Несколько примеров.
Потерпевшим было получено по электронной почте письмо с предложением перевести некую сумму через систему «WebMoney» под угрозой разглашения данных об уязвимости его веб-сервера. Выкуп предлагалось перевести на счет (кошелек) номер Z18364577. Пока один оперативник выяснял у сотрудников платежной системы, кем использовался этот счет, другой ввел строку «Z18364577» в поисковой системе. Оказалось, что этот номер кошелька уже засвечен в Интернете. Один пользователь жаловался, что перевел на него деньги в оплату за некую услугу, но обещанной услуги не получил. Таким образом нашелся второй потерпевший, в деле появился второй эпизод и дополнительные доказательства.
Поступило заявление о клевете. Неизвестный злоумышленник разместил на веб-форуме информацию, порочащую деловую репутацию потерпевшего. К сожалению, не удалось установить, с какого IP-адреса происходило размещение информации, поскольку злоумышленник воспользовался анонимным прокси-сервером. Тогда оперативник предположил, что преступник мог разместить ту же информацию и на иных интернет-ресурсах. Он ввел характерную фразу из размещенной статьи в поисковую систему и нашел два других веб-форума, на которых, по-видимому, тот же злоумышленник разместил ту же информацию. Во всех случаях он воспользовался анонимизирующим прокси-сервером. Одна ко на одном из найденных форумов, кроме вышеописанного клеветнического материала, было обнаружено еще несколько постингов (статей), судя по их содержанию, размещенных тем же человеком. Размещенных уже без использования прокси. По ним-то оперативники и вышли на исполнителя.
Подозреваемый в мошенничестве кардер, задержанный в Москве, был отпущен под подписку о невыезде и немедленно скрылся. Оперуполномоченный для розыска подозреваемого нашел в деле несколько адресов электронной почты, которыми тот пользовался в разное время. Поиск в Интернете по этим адресам среди прочих результатов принес одно объявление о продаже номеров кредитных карт. Объявление было размещено давно и явно неактуально. Однако кроме адреса электронной почты в объявлении был указан для контактов также номер ICQ. Оперативник предположил, что подозреваемый может до сих пор пользоваться этим номером. Он ввел номер в контакт-лист своего ICQ-клиента и стал ждать, когда абонент «выйдет в эфир», то есть будет обозначен как «online». Через несколько недель это случилось. Подозреваемый стал пользоваться своим номером ICQ почти ежедневно. Оперативник пытался определить IP-адрес, с которого подозреваемый соединяется, но без прямого контакта с ним это оказалось невозможным. Тогда оперуполномоченный вторично обратился к поисковой системе и стал искать, где еще упоминается номер ICQ подозреваемого. И нашел относительно свежее объявление, касающееся организации DoS-атак на сервер. Это дало повод для контакта. Оперативник по ICQ вышел на контакт с подозреваемым и ежедневно общался с ним, пользуясь найденным предлогом. При обмене сообщениями по ICQ есть возможность определить IP собеседника (правда, не во всех случаях). В течение нескольких дней общения в качестве IP подозреваемого детектировался адрес socks-сервера. Но однажды высветился IP-адрес, похожий на реальный. Он числился за германским провайдером из города Франкфурт-на-Майне. Согласно материалам дела, у подозреваемого в этом городе жил родственник. Дальнейшее было делом техники. Через провайдера установили адрес, и через несколько дней немецкая полиция подозреваемого арестовала. Не прошло и года, как он был экстрадирован в Россию.
Поисковые системы в Интернете стали не только основной «дорогой в сеть» для обычных пользователей, они также широко используются злоумышленниками. При помощи поисковых систем завлекаются жертвы на веб-сайты мошенников. При помощи поисковых систем находятся как сведения об уязвимостях, так и сервера, имеющие эти уязвимости.
При помощи поисковых систем маскируется местоположение веб-сайтов. При помощи поисковых систем определяются перспективные слова для киберсквоттинга. И так далее. В работе специалистов по защите информации поисковые системы также используются широко. Почему бы не использовать их и в оперативной работе?
Для криминалистики поисковые системы представляют большой интерес, поскольку в них также можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах. И этот след не только проще найти, но в ряде случаев он держится в базе данных поисковика дольше, чем в оригинальном расположении.
Например, в ходе одного гражданского дела о нарушении авторских прав истец смог доказать факт размещения ответчиком произведения в сети, хотя ответчик к тому моменту уже успел убрать его с веб-сайта. Но в базе данных двух поисковых систем первоначальная версия сайта ответчика осталась. Заверенные нотариусом распечатки страниц поисковых систем с кэшированным содержимым сайта ответчика признаны судом достаточным доказательством того факта, что в прошлом произведение размещалось в Сети и было общедоступно.
Также поисковик полезен для других задач. Например, для декомпиляции программ. С целью исследования программ для ЭВМ, доступных исследователю только в виде исполняемого (объектного) кода, можно воспользоваться декомпилятором. Но проблема в том, что восстановленный таким образом исходный текст малопонятен для человека и не соответствует исходному тексту, из которого был сделан объектный код.
Говорят, что операция компиляции исходного текста необратима. Вместо декомпиляции можно провести поиск в Интернете на предмет исходного кода этой же программы. Злоумышленник, скорее всего, не написал свою программу с нуля, а позаимствовал ее целиком или немного модифицировал чужую программу, взяв ее из того же источника – из Сети. Невозможно по исполняемому коду восстановить исходный код программы на алгоритмическом языке высокого уровня, но возможно доказать, что найденный исходный код соответствует имеющемуся исполняемому коду.
С другой стороны, со стороны поисковой системы тоже можно вести оперативно-розыскную деятельность. Или получать данные в ходе следственных действий. Поисковая система может протоколировать и сохранять все действия пользователя. Объем этой информации относительно невелик, поэтому хранить ее можно без особых затрат на протяжении нескольких лет. Судя по всему, поисковики так и делают.
Когда и какие поисковые запросы отправлял пользователь, по каким из показанных ему ссылок переходил – эти сведения могут быть полезны в ОРД и послужить косвенными доказательствами по уголовному делу.
Поисковая система идентифицирует пользователя по cookie-файлу, а также другим доступным через протокол HTTP параметрам (IP-адрес, версия браузера и ОС, язык, местное время и т.д.).
По некоторым уголовным делам, обнаружив на компьютере подозреваемого cookie от поисковой системы, имеет смысл затребовать протокол действий этого пользователя у администрации поисковика. При этом нужно будет предоставить содержимое cookie и параметры браузера. Разумеется, потребуется судебная санкция.
Потерпевшим было получено по электронной почте письмо с предложением перевести некую сумму через систему «WebMoney» под угрозой разглашения данных об уязвимости его веб-сервера. Выкуп предлагалось перевести на счет (кошелек) номер Z18364577. Пока один оперативник выяснял у сотрудников платежной системы, кем использовался этот счет, другой ввел строку «Z18364577» в поисковой системе. Оказалось, что этот номер кошелька уже засвечен в Интернете. Один пользователь жаловался, что перевел на него деньги в оплату за некую услугу, но обещанной услуги не получил. Таким образом нашелся второй потерпевший, в деле появился второй эпизод и дополнительные доказательства.
Поступило заявление о клевете. Неизвестный злоумышленник разместил на веб-форуме информацию, порочащую деловую репутацию потерпевшего. К сожалению, не удалось установить, с какого IP-адреса происходило размещение информации, поскольку злоумышленник воспользовался анонимным прокси-сервером. Тогда оперативник предположил, что преступник мог разместить ту же информацию и на иных интернет-ресурсах. Он ввел характерную фразу из размещенной статьи в поисковую систему и нашел два других веб-форума, на которых, по-видимому, тот же злоумышленник разместил ту же информацию. Во всех случаях он воспользовался анонимизирующим прокси-сервером. Одна ко на одном из найденных форумов, кроме вышеописанного клеветнического материала, было обнаружено еще несколько постингов (статей), судя по их содержанию, размещенных тем же человеком. Размещенных уже без использования прокси. По ним-то оперативники и вышли на исполнителя.
Подозреваемый в мошенничестве кардер, задержанный в Москве, был отпущен под подписку о невыезде и немедленно скрылся. Оперуполномоченный для розыска подозреваемого нашел в деле несколько адресов электронной почты, которыми тот пользовался в разное время. Поиск в Интернете по этим адресам среди прочих результатов принес одно объявление о продаже номеров кредитных карт. Объявление было размещено давно и явно неактуально. Однако кроме адреса электронной почты в объявлении был указан для контактов также номер ICQ. Оперативник предположил, что подозреваемый может до сих пор пользоваться этим номером. Он ввел номер в контакт-лист своего ICQ-клиента и стал ждать, когда абонент «выйдет в эфир», то есть будет обозначен как «online». Через несколько недель это случилось. Подозреваемый стал пользоваться своим номером ICQ почти ежедневно. Оперативник пытался определить IP-адрес, с которого подозреваемый соединяется, но без прямого контакта с ним это оказалось невозможным. Тогда оперуполномоченный вторично обратился к поисковой системе и стал искать, где еще упоминается номер ICQ подозреваемого. И нашел относительно свежее объявление, касающееся организации DoS-атак на сервер. Это дало повод для контакта. Оперативник по ICQ вышел на контакт с подозреваемым и ежедневно общался с ним, пользуясь найденным предлогом. При обмене сообщениями по ICQ есть возможность определить IP собеседника (правда, не во всех случаях). В течение нескольких дней общения в качестве IP подозреваемого детектировался адрес socks-сервера. Но однажды высветился IP-адрес, похожий на реальный. Он числился за германским провайдером из города Франкфурт-на-Майне. Согласно материалам дела, у подозреваемого в этом городе жил родственник. Дальнейшее было делом техники. Через провайдера установили адрес, и через несколько дней немецкая полиция подозреваемого арестовала. Не прошло и года, как он был экстрадирован в Россию.
Поисковые системы в Интернете стали не только основной «дорогой в сеть» для обычных пользователей, они также широко используются злоумышленниками. При помощи поисковых систем завлекаются жертвы на веб-сайты мошенников. При помощи поисковых систем находятся как сведения об уязвимостях, так и сервера, имеющие эти уязвимости.
При помощи поисковых систем маскируется местоположение веб-сайтов. При помощи поисковых систем определяются перспективные слова для киберсквоттинга. И так далее. В работе специалистов по защите информации поисковые системы также используются широко. Почему бы не использовать их и в оперативной работе?
Для криминалистики поисковые системы представляют большой интерес, поскольку в них также можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах. И этот след не только проще найти, но в ряде случаев он держится в базе данных поисковика дольше, чем в оригинальном расположении.
Например, в ходе одного гражданского дела о нарушении авторских прав истец смог доказать факт размещения ответчиком произведения в сети, хотя ответчик к тому моменту уже успел убрать его с веб-сайта. Но в базе данных двух поисковых систем первоначальная версия сайта ответчика осталась. Заверенные нотариусом распечатки страниц поисковых систем с кэшированным содержимым сайта ответчика признаны судом достаточным доказательством того факта, что в прошлом произведение размещалось в Сети и было общедоступно.
Также поисковик полезен для других задач. Например, для декомпиляции программ. С целью исследования программ для ЭВМ, доступных исследователю только в виде исполняемого (объектного) кода, можно воспользоваться декомпилятором. Но проблема в том, что восстановленный таким образом исходный текст малопонятен для человека и не соответствует исходному тексту, из которого был сделан объектный код.
Говорят, что операция компиляции исходного текста необратима. Вместо декомпиляции можно провести поиск в Интернете на предмет исходного кода этой же программы. Злоумышленник, скорее всего, не написал свою программу с нуля, а позаимствовал ее целиком или немного модифицировал чужую программу, взяв ее из того же источника – из Сети. Невозможно по исполняемому коду восстановить исходный код программы на алгоритмическом языке высокого уровня, но возможно доказать, что найденный исходный код соответствует имеющемуся исполняемому коду.
С другой стороны, со стороны поисковой системы тоже можно вести оперативно-розыскную деятельность. Или получать данные в ходе следственных действий. Поисковая система может протоколировать и сохранять все действия пользователя. Объем этой информации относительно невелик, поэтому хранить ее можно без особых затрат на протяжении нескольких лет. Судя по всему, поисковики так и делают.
Когда и какие поисковые запросы отправлял пользователь, по каким из показанных ему ссылок переходил – эти сведения могут быть полезны в ОРД и послужить косвенными доказательствами по уголовному делу.
Поисковая система идентифицирует пользователя по cookie-файлу, а также другим доступным через протокол HTTP параметрам (IP-адрес, версия браузера и ОС, язык, местное время и т.д.).
По некоторым уголовным делам, обнаружив на компьютере подозреваемого cookie от поисковой системы, имеет смысл затребовать протокол действий этого пользователя у администрации поисковика. При этом нужно будет предоставить содержимое cookie и параметры браузера. Разумеется, потребуется судебная санкция.
