Чтение онлайн

Здесь мы проанализируем использование криптографии и других информационных технологий для сокрытия преступной деятельности. В качестве примеров приведено большое количество расследований. Сначала мы рассмотрим шифрование и возможности органов правопорядка по работе с ним. Затем мы обсудим ряд других средств сокрытия информации: пароли, цифровую компрессию, стеганографию, удаленное хранение и отключение аудита. В завершении мы поговорим об инструментах, позволяющих скрывать преступления путем анонимности: анонимных ремэйлерах, анонимных цифровых наличных, преодолении защиты и лупинге (looping), клонировании номеров мобильных телефонов и карт мобильныхтелефонов.

В данном разделе описывается криминальное использование шифрования в четырех областях: передача голосовых и факсимильных сообщений и данных; электронная почта; файлы, хранящиеся в компьютерах преступников и преступных компаний; информация, хранящаяся в общедоступных участках компьютерных сетей.

Передача

голосовых и факсимильных сообщений и данных в реальном времени

Преступники могут использовать шифрование для того, чтобы сделать коммуникацию в реальном времени недоступной для правоохранительных органов. В результате становится невозможным применение одного из самых ценных средств борьбы с организованной преступностью — санкционированного судом прослушивания. В марте 1997 года директор ФБР Луис Фри заявил, что в 1995 году ФБР не смогло удовлетворить пять запросов на дешифрование перехваченных коммуникаций, а в 1996 году — двенадцать (US Congress, 1997a). Прослушивание чрезвычайно важно, так как оно фиксирует слова субъекта, что имеет большую ценность в суде, чем данные, полученные от информаторов, которые сами часто являются преступниками и крайне ненадежны. Прослушивание также служит источником ценной информации о замыслах, планах и членах преступного сговора и помогает определить направление ведения расследования. Наркосиндикаты весьма полагаются на сетевые коммуникации, поэтому мониторинг сетей может дать сведения о конкретных исполнителях и нелегальных доходах. Кроме того, перехват коммуникаций крайне полезен в делах о терроризме, иногда даже позволяя избежать смертельных атак. Он, например, помог предотвратить взрыв в иностранном консульстве в США и ракетный удар по одному из союзников США (US Congress, 1997а).

В открытом доступе известно очень мало об использовании специальных устройств-шифраторов преступными сообществами. Предполагается, что картель Кали использует сложное шифрование для защиты своих телефонных коммуникаций. Среди устройств, конфискованных у этого картеля в 1995 году, были радиостанции, искажающие голос, видеофоны, обеспечивающие визуальную аутентификацию личности собеседника, и средства для скремблирования передаваемых модемами сигналов (Grabosky and Smith, 1998).

Мы предполагаем, что некоторые террористические группы используют высокочастотную зашифрованную передачу голоса/данных для связи с крупными спонсорами терроризма. Сообщают, что ХАМАС использует шифрование Интернет-коммуникаций для передачи карт, снимков и другой информации, необходимой для террористических атак. Служба безопасности Израиля утверждает, что большая часть данных передается во всемирный центр ХАМАС, находящийся в Великобритании (IINS, 1997).

Проблемы с совместимостью и цена в несколько сотен долларов за одно устройство для шифрования телефонных разговоров, обеспечивающее надежную защиту, наверное, немного снизили распространение таких устройств среди преступных группировок. Однако падение цен и распространение Интернет-телефонии могут добавить проблем правоохранительным органам. Преступники могут обмениваться голосовыми сообщениями через Интернет, платя за это мало или вообще бесплатно. Этот удар по обеспечению правопорядка, однако, может быть компенсирован появлением цифровых мобильных коммуникаций. Радиосигнал шифруется при прохождении между мобильным устройством и главной станцией, где коммуникации становятся доступными для перехвата. Далее сообщения передаются в исходном виде (или частично зашифрованными при прохождении радиорелейных или спутниковых каналов), что делает возможным их санкционированный судом перехват на коммутаторах. Цифровые мобильные коммуникации дают пользователям возможность защищать локальные коммуникации даже в том случае, если вторая сторона, принимающая участие в разговоре, использует телефон без шифрования или с несовместимым методом шифрования. Преимущество такого метода передачи сообщений для правоохранительных органов заключается в том, что незашифрованный текст можно перехватить на главной станции или коммутаторе. Несмотря на существование мобильных устройств, обеспечивающих шифрование на всем пути сообщения, эти устройства более дорогостоящие и должны использоваться обеими сторонами.

Хакеры используют шифрование для защиты от перехвата коммуникаций в lRC-каналах. Они также устанавливают свое программное обеспечение для шифрования на компьютеры, в которые им удается проникнуть. Эти программы впоследствии используются для установления безопасной связи между компьютером хакера и взломанной машиной. Это усложняет, но не останавливает ведение расследований.

Расследуя дела о педофилии и детской порнографии, органы правопорядка несколько раз сталкивались с шифрованием электронной почты и файлов, в том числе в общенациональном расследовании ФБР «Невинные картинки». В большинстве случаев подозреваемые использовали программу PGP. PGP основана на традиционной криптографии для шифрования файлов и обмене открытыми ключами. Следователи полагают, что подозреваемые в педофилии и распространении детской порнографии отдают предпочтение PGP, поскольку в основном они являются образованными, технически подкованными и хорошо знающими Интернет пользователями. PGP доступна в Интернете, откуда эти люди могут бесплатно ее скачать. Следователи, однако, утверждают, что большая часть распространяемой в Интернете детской порнографии не зашифрована.

Известен случай, когда хакер использовал шифрование электронной почты для продажи номеров кредитных карт, украденных им у Интернет-провайдера и двух других компаний, занимающихся бизнесом в Сети. По словам директора по публикациям Института

компьютерной безопасности Ричарда Пауэра, Карлос Фелипе Сальга-до завладел более чем сотней номеров кредитных карт, взламывая компьютеры с учетной записи Калифорнийского университета в Сан-Франциско, к которой ему удалось получить несанкционированный доступ. С помощью широко распространенных у хакеров инструментов он использовал уязвимости в системе безопасности для обхода брандмауэров, шифрования и других мер предосторожности. Хвастаясь своими подвигами в IRC, Сальгадо, известный также под псевдонимом SMAK, сделал ошибку, предложив купить награбленное человеку, с которым познакомился в Интернете. Онлайновые переговоры он вел посредством зашифрованной электронной почты, а первоначальную оплату получил анонимным банковским переводом Western Union. Незаметно для себя он попал в ловушку ФБР. Сделав две выплаты и проверив достоверность номеров карт, агенты ФБР договорились с Сальдаго о встрече в аэропорту Сан-Франциско. Сальдаго был готов обменять номера кредитных карт на 260 тысяч долларов. На встречу он прибыл с зашифрованным CD-ROM-диском, содержащим около ста тысяч номеров кредитных карт, и бумажной копией «Последнего дона» Марио Пьюзо. Ключ для дешифрования состоял из первых букв всех предложений первого абзаца на 128-й странице книги. Сальдаго был арестован и отказался от претензий. В июне 1997-го ему были предъявлены три пункта обвинения в мошенничестве с использованием компьютера и два пункта обвинения в торговле украденными кредитными картами. В августе он был признан виновным по четырем из пяти пунктов. Если бы он не был пойман, потери для компаний, продающих товары по кредитным картам, могли бы составить от 10 до 100 миллионов долларов (Power, 1997).

Нам известен еще один случай, когда террористическая группа, совершавшая покушения на фирмы и государственных чиновников, использовала шифрование, чтобы скрыть передаваемые сообщения. Власти, перехватив сообщение, не могли расшифровать его, однако они провели анализ траффика, чтобы выяснить, кто и кому посылал сообщения. Позднее они обнаружили на конфискованном компьютере ключ, но для этого им пришлось сломать дополнительные уровни шифрования, архивацию и парольную защиту. По их словам, дешифрованные сообщения были крайне полезны для следствия. Мы также получили анонимное сообщение об использовании PGP террористической группой для шифрования электронной почты.

Во многих уголовных делах документы и другие бумаги, найденные у подозреваемого, являются наиболее важными для обвинения доказательствами. Все чаще такие документы хранятся в электронном виде на компьютерах. Компьютеры сами по себе доставляют большие затруднения правоохранительным органам, криптография же только усугубляет ситуацию.

ФБР обнаружило зашифрованные файлы в ноутбуке Рамзи Юсефа, члена международной террористической группы, ответственной за взрыв во Всемирном торговом центре в 1994 году и взрыв авиалайнера компании Manila Air в конце 1995 года. После успешного дешифрования выяснилось, что файлы содержат информацию, касающуюся планов взрывов одиннадцати американских авиалайнеров на Дальнем Востоке (US Congress, 1997а). Хотя в незашифрованных документах также содержалось большое количество важной информации, это дело демонстрирует потенциальную угрозу шифрования для общественной безопасности в случае, когда властям не удастся получить сведения о готовящейся атаке, тем более что многие преступники все еще на свободе.

Успешное дешифрование электронных документов может быть очень важно при проведении расследований. Так, например, было в случае, когда японские власти конфисковали компьютеры секты Аум Синрикё, ответственной за отравление газом в токийском метро в марте 1995 года, в результате которого погибли 12 человек и более шестисот пострадали (Kaplan and Marshall, 1996). Секта хранила в компьютерах документы, зашифрованные RSA, и властям удалось их расшифровать только после того, как на дискете были найден ключ. По словам властей, зашифрованные файлы содержали доказательства, сыгравшие огромную роль в расследовании, в том числе планы использования оружия массового уничтожения в США и Японии.

В деле Аум Сенрикё властям посчастливилось найти дискету с ключом. В большинстве же случаев подозреваемые сами предоставляют ключи правоохранительным органам. Например, полицейское управление Далласа столкнулось с зашифрованной информацией при расследовании дела о крупном наркосиндикате, занимавшемся продажей экстази в нескольких штатах. Член синдиката, находившийся в районе, на который распространялась юрисдикция управления, зашифровал свою адресную книгу. Он предоставил пароль, позволив полиции дешифровать файл. Междутем подозреваемый был выпущен под залог и предупредил сообщников, поэтому дешифрованная информация оказалось не такой полезной, какой могла бы. Детектив, ведший расследование, сказал, что работал над делами о наркотиках 10 лет, но с шифрованием столкнулся впервые —до этого ему вообще очень редко приходилось иметь дело с компьютерами. Он отметил, что торговцы экстази разбирались в компьютерах лучше, чем торговцы другими наркотиками, скорее всего потому, что были моложе и лучше образованны. Они осуществляли продажи через Интернет, но не шифровали электронную почту. Детектив также упомянул о том, что крупные наркоторговцы не шифруют телефонные звонки. Вместо этого чтобы уйти от закона, они меняют телефоны (мы затронем тему клонирования телефонов позже) (Manning, 1997) [58] .