быть указан произвольный либо не принадлежащий интересующему оперативного сотрудника лицу электронный почтовый ящик.

Для установления IP-адреса устройства, с которого было отправлено письмо, необходимо открыть электронное письмо и в командной панели выбрать «отображение свойств письма», в зависимости от используемого почтового клиента. Как правило, IP-адрес отправителя содержится в полях «X-Originating-IP» или «Received: from».

Далее необходимо обратить внимание на последний отображенный IP-адрес. Дата и время отправления письма указаны в поле «Date» или «Received from», где значение +0300 указывает на часовой пояс относительно нулевого меридиана.

Если полученный IP-адрес принадлежит диапазонам 10.0.0.1– 10.255.255.254, 127.0.0.1– 127.255.255.254, 169.254.0.1– 169.254.255.254, 172.16.0.1– 192.168.255.254, то необходимо выбрать IP-адрес, расположенный выше отображенного – соответственно, полученный IP-адрес использовать для идентификации абонента во внутренней сети определенного интернет-провайдера. Уже после этого возможно установить регистрационные данные по IP-адресу.

Важное значение для ОРД имеет и установление владельца электронного почтового ящика (е-mail). В современных условиях практически каждый человек в своей повседневной деятельности использует так называемый электронный почтовый ящик, который содержит ценную и важную информацию о его владельце. В целях установления принадлежности электронного почтового ящика конкретному пользователю необходимо осуществить ряд мероприятий.

Для начала необходимо установить принадлежность почтового ящика сервису электронной почты. Адрес электронной почты состоит из имени пользователя и доменного имени, которые разделяются знаком @. Доменное имя – это адрес сайта, на котором зарегистрирован почтовый ящик. Приведем список наиболее распространенных электронных почтовых ящиков:

• •    ООО «Mэйл.Ру» – @mail.ru, @inbox.ru, @list.ru, @bk.ru;

• •    ООО «Яндекс» – @yandex.ru;

• •    ООО «Рамблер Интернет Холдинг» – @rambler.ru, @lenta.ru, @autorambler.ru, @ro.ru.

Почтовые ящики @gmail.com, @botmail.com, @yahoo.com принадлежит сервисам электронной почты, находящимся в США. В связи с тем, что Российская Федерация не ратифицировала Конвенцию Совета Европы о киберпреступност и1, компания Google отклоняет запросы российских правоохранительных органов о данных пользователей [5, с. 129].

Оперативный сотрудник с целью установления регистрационных данных пользователя почтового ящика должен направить в рамках ОРМ «Наведение справок» запрос о предоставлении активности электронного почтового ящика. Перед тем как направить запрос, следует проверить наличие почтового ящика, для чего необходимо попытаться восстановить пароль данного почтового ящика. В запросе должна быть отражена информация о регистрационных данных, IP-адресах авторизации, абонентском номере активации и т. д. Соответственно, в ответе на запрос должна содержаться информация об IP-адресах, с которых владелец осуществлял те или иные действия в электронной почте. После получения IP-адреса сотрудник имеет возможность определить установочные данные лица и получить сведения о его физическом местоположении.

Еще больший интерес с точки зрения добывания оперативно значимой информации представляет установление владельца интернет-сайта.

Интернет-сайт или веб-сайт (от англ. website: web – «паутина, сеть», site – «место») – это совокупность электронных документов физического лица или организации в компьютерной сети, объединенных одним адресом, где доменное имя – это символьное имя, служащее для идентификации сетевых ресурсов.

Доменные имена предоставляют возможность адресации компьютеров и расположенных на них сетевых ресурсов. Соответственно, хостинг-провайдер – это компания, занимающаяся предоставлением услуг по размещению интернет-сайтов на своих технологических площадках.

Для установления владельца вебсайта также необходимо использовать интернет-сервис «WHOIS-сервис», предоставляющий информацию о регистрационных данных владельцев IP-адресов, доменных адресов. После необходимо получить открытую информацию о регистраторе доменного имени и организации, на ресурсах которой размещен интернет-сайт с интересующим доменным именем.

Более подробно рассмотрим данную процедуру на примере доменного имени URL:

В качестве владельца имени указана организация «Joint-Stock Company Consultant Plus». В данном случае информация соответствует действительности, но нередки случаи, когда в графе

«владелец» указано частное лицо – «Private person» (рис. 1).

Информация о домене

Информация реестра

Домен

Сервер DNS dnsl yandex net

Сервер DNS

Дата регистрации

Рис. 1. Информация из реестра о домене

Администратор домена

Регистратор

В таких случаях сотруднику оперативного подразделения ОВД необходимо направлять в рамках ОРМ «Наведение справок» запрос в компанию регистратора домена – в нашем случае это компания «RU-CENTER-RU». Зачастую владелец домена предоставляет информацию, не соответствующую действительности. В полученной информации в поле «Регистратор» указан владелец хостинга (в нашем случае это «RU-CENTER-RU»), который может предоставить регистрационные данные, а также IP-адреса авторизации, контактные данные, платежные реквизиты, которые являются достоверными.

Важное значение имеет и установление пользователя социальной сети, под которой понимается интернет-ресурс, предназначенный для обмена различного рода информацией.

Социальная сеть содержит необходимую цифровую информацию для решения задач ОРД, в том числе и деанонимизирующей пользователя сети Интернет [6, с. 171].

Пользователи в социальной сети идентифицируются по уникальным номерам (ID) либо по электронному почтовому ящику. С целью установ- ления пользователя социальной сети сотруднику оперативного подразделения ОВД необходимо определить уникальный идентификатор пользователя – ID.

Сведения об ID указаны в адресной строке браузера после текста «vk.com/». ID состоит из последовательности цифр или латинских букв. Сотруднику оперативного подразделения ОВД с целью установления регистрационных данных пользователя социальной сети следует направить в рамках ОРМ «Наведение справок» запрос в организацию, владеющую социальной сетью. В обращении следует запросить информацию о регистрационных данных пользователя, информацию об IP-адресах и времени авторизации, контактные телефоны, номера электронных кошельков, с которых производилась оплата услуг и т. д. [7, с. 171].

Особое внимание следует обратить на установление владельца электронного кошелька, т. е. интер-нет-сервиса, предназначенного для пополнения, хранения, перечисления электронных денег, оплаты различных услуг, обмена электронных денег на реальные.

Е. И. Третьякова справедливо отметила, что «электронная система расчетов становится в центре финансового обращения. Свое преимущество она очередной раз доказала в период возникшей в мире пандемии коронавирусной инфекции COVID-19. В период самоизоляции электронная система расчетов позволяла гражданам получать заработную плату, государственные выплаты, осуществлять различные платежи, приобретать товары через Интернет и осуществлять другие финансовые операции» [6, c. 196].

Для определения владельца электронного кошелька необходимо установить уникальный идентификатор кошелька в электронной платежной системе и направить соответствующий запрос.

Приведем список наиболее распространенных платежных систем, используемых в том числе в преступных целях.

• 1.    «Webmoney» – электронный кошелек платежной системы ООО «Вебмани.Ру». Имеет вид R124315355363, где «R» – это рубли, «Z» – доллары США. Уникальный номер пользователя имеет, например, такой вид: WHJJ 14147128644672. При этом отметим, что одному пользователю может принадлежать одновременно несколько кошельков, что заметно затрудняет проведение поисковых мероприятий.

• 2.    «Яндекс.Деньги» – это электронный кошелек платежной системы ООО «ПС Яндекс. Деньги».

• 3.    «Деньги @Mail.Ru» – это идентификатор электронной платежной системы ООО «Деньги.Мэйл.Ру».

Для получения информации о владельце электронного кошелька оперативному сотруднику необходимо подготовить и направить запрос, аналогичный направляемому для получения информации о владельце электронного почтового ящика.

В полученных ответах должна содержаться следующая информация:

• –    с каких IP-адресов осуществлялось управление данными кошелька;

• –    куда перечислены денежные средства.

При решении задач ОРД нередко возникает необходимость установления средств вычислительной техники по MAC-адресу. У каждой сетевой карты компьютера, ноутбука, планшета, смартфона имеется уникальный MAC-адрес, который присваивается производителем. Использование MAC-адреса при решении задач ОРД позволяет сотрудникам оперативных подразделений ОВД устанавливать фактическое местоположение обозначенных технических устройств.

Для установления MAC-адреса необходимо изучить документы от устройства либо направить в рамках ОРМ «Наведение справок» запрос интернет-провайдеру о месте подключения устройства.

При проведении ОРМ по установлению абонента устройства следует учитывать, что MAC-адрес сетевого устройства передается оператору связи только при непосредственном подключении устройства к оборудованию интернет-провайдера. Это означает, что в случаях подключения устройства к сети Интернет посредством использования промежуточного оборудования, к которому относится WiFi-роутер, ADSL-модем или USB-модем, MAC-адрес устройства оператору связи не передается. При этом следует учитывать, что пользователь самостоятельно может изменить значение MAC-адреса устройства, т. к. это не требует определенных навыков, умений либо специальных познаний.

Выводы и заключение

Подводя итог нашему исследованию, отметим, что одним из приоритетных направлений в деле совершенствования информационноаналитического обеспечения ОРД должно выступать активное внедрение и повсеместное использование современных методов и средств добывания информации.

Сотрудники оперативных подразделений ОВД должны постоянно повышать уровень профессиональной квалификации в сфере современных методов получения цифровой информации и активно использовать ресурсы сети Интернет в качестве приоритетного источника оперативно значимой информации. Одновременно они должны уметь использовать проверенные методы получения информации при выполнении оперативно-служебных задач по раскрытию преступлений, совершаемых с использованием цифровых технологий.