При проведении расследований киберпреступлений могут возникать различные препятствия. Одним из таких препятствий является анонимность, которую обеспечивают пользователям средства информационно-коммуникационных технологий. Анонимность позволяет людям заниматься какой-либо деятельностью, не раскрывая информации о своей личности и/или своих действиях другим лицам (Maras, 2016; см. модуль 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных» для получения дополнительной информации об анонимности). Существуют несколько методов анонимизации, которые используют киберпреступники (см. вставку «Примечание» ниже). Одним из таких методов является использование прокси-серверов. Прокси-сервер – это промежуточный сервер, который используется для соединения клиента (т.е. компьютера) с сервером, с которого клиент запрашивает ресурсы (Maras, 2014, p. 294). Анонимайзерыили анонимные прокси-серверы скрывают идентифицирующие данные пользователей, маскируя их IP-адреса и заменяя их другими IP-адресами (Chow, 2012).
Методы анонимизации используются как на законных, так и незаконных основаниях. Существуют законные основания для того, чтобы оставаться анонимным и сохранять защиту анонимности в сети (см. модуль 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных»). Например, анонимность способствует свободному потоку информации и сообщений без опасений последствий за высказывание нежелательных или непопулярных мыслей (Maras, 2016) (если только не существуют законных оснований, имеющих преимущественную юридическую силу, для ограничения права на выражение таких мнений; см. модуль 3 серии модулей по киберпреступности: «Правовая база и права человека» для ознакомления с законными и легитимными ограничениями права на свободу выражения мнения).
Киберпреступники могут также использовать анонимные сети для шифрования (т.е. блокирования доступа) трафика и скрытия адреса Интернет-протокола (или IP-адреса), «уникального идентификатора, присваиваемого компьютеру [или другому подключенному к Интернету цифровому устройству] поставщиком услуг Интернета при подключении к сети» (Maras, 2014, p. 385), чтобы скрыть свою активность в Интернете и свое местонахождение. Хорошо изученными примерами анонимных сетей являются Tor, Freenet и Invisible Internet Project (проект «Невидимый Интернет», известный как I2P).
Луковый маршрутизатор (или Tor), который обеспечивает анонимные доступ, коммуникацию и обмен информацией в Интернете, был первоначально разработан Военно-морской исследовательской лабораторией США для защиты разведывательных данных (Maras, 2014a; Maras, 2016; Finklea, 2017). После того как Tor стал доступен для широкой публики, он стал использоваться отдельными лицами для защиты от частного и государственного надзора за их активностью в сети. Однако при этом Tor и другие анонимные сети также использовались киберпреступниками для совершения преступлений с использованием киберсетей и киберзависимых преступлений и/или для обмена информацией и/или инструментами с целью совершения таких преступлений (Europol, 2018).
Эти анонимные сети не только «маскируют идентифицирующие данные пользователей, но и размещают их веб-сайты на своих ресурсах, используя … возможности [своих] ‘скрытых сервисов’, что означает, что [эти сайты] могут быть доступны лицам только» в этих анонимных сетях (Dredge, 2013). Таким образом, эти анонимные сети используются для доступа к сайтам в Даркнет (или Темной паутине) (см. вставку «Всемирная паутина: основные сведения» ниже).
Для наглядного представления Всемирной паутины чаще всего используют образ айсберга в океане. Часть айсберга над поверхностью воды именуется видимым Интернетом (или видимой паутиной или видимой сетью). Эта часть паутины включает в себя индексированные сайты, которые доступны и готовы к использованию для широкой публики, и которые можно найти с использованием традиционных поисковых систем, таких как Google или Bing (Maras, 2014b). Глубокая сеть – это часть айсберга, которая находится ниже уровня поверхности воды. Она включает в себя сайты, которые не индексируются поисковыми системами и не являются легкодоступными и/или готовыми к использованию для широкой публики, например сайты, защищенные паролем (Maras, 2016). К этим сайтам можно получить прямой доступ, если известен единый указатель ресурса (URL; т.е. адрес веб-сайта) и/или предоставлены учетные данные пользователей (т.е. имена пользователей, пароли, парольные фразы и т.д.) для получения доступа к защищенным паролем веб-сайтам и онлайн-форумам. Для доступа к сайтам в темной паутине необходимо специализированное программное обеспечение, поскольку в ней используются инструменты, повышающие анонимность, чтобы препятствовать доступу и скрыть сайты (Finklea, 2017).
Атрибуция является еще одним препятствием, затрудняющим расследования киберпреступлений. Атрибуция – это определение того, кто и/или что является ответственным за совершение киберпреступления. Цель атрибуции заключается в отнесении киберпреступления на счет конкретного цифрового устройства, пользователя устройства и/или других лиц, виновных в совершении киберпреступления (например, если киберпреступление финансируется или направляется государством) (Lin, 2016). Использование инструментов, повышающих анонимность, может затруднить идентификацию устройств и/или лиц, ответственных за совершение киберпреступления.
На веб-сайте Информационного центра электронной приватности (The Electronic Privacy InformationCenter) содержится информация об «инструментах повышения анонимности» и имеются ссылки на эти инструменты (Lin, 2016).
Процесс атрибуции еще более усложняется из-за использования зараженных вредоносными программами компьютеров-зомби (или бот-сетей; этот вопрос рассматривается в модуле 2 серии модулей по киберпреступности: «Основные виды киберпреступности») или цифровых устройств, управляемых при помощи инструментов удаленного доступа (т.е. вредоносной программой, которая используется для создания бэкдора на зараженном устройстве, позволяющего распространителю вредоносной программы получить доступ к системам и управлять ими). Эти устройства могут использоваться – без ведома пользователя, чье устройство заражено, – для совершения киберпреступлений.
В научной литературе обсуждался вопрос создания международной организации для кибер-атрибуции.
David II, John S., Benjamin Boudreaux, Jonathan William Welburn, Jair Aguirre, Cordaye Ogletree, Geoffrey McGovern, and Mihcael S. Chase. (2017). Stateless Attribution: Toward International Accountability in Cyberspace . RAND.
Обратное прослеживание (или прослеживание в обратном направлении) – это процесс прослеживания незаконных действий для установления источника (т.е. исполнителя и/или цифрового устройства) киберпреступления. Прослеживание в обратном направлении осуществляется после совершения киберпреступления или при его выявлении (Pihelgas, 2013). Предварительное расследование проводится с целью обнаружения информации о киберпреступлении путем изучения файлов журналов (т.е. журналов событий, отображающих активность файловых систем), которые могут помочь обнаружить информацию о киберпреступлении (т.е. о том, как оно было совершено). Например, журналы событий «автоматически регистрируют … события, происходящие в компьютере, чтобы получить контрольный след, который можно использовать для отслеживания, понимания и диагностики активности и проблем в системе» (Maras, 2014, p. 382). Примерами таких журналов являются журналы приложений, которые записывают «события, регистрируемые программами и приложениями», и журналы безопасности, которые «регистрируют все попытки входа в систему (как корректные, так и некорректные), а также создание, открытие или удаление файлов, программ или других объектов пользователем компьютера» (Maras, 2014, p. 207). Эти журналы событий могут помочь обнаружить IP-адрес, использованный при совершении киберпреступления.
Процесс прослеживания в обратном направлении может быть длительным. Время, необходимое для выполнения этой процедуры, зависит от знаний, навыков и способностей исполнителей преступления и мер, которые они приняли для сокрытия своей личности и деятельности. В зависимости от тактических приемов, использованных киберпреступниками для совершения незаконных действий, отслеживание может не привести к единственному идентифицируемому источнику (Pihelgas, 2013; Lin, 2016). Например, это может наблюдаться в тех случаях, когда для совершения киберпреступления используются зараженные вредоносной программой компьютеры-зомби, или когда несколько злоумышленников одновременно проводят распределенную атаку типа «отказ в обслуживании» (т.е. DDoS-атаку) на систему или веб-сайт (для получения дополнительной информации об этих киберпреступлениях см. модуль 2 Серии модулей по киберпреступности: «Основные виды киберпреступности»).
Администрация адресного пространства Интернет (IANA) Интернет-корпорации по присвоению имен и номеров (ICANN), помимо выполнения прочих задач, руководит распределением IP-адресов среди Региональных Интернет-регистратур (РИР), которые отвечают за надзор над регистрацией IP-адресов в своих регионах (Maras, 2014, p. 288-289). Существуют пять РИР: Африканский сетевой информационный центр (AFRINIC); Азиатско-Тихоокеанский сетевой информационный центр (APNIC); Американская регистратура для числовых абонентов Интернет (ARIN); Латиноамериканский и Карибский сетевой информационный центр (LACNIC); и Координационный центр европейской континентальной сети (RIPE NCC). РИР предоставляют информацию об IP-адресах, организациях, связанных с IP-адресами, и контактную информацию этих организаций (например, адреса электронной почты и номера телефонов).
Чтобы определить Интернет-провайдера, связанного с IP-адресом, следователь по делам о киберпреступности может использовать сервис WHOIS – инструмент ICANN для формирования запросов. РИР предоставляют доступ к сервисам WHOIS через свои веб-сайты. Данные WHOISпредставляют собой регистрационную информацию, предоставляемую физическими лицами, корпорациями, организациями и правительствами при регистрации доменных имен (например, gmail.com), которая включает в себя имена и контактную информацию (например, номера телефонов, почтовые адреса и адреса электронной почты) (ICANN WHOIS, n.d.). Инструмент формирования запросов WHOIS может использоваться для определения контактной информации и местонахождения организации, связанной с доменным именем (Maras, 2014, p. 290). Инструмент WHOIS также можно использовать для определения контактной информации и местонахождения организации, связанной с IP-адресом (Maras, 2014, p. 289). Однако Общий регламент Европейского союза (ЕС) по защите данных (GDPR), единый закон о защите данных, вступивший в силу 25 мая 2018 года, который регламентирует обработку, хранение, использование данных и обмен данными в государствах-членах ЕС и других странах, учреждениях и частных организациях за пределами ЕС, которые предоставляют товары и услуги ЕС и обрабатывают данные резидентов ЕС (см. модуль 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных» для получения дополнительной информации о GDPR), повлиял на доступность данных WHOIS (в частности, данных, которые считаются персональными данными в соответствии с GDPR; для получения дополнительной информации см. TrendMicro, 2018; и ICANN, n.d.).
После того как будет определен Интернет-провайдер, следователи, расследующие киберпреступление, могут связаться с этим Интернет-провайдером, связанным с IP-адресом, чтобы получить информацию об абоненте, использующем этот IP-адрес (Lin, 2016). Однако Интернет-провайдеров не всегда можно принудить к предоставлению личной информации без соответствующих юридических документов, и в некоторых случаях уже существующее законодательство о неприкосновенности частной жизни/защите персональных данных может запрещать выдачу таких документов (Mayeda, 2015). Юридический документ (например, повестка в суд, ордер на обыск или судебный ордер), используемый для получения этой информации, варьируется в зависимости от конкретной страны (см. модули 6 и 7 Серии модулей по киберпреступности для получения дополнительной информации о юридических документах, используемых при расследовании киберпреступлений).
WHOIS (англ. «кто это?») не является акронимом; «это система, которая задает вопрос: кто отвечает за доменное имя или IP-адрес?» (ICANN WHOIS, n.d.).
См.: ICANN WHOIS
Различия в положениях законодательства разных стран в области киберпреступности, отсутствие международных стандартов, касающихся требований в отношении представления доказательств (как с точки зрения допустимости доказательств в суде, так и с точки зрения международной ответственности государства), механизмов оказания взаимной правовой помощи по делам, связанным с киберпреступностью, и своевременного сбора, сохранения цифровых доказательств и обмена ими между странами также являются препятствием для расследования киберпреступлений (см. модуль 3 Серии модулей по киберпреступности: «Правовая база и права человека» и модуль 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»). Что касается некоторых типов киберпреступлений, особенно политически мотивированных киберпреступлений, то наблюдается общее отсутствие воли стран к сотрудничеству по таким делам (см. модуль 14 Серии модулей по киберпреступности: «Хактивизм, терроризм, шпионаж, дезинформационные кампании и войны в киберпространстве» для получения дополнительной информации о таких киберпреступлениях).
Следователи, расследующие киберпреступления, также сталкиваются с проблемами технического характера. Например, во многих цифровых устройствах используются патентованные операционные системы и программное обеспечение, которые требуют применения специализированных инструментов для идентификации, сбора и сохранения цифровых доказательств (см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику» для получения дополнительной информации о цифровых доказательствах, цифровых устройствах и инструментах цифровой криминалистики). Более того, следователи могут не иметь необходимого оборудования и инструментов цифровой криминалистики, необходимых для надлежащего проведения расследований киберпреступлений, предполагающих использование цифровых устройств (см. модуль 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»).
К прочим препятствиям для расследования киберпреступлений можно отнести ограниченные возможности правоохранительных органов для проведения таких расследований (Leppanen andKankaanranta, 2017). В странах, где существуют национальные специализированные подразделения, они расследуют лишь ограниченное число случаев киберпреступлений. Широкое применение информационно-коммуникационных технологий в расследованиях уголовных преступлений делает такую практику неэффективной (Hinduja, 2004; Köksal, 2009; УНП ООН, 2013; Leppanen andKankaanranta, 2017). Подготовка сотрудников национальных правоохранительных органов, занятых в неспециализированных областях полицейской деятельности и нетехнических специализированных подразделениях (например, по борьбе с преступлениями, связанными с наркотиками, организованной преступностью, преступлениями против детей), по вопросам киберпреступности, расследований, связанных с ИКТ, и цифровой криминалистики является одним из способов укрепления национального потенциала (УНП ООН, 2013; важность укрепления национального потенциала, необходимого для расследования киберпреступлений, и способы решения проблемы нехватки национального потенциала для расследования киберпреступлений подробно рассматриваются в модуле 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»). Кроме того, эти ограниченные возможности правоохранительных органов еще больше усугубляются коротким сроком актуальности профессиональных знаний следователей по делам о киберпреступлениях (Harkin, Whelan, and Chang, 2018, p. 530). Дело в том, что информационно-коммуникационные технологии непрерывно развиваются. Поэтому следователи, расследующие киберпреступления, должны учиться на протяжении всей жизни, постоянно идти в ногу с развитием технологий, не отставать от киберпреступников, знать их мотивы, цели, тактические приемы и способы совершения преступлений. Кроме того, правительственные и национальные службы безопасности сталкиваются с проблемой так называемой «утечки мозгов», когда высококвалифицированные и опытные следователи, специализирующиеся на киберпреступлениях, увольняются из этих органов и переходят в частный сектор, где им предлагают более высокое денежное вознаграждение за их знания, навыки и способности (Harkin, Whelan, andChang, 2018, p. 530). Эти проблемы, связанные с потенциалом и кадровыми ресурсами, должны быть внимательно изучены странами, поскольку они являются серьезным препятствием для расследований киберпреступлений (Sucio, 2015; PBS, 2018).