Журнал «Компьютерра» № 25-26 от 10 июля 2007 года (693 и 694 номер)
Шрифт:
Известный исследователь информационного общества Симсон Гарфинкель рассматривает феномен безлидерного сопротивления в статье «Leaderless resistance today», (см. также «КТ» #538). Так называют методы, применямые неструктурированными группами, объединенными общей идеологией, для достижения своих целей. Во имя «руководящей идеи» группы активистов действуют согласованно, причем без руководства в традиционном смысле слова. Координация осуществляется через информационные ресурсы. Так, движение радикальных экологистов ELF (Earth Liberation Front), до событий 9/11 считавшееся в США самой опасной организацией по части террористических атак, координировалось при помощи единственного списка рассылки.
Предатор/виджиланте/бэкспейс
Автор: Леонид Левкович-Маслюк
Санджай
Санджай занимается информатическими исследованиями самого широкого профиля: прикладной математикой сетей, их вирусологией и зомбологией (у него есть цикл работ по ботнетам, сетям "зомбированных машин" [Об этой все более грозной напасти недавно писал Родион Насакин ("КТ" #685)]). Санджай ищет в экологии и иммунологии параллели с жизнью сетевой фауны, он применяет очень непростые инструменты анализа – например, вычисление "колмогоровской сложности", – да еще и немедленно переносит идеи в область оценки рисков инвестирования.
Ну а боевая стрижка объясняется долгосрочным исследовательским сотрудничеством с департаментом полиции штата Нью-Йорк. Один из проектов – технологии поиска и картирования сетевых следов второго по упоминаемости в медиа (после "международного террориста") злейшего врага человечества – "сексуального хищника, угрожающего детям" (child sexual predator), для краткости назовем его просто «предатор» (не так уж уродливо, если сравнить со многими уже общепринятыми кальками с английского). Совместные разработки университета, полиции и других заинтересованных организаций достигли вполне рабочего уровня. Во всяком случае, доклад Гоела на семинаре завершился показом многочисленных карт городских районов, усеянных разноцветными флажками в виде перевернутой капли – словно булавками, что удерживают добытые энтомологом ценные экземпляры коллекции.
Система, как мы уже писали ("КТ" #686), вызвала большой интерес у наших ИБ-специалистов из МГУ, и сейчас вовсю планируется совместный проект МГУ и SUNY. Но в том варианте ppt’шника, который я в конце концов заполучил, слайдов с булавками уже не было. Оказалось, что на лекции мы видели чуть ли не реальные оперативные сводки полицейского департамента, с фамилиями и адресами настоящих подозреваемых; цвет флажка кодировал степень уверенности властей в необходимости срочно изолировать данного персонажа от менее опасной части общества. Передавать эти данные в открытую печать разработчики, естественно, не стали. Похоже, что и многие технические подробности исчезли вместе с картами и флажками, и это тоже правильно – ибо предатор не дремлет и, узнав эти подробности, может выскользнуть из сетей.
Однако и без всего этого большой интерес представляют две вещи: сам факт появления подобных систем, а также принципы их функционирования и проблемы, ему препятствующие. Отметив факт, перейдем к принципам и проблемам.
"Много данных, но мало информации!"
Этот лозунг часто повторяют по самым разным поводам. В ситуации, о которой идет речь, главное препятствие на пути превращения данных в информацию – их разрозненность. Предположим, в чатах обнаружена подозрительная активность, наводящая на мысль о появлении предатора. Обнаружить ее можно по сигналу программы-монитора, настроенной на определенные параметры контента – или по личным впечатлениям агента-оперативника, мониторящего этот чат или форум, маскируясь под обычного участника. Кстати, в качестве агентов все чаще выступают гражданские добровольцы, работающие на свой страх и риск и лишь в последний момент перед задержанием выслеженного злодея вступающие в контакт с «органами» (см. врезку об очень интересном явлении – сетевом виджилантизме [network vigilantism], касающемся не только антипредаторства, но и антитерроризма). Однако в данной системе такие источники информации, по-видимому, не учитывались. Так или иначе, первая задача – установить, кто может скрываться под ником, вызвавшим подозрения. В отличие от виджиланте (борцов за охрану порядка, так сказать, "по понятиям"), полиция имеет доступ к огромным массивам данных, которыми располагают госорганы. Она может – но лишь при соблюдении корректного юридического протокола! – рассчитывать также на доступ (в рамках так называемых точечных операций) к нужным данным через провайдера или средствами "легального перехвата" (аналога нашего СОРМа – см. врезку в материале "Инструктаж").
Однако на практике наличие этих возможностей и их реализация – совсем не одно и то же. Очень важной частью всей работы по проекту было создание системы C-Map для картирования и анализа данных из баз о криминальной активности. Туда же интегрируются и данные, получаемые от провайдеров В результате возникают упоминавшиеся выше красивые карты (создаваемые при помощи популярной геоинформационной системы [ГИС] MapInfo), где подозреваемые отображены флажками. Географическая составляющая – хотя бы простое наложение карт криминальной активности на карту школьных округов, других административных образований, – как раз обеспечивает превращение данных в "информацию". Потенциальные предаторы А, B, C живут в школьном округе Х, а в чате некто зазывает в гости с какими-то зловещими намерениями девочек и мальчиков именно из школы этого округа – такое сопоставление сразу порождает несколько флажков на карте. Ну а дальше начинается более сложный анализ. Хотя, рискну предположить, и не использующий модели из иммунологии и "колмогоровскую сложность". Но это лишь предположение.
Но даже после того, как выставлены красные флажки и крепкие ребята с прическами, как у Санджая (но не носящие профессорского титула), сделали свое дело – например, «приняли» предатора, – возникает серьезная задача предъявления улик, доказывающих суду, что за предатора не приняли человека, непричастного ни к каким гнусностям. Так вот, вторая часть системы нацелена как раз на решение этой задачи. Более того. Именно эта часть и считается "критическим ингредиентом" в работе с компьютерной преступностью. Надо уметь внятно предъявить доказательства, собранные по следам, которые оставлены не в форме отпечатков пальцев или смятых окурков. Киберкриминалистика имеет дело с маловещественными объектами – следами сетевой активности, битами и байтами в файлах на каких-то удаленных серверах. И извлечь из этих байтов четкие, понятные и убедительные для суда доказательства того, что именно этот человек планировал нечто ужасное и уже сделал такие-то и такие-то шаги для реализации своих планов, совсем не тривиальная задача. Здесь превратить данные в информацию пока не получается, но вряд ли могут быть сомнения в том, что скоро получится. И венцом всей этой деятельности должна быть система, которая не просто позволяет эффективно заниматься киберкриминалистикой, а еще и автоматически демонстрировать имеющиеся улики (например – по-видимому! – доказательно подлинные логи чатов) прямо в зале суда.
Глобализация
Вполне естественно, что если ситуация по каким-то параметрам выходит за пределы школьных округов штата Нью-Йорк, и даже всех Соединенных Штатов, – например, по ходу дела всплывают какие-нибудь серверы на территориях, до которых ребятам со стрижкой под "Морских котиков" добраться не так просто, – то сразу же возникает та самая история с согласованием национальных законодательств, сотрудничеством стран в киберпространстве (а для начала – выработкой хоть какого-то юридического понимания, что же это такое – киберпространство) и тому подобными совсем не инфотехническими проблемами, о которых много говорилось в первой части этой темы номера (см. «КТ» #686). Более того, глобальное единство киберполиций разных стран позволит делать нечто гораздо большее, нежели обкладывать флажками какого-то жалкого предатора. Ключевые слова известны – это и отмывание денег и, разумеется, терроризм, да и много чего еще. Ну а в применении к глобальной ловле предатора текущие задачи, к которым подключается все больше академических учреждений, примерно таковы.
Надо разработать надежную систему автоматического анализа текстов чатов и форумов, которая бы быстро локализовывала подозрительную активность. Она же должна вести и анализ мотивов, намерений, образа действий предполагаемого предатора. Все это должно работать в глобальном масштабе, то есть форумы и чаты и в Китае, и в Индии, и в России, и в Штатах должны быть в достаточной мере прозрачны для такой системы. А для этого нужны глобальные же юридические сдвиги. Важнейший из них – убрать «асимметрию» национальных законодательств. Проще говоря, движение к глобальной экономике потребует введения общих для всех законов. Но как это сделать?