Система, как мы уже писали ("КТ" #686), вызвала большой интерес у наших ИБ-специалистов из МГУ, и сейчас вовсю планируется совместный проект МГУ и SUNY. Но в том варианте ppt’шника, который я в конце концов заполучил, слайдов с булавками уже не было. Оказалось, что на лекции мы видели чуть ли не реальные оперативные сводки полицейского департамента, с фамилиями и адресами настоящих подозреваемых; цвет флажка кодировал степень уверенности властей в необходимости срочно изолировать данного персонажа от менее опасной части общества. Передавать эти данные в открытую печать разработчики, естественно, не стали. Похоже, что и многие технические подробности исчезли вместе с картами и флажками, и это тоже правильно – ибо предатор не дремлет и, узнав эти подробности, может выскользнуть из сетей.
Однако и без всего этого большой интерес представляют две вещи: сам факт появления подобных систем, а также принципы их функционирования и проблемы, ему препятствующие. Отметив факт, перейдем к принципам и проблемам.
"Много данных, но мало информации!"
Этот лозунг часто повторяют по самым разным поводам. В ситуации, о которой идет речь, главное препятствие на пути превращения данных в информацию – их разрозненность. Предположим, в чатах обнаружена подозрительная активность, наводящая на мысль о появлении предатора. Обнаружить ее можно по сигналу программы-монитора, настроенной на определенные параметры контента – или по личным впечатлениям агента-оперативника, мониторящего этот чат или форум, маскируясь под обычного участника. Кстати, в качестве агентов все чаще выступают гражданские добровольцы, работающие на свой страх и риск и лишь в последний момент перед задержанием выслеженного злодея вступающие в контакт с «органами» (см. врезку об очень интересном явлении – сетевом виджилантизме [network vigilantism], касающемся не только антипредаторства, но и антитерроризма). Однако в данной системе такие источники информации, по-видимому, не учитывались. Так или иначе, первая задача – установить, кто может скрываться под ником, вызвавшим подозрения. В отличие от виджиланте (борцов за охрану порядка, так сказать, "по понятиям"), полиция имеет доступ к огромным массивам данных, которыми располагают госорганы. Она может – но лишь при соблюдении корректного юридического протокола! – рассчитывать также на доступ (в рамках так называемых точечных операций) к нужным данным через провайдера или средствами "легального перехвата" (аналога нашего СОРМа – см. врезку в материале "Инструктаж").
Однако на практике наличие этих возможностей и их реализация – совсем не одно и то же. Очень важной частью всей работы по проекту было создание системы C-Map для картирования и анализа данных из баз о криминальной активности. Туда же интегрируются и данные, получаемые от провайдеров В результате возникают упоминавшиеся выше красивые карты (создаваемые при помощи популярной геоинформационной системы [ГИС] MapInfo), где подозреваемые отображены флажками. Географическая составляющая – хотя бы простое наложение карт криминальной активности на карту школьных округов, других административных образований, – как раз обеспечивает превращение данных в "информацию". Потенциальные предаторы А, B, C живут в школьном округе Х, а в чате некто зазывает в гости с какими-то зловещими намерениями девочек и мальчиков именно из школы этого округа – такое сопоставление сразу порождает несколько флажков на карте. Ну а дальше начинается более сложный анализ. Хотя, рискну предположить, и не использующий модели из иммунологии и "колмогоровскую сложность". Но это лишь предположение.
Но даже после того, как выставлены красные флажки и крепкие ребята с прическами, как у Санджая (но не носящие профессорского титула), сделали свое дело – например, «приняли» предатора, – возникает серьезная задача предъявления улик, доказывающих суду, что за предатора не приняли человека, непричастного ни к каким гнусностям. Так вот, вторая часть системы нацелена как раз на решение этой задачи. Более того. Именно эта часть и считается "критическим ингредиентом" в работе с компьютерной преступностью. Надо уметь внятно предъявить доказательства, собранные по следам, которые оставлены не в форме отпечатков пальцев или смятых окурков. Киберкриминалистика имеет дело с маловещественными объектами – следами сетевой активности, битами и байтами в файлах на каких-то удаленных серверах. И извлечь из этих байтов четкие, понятные и убедительные для суда доказательства того, что именно этот человек планировал нечто ужасное и уже сделал такие-то и такие-то шаги для реализации своих планов, совсем не тривиальная задача. Здесь превратить данные в информацию пока не получается, но вряд ли могут быть сомнения в том, что скоро получится. И венцом всей этой деятельности должна быть система, которая не просто позволяет эффективно заниматься киберкриминалистикой, а еще и автоматически демонстрировать имеющиеся улики (например – по-видимому! – доказательно подлинные логи чатов) прямо в зале суда.
Глобализация
Вполне естественно, что если ситуация по каким-то параметрам выходит за пределы школьных округов штата Нью-Йорк, и даже всех Соединенных Штатов, – например, по ходу дела всплывают какие-нибудь серверы на территориях, до которых ребятам со стрижкой под "Морских котиков" добраться не так просто, – то сразу же возникает та самая история с согласованием национальных законодательств, сотрудничеством стран в киберпространстве (а для начала – выработкой хоть какого-то юридического понимания, что же это такое – киберпространство) и тому подобными совсем не инфотехническими проблемами, о которых много говорилось в первой части этой темы номера (см. «КТ» #686). Более того, глобальное единство киберполиций разных стран позволит делать нечто гораздо большее, нежели обкладывать флажками какого-то жалкого предатора. Ключевые слова известны – это и отмывание денег и, разумеется, терроризм, да и много чего еще. Ну а в применении к глобальной ловле предатора текущие задачи, к которым подключается все больше академических учреждений, примерно таковы.
Надо разработать надежную систему автоматического анализа текстов чатов и форумов, которая бы быстро локализовывала подозрительную активность. Она же должна вести и анализ мотивов, намерений, образа действий предполагаемого предатора. Все это должно работать в глобальном масштабе, то есть форумы и чаты и в Китае, и в Индии, и в России, и в Штатах должны быть в достаточной мере прозрачны для такой системы. А для этого нужны глобальные же юридические сдвиги. Важнейший из них – убрать «асимметрию» национальных законодательств. Проще говоря, движение к глобальной экономике потребует введения общих для всех законов. Но как это сделать?
Очень трудно – ведь законы основаны на культурных и социальных нормах разных стран и народов, а эти нормы меняются крайне медленно. Есть ли выход? Есть. Нужно работать над их согласованием, не пытаясь форсировать события. К этому сводится ответ, который дал Санджай Гоел – подчеркнув, что он опирается не только на логику, но и на свой опыт, опыт человека, рожденного и воспитанного на Востоке, живущего и работающего на Западе.
Мудрый ответ, вне всякого сомнения. Тем более что других вариантов пока, слава богу, все равно не видно.
Сетевой виджилантизм
Слово «виджиланте» (vigilante, множ. vigilanti) пока не вошло в русский язык – думаю, что не столько из-за трудной произносимости, сколько потому, что у нас особенно-то и нечего им обозначать. Отряды виджиланте – это группы граждан, самостоятельно поддерживающих правопорядок. Причем исторически такой правопорядок мог не иметь ничего общего ни с правом, ни с порядком – так, на Диком Западе в девятнадцатом веке отряды виджиланте частенько занимались линчеванием негров и были скорее похожи на шайки бандитов. Более поздний, новый виджилантизм связан и с экстремальными формами борьбы против абортов, и с патрулированием жителями станций метро и дворов в криминализованных районах, и с пограничными патрулями, выслеживающими нелегальный трафик людей и товаров.
Кибервиджилантизм, сетевой виджилантизм (network vigilantism) – явление совсем новое и иногда принимающее весьма резкие формы. Вот два примера групп, занятых чем-то в этом роде.
Название первой организации – Perverted justice – сразу и не поймешь как перевести. То ли «извращенное правосудие», то ли «правосудие по отношению к извращенцам». Так или иначе, в действиях PeeJ есть элементы и того и другого. Цель – борьба с педофилией в Сети. По выражению самих активистов, они хотят «отравить колодцы» – создать в популярных чатах знакомств, в социальных сетях такую атмосферу, чтобы – буде вы соберетесь туда, дабы познакомиться даже не с детьми, а просто с очень молодыми женщинами, – на душе у вас было малость неспокойно: а вдруг это западня и меня арестуют, едва я к ней подойду?..