Один из самых популярных сериалов уходящего года – “Мистер Робот” – рисует историю ярких и харизматичных хакеров, которые жаждут восстановить в мире справедливость. В жизни хакеры зачастую менее романтичны, чаще занимаются бот-сетями, взломами и в целом – зарабатыванием денег. Сериалов о людях, которые хакеров выслеживают и ловят, почти не снимают, редакция AIN.UA решила частично наверстать упущенное. Мы пообщались с главой украинской Киберполиции, полковником полиции Сергеем Демедюком. Его ведомство за последний год не раз создавало громкие новости – от закрытия FS.TO и до задержания организаторов крупнейшей бот-сети.
Как бы вы оценили результаты работы ведомства за год?
Удовлетворительно, даже отлично. Во время переаттестации и реформирования мы потеряли некоторое количество штата, сейчас у нас 186 оперативников, до реформы было 220. Мы стараемся предотвращать и раскрывать преступления на том же уровне, что и раньше.
С какими преступлениями сталкиваетесь чаще всего?
Около 70% заявлений – это обращения по мошенничеству. Мошенничество – это общеуголовное преступление, но учитывая специфику мошенничества в онлайне, все заявления граждан, вроде обмана с продажей товаров на OLX, поступают к нам.
Расскажите о недавней масштабной операции по закрытию бот-сети Avalanche.
Эта сеть состояла из нескольких бот-сетей в каждой стране. Общее количество зараженных компьютеров сложно подсчитать, это сотни миллионов: каждый день заражалось от 500 000 до 1 млн новых устройств. Кстати, мы планируем запустить страницу, где можно будет проверить, заражен ваш компьютер или нет.
Она распространяла вирусы, которые блокировали компьютеры на базе Windows. Один из таких вирусов возник еще в 2014 году, маскируясь под сообщение Киберполиции, мол, вы заходили на сайты, запрещенные к распространению в Украине, вам нужно заплатить штраф. Обычно подобные вирусы распространяются на порносайтах, на сайтах с оружием, наркотиками, поэтому пользователи пугались и платили.
Эта операция готовилась и проходила долго, немецкие коллеги начали расследование в 2012 году, нас подключили с 2014 года, когда оказалось, что сеть администрируют с территории Украины. Мы прошли очень сложный путь документирования, чтобы установить тех, кто ею занимался. Один из администраторов, находясь в Украине, использовал прокси, VPN в 60 странах, чтобы спрятать свой след. Другой, задержанный в Киеве, сам разработал криптографию, с помощью которой группа скрывала следы деятельности. Нам удалось перехватить и взломать ее.
Что ждет задержанных?
Только ущерба крупным компаниям в Германии насчитали на 6 млн евро, во всем мире – более 100 млн евро. Подсчитать, сколько денег потеряли обычные пользователи, не представляется возможным. Конвертационный центр, который обеспечивал им легализацию средств, имел ежедневный оборот в районе $1 млн. Даже по тем статьям, по которым руководители группы подозреваются у нас, им грозит до 12 лет.
Ранее СМИ сообщили, что задержанный организатор ботнета Avalanche сбежал после того, как суд в Полтаве отказался его арестовывать, это правда?
Без комментариев.
Сколько времени шло расследование по FS.TO?
На первый взгляд кажется, что закрыть сайт – очень легко. Сам сайт на виду. Но установить, кто за ним непосредственно стоит, кто получает деньги – сложно. Сама конфигурация маршрута контента – это уже головоломка. За весь этот период мы пытались выявить владельца и администратора данного ресурса.
Все это время мы выслушивали и от иностранных, и от локальных правообладателей много критики о том, что сайт работает, а мы ничего не можем сделать. Но пойти старым путем, закрыть первый попавшийся сервер – это ничего бы не дало, сайт заработал бы на следующий день.
Правда ли, что задержали не всю команду ресурса, кому-то удалось выехать из страны?
Развею эти мифы. Ни один фигурант по этому делу не арестован, да этого и не нужно. Это преступление – не общеуголовное и не общественно опасное. Один из подозреваемых выехал из страны – но уже вернулся, тем более, что ограничений на выезд не было. Это не был побег. Это была скорее попытка раскачать население: мол, часть сбежала, поэтому сайт скоро заработает. Но вся команда сайта сейчас в Украине, сотрудничает со следствием, дает показания, пытается доказать, что работает в правовом поле.
Когда FS.TO выключали в 2013 году, он быстро заработал на другом домене. Были слухи о том, что сайт пользовался покровительством бывших властей.
Да, нас уже спрашивали, поддерживала ли их семья Януковичей. Во время следственных действий мы не обнаружили этому доказательств. Все собственники – граждане Украины, и они все это время не менялись, не передавали частично или полностью право собственности на ресурс.
Сайт может заработать снова?
Эта вероятность есть. Мы изъяли украинские серверы, но их зеркала находятся на территории РФ и в других странах.
Готовятся законопроекты, которые предусматривают процедуру досудебной блокировки сайтов в подобных случаях (речь идет о законе о поддержке кинематографии 3081д – ред.). Но и эта блокировка даст краткосрочный эффект. Мы пытались пойти по пути доменного имени: имя FS.TO будет отобрано, на него будет наложен арест. Но кто им помешает вместо FS.TO взять, например, FS.TV – этот домен в открытом доступе, дешево стоит, и подобных доменов много.
Государство не выделяет нам бюджет, чтобы мы такие имена выкупили, а за рубежом это нормальная практика. На встрече с правообладателями я им предлагал такой выход.
Будете ли следить за запуском зеркал FS.TO?
Нет. Преступления интеллектуальной собственности – это преступления частного обвинения. Пока правообладатель не подаст жалобы, мы не можем начать уголовное разбирательство. Другой вопрос, почему они не начали работу до сих пор. К нам претензий у FS.TO нет. Возможно, они хотят показать: если с ними поступили по закону – они тоже будут играть честно.
Закрытие FS.TO сильно повлияет на уровень онлайн-пиратства в уанете?
Я не имею права этого говорить, как представитель власти, но скажу, как гражданин. Не пираты виноваты в том, что они – пираты. Фактически, к такой ситуации с пиратством приводят сами правообладатели, которые не хотят договариваться с владельцами таких ресурсов.
Давайте будем учить людей платить за контент в онлайне. Но не те суммы, которых хотят правообладатели. Если просмотр фильма стоит $5, для начала продайте его за 5 грн, вы же видите платежеспособность населения и его настроения.
То, что правообладатели требуют невозможного, рождает пиратство. Неспособность договориться между собой рождает пиратство. Отсутствие правил, в частности – документирования и уплаты налогов с рекламы в интернете – рождает такой пиратский бизнес.
Давайте будем учить людей платить за контент в онлайне.
Поверьте, рано или поздно онлайн-пиратство в Украине пропадет. Пираты сами хотят легализоваться – мы видели эти попытки, поскольку документировали деятельность FS.TO около года. Они понимают, что это преступление, понимают, что нарушение закона – это убытки в будущем. Они готовы платить налоги, провайдерам, правообладателям.
Когда закрываются подобные ресурсы, многим пользователям это не нравится. К вам поступают жалобы на этот счет?
Население очень обиделось, что мы закрыли FS.TO. Мне на почту приходят откровенные обвинения: “мол, и так население обеднело, тарифы на ЖКХ увеличили, а тут вы лишили нас не только хлеба, но и зрелищ!”. Но ведь мы просто делали свою работу.
Сейчас мы убрали FS.TO с рынка, EX.UA прекратил деятельность. Мы анализировали перераспределение трафика: их место занимают не MEGOGO, OLL.TV или другие украинские ресурсы, а российские сайты, тот же «ВКонтакте».
Место FS.TO и EX.UA по трафику занимают российские сайты с антиукраинской агитацией.
Но ведь лучше, если у нас будут работать собственные контент-провайдеры, чем сайты РФ, которые мы никак не можем контролировать. А ведь российские сайты не только показывают и продают незаконный контент, но еще и распространяют антиукраинскую агитацию.
Кстати, именно об этом шла речь в одном из писем: пользователь жаловался на то, что два года назад уговорил внучку удалиться из «ВКонтакте», но после закрытия FS.TO она снова там зарегистрировалась, ведь там можно смотреть фильмы. Так и написал: Сергей Васильевич, что же вы наделали?
Вы говорите, что не можете контролировать сайты РФ. Возможна ли ситуация, когда вы по закону обязаны блокировать или ограничивать российские сайты, тот же «ВКонтакте» или Rutracker?
У нас сейчас нет законодательной или технической возможности блокировать такие ресурсы, даже если к нам обратится правообладатель с жалобой на нарушение авторских прав. Их серверы находятся на территории РФ, компании входят в юрисдикцию этой страны, так что в этом случае правильно было бы использовать другие рычаги влияния – финансовые, уголовно-процессуальные и т.д. Но это возможно только в рамках международного взаимодействия, которое в отношении РФ сейчас не работает.
После блокировки FS.TO представители EX.UA также объявили о закрытии своего ресурса. Будете ли преследовать их? Есть ли на них жалобы правообладателей?
Мы ведем переговоры со всеми, кто причастен к деятельности EX.UA. На данный момент у нас нет оснований блокировать его и изымать оборудование, как у FS.TO. Контент на EX.UA размещает не администрация сайта, а пользователи. Поэтому предъявлять ресурсу претензии за само преступление мы не можем, разве что за пособничество.
Как я уже говорил, закрытие FS.TO вызвало у населения сильную негативную реакцию. Я за то, чтобы они начали договариваться. Правонарушитель должен понести наказание, компенсировать ущерб, но в дальнейшем нужно дать ему возможность обелиться и действовать в правовом поле.
Правда ли, что правообладатели представили Киберполиции список пиратских площадок? Есть ли там известные сайты и будут ли они закрыты?
Киберполиция постоянно сотрудничает с правообладателями, мы подписали меморандум, создали рабочую группу, обмениваемся опытом о том, как следует бороться с пиратством. Как результат такого сотрудничества был закрыт тот же FS.TO. Верно, что правообладатели передали нам список пиратских сайтов, это – очень большой перечень ресурсов, но он непубличен и должен таким оставаться. Если мы опубликуем его, фактически это будет рекламой сервисов, нарушающих закон.
Где сами смотрите фильмы в онлайне?
Через официальный магазин Apple. И детей к этому приучаю. Я часто езжу за рубеж, и привык пользоваться только легальными ресурсами.
Но раньше я, как и все, смотрел фильмы на пиратских сайтах, потому что альтернатива – неудобная. Для примера, если вы хотите посмотреть программу ТВ-канала, с официального сайта это возможно только в центре города, где хороший 3G, а стоит выехать за город, и уже проблемы с доступом. И тут на помощь приходит FS.TO, который написал плеер так, что даже при очень плохой связи видео отображается качественно. Так почему не запустить качественный плеер с легальным контентом и за разумную цену?
Если говорить в целом о борьбе с пиратством, кто сейчас в Украине занимается преступлениями с пиратским софтом. К примеру, в случаях, когда компания сидит на пиратской Windows – это ваша зона ответственности?
Да, такие нарушения входят в сферу нашей компетенции. Но расследование мы можем начинать только по обращению правообладателя, а если он отзывает жалобу, расследование прекращается. Отмечу, что в ходе расследования таких нарушений правонарушители часто договариваются с правообладателями о компенсации и работе в правовом поле, поэтому расследование прекращается, а дело не доходит до суда.
На презентации Киберполиции в октябре прошлого года шла речь о создании Реестра запрещенных сайтов. В РФ подобная схема работает давно, но часто используется для цензуры и давления на интернет-ресурсы. Будет ли в Украине реализован такой реестр?
Мы обсуждаем такую инициативу, но если такой список и будет создан, он не будет публичным, как в случае со списком Роскомнадзора. В РФ такой список открыт и он фактически является рекламой сайтов-нарушителей для пользователей других стран.
Если такой реестр и появится, он будет открыт для тех сторон, кто может влиять на ситуацию – к примеру, для интернет-провайдеров. Сейчас провайдеры отстраняются от этих вопросов, оправдываясь тем, что только предоставляют транспорт и не обязаны заниматься вопросами контента. Но мне кажется, они должны принимать в этом участие. Когда будет принят закон 3081д, он позволит правообладателю привлекать к ответственности нарушителей напрямую через провайдера, не обращаясь к правоохранителям.
FS.TO прекратил работу, поскольку, по данным Киберполиции, было изъято 60 серверов. Всегда ли нужна такая мера? В Раде рассматривается законопроект, запрещающий изымать серверы при обыске.
Как ни странно, инициатором такой идеи выступили именно мы. В прошлом году после того, как милиция провела ряд изъятий, именно нас почему-то начали обвинять во всех смертных грехах. Мы начали разрабатывать законопроект об изъятиях на базе Минэкономики. Но к сожалению, кто-то эту идею использовал, и не исследуя проблемы, внес в Раду уже готовый проект, полностью запрещающий изъятия.
В кодексе написано дословно «изъять доказательство». Для аналоговых преступлений это работает: вы можете изъять лом, которым взломали замок. Но нельзя изъять вирус, при помощи которого взломали аккаунт
Я бы хотел сказать, что эта идея хорошая. Мы должны снимать копии с тех ресурсов, где не нужно изъятие. Если мы ищем доказательства прохождения трафика, входа/выхода того или иного абонента в сеть, эти данные достаточно скопировать. Но если пользователь хранит незаконный контент, к примеру, детскую порнографию, ее нужно изымать без компромиссов и уничтожать. Такой проект нужен, но категорически запрещать изъятия техники нельзя.
Должен сказать, мы давно пытаемся внести изменения в Уголовный Процессуальный Кодекс, которые бы регламентировали процессуальные действия во время работы с цифровыми доказательствами. Именно нормы УПК порождают изъятия серверов, ведь в кодексе написано дословно «изъять доказательство». Для аналоговых преступлений это работает: вы можете изъять лом, которым взломали замок. Но нельзя изъять вирус, которым взломали аккаунт. Если нам нужно изучить программу или данные о маршрутизации трафика, не обязательно забирать все оборудование с потрохами.
Для нас не проблема снять копию, проблема – где это все хранить. В законопроекте, который мы разрабатывали с Минэкономики, предлагали создать государственный дата-центр. Но это – бюджетные деньги, поэтому наш законопроект и не прошел. Хотя мы вели переговоры с IT-компаниями, которые были готовы инвестировать в такой проект.
В мировой истории киберпреступлений один из самых громких кейсов – закрытие Silk Road – площадки, работавшей в Tor, где продавались наркотики, оружие и т.д. Вся эта история напоминала захватывающий детектив, с работой под прикрытием, фальшивыми документами и т.д. Украинская киберполиция занимается расследованиями в дарк вебе?
Да, у нас много наработок в этой сфере, наши достижения используют правоохранители других стран. Главная сложность в расследовании работы сайтов «черного интернета» в том, чтобы идти по следам и выявлять конечных владельцев. Тем более, что некоторые страны используют dark web в вопросах национальной безопасности. Но нам не раз удавалось распутывать этот клубок и идентифицировать конкретных людей-владельцев ресурсов в «черном интернете».
В США была громкая история противостояния ФБР и Apple. ФБР требовало от компании обойти блокировку iPhone, чтобы получить данные о террористе, затем самостоятельно взломало устройство. Сталкивается ли киберполиция с подобными ситуациями, как они решаются?
С одной стороны, логична позиция компании, которая показывает своим пользователям, что их личные данные под охраной. С другой стороны, правоохранители должны иметь доступ к таким данным во время расследования. Нужно, чтобы законодательно было обосновано создание софта, который позволит обходить подобные блокировки без участия компании-владельца устройства или сервиса.
По нормам УПК, по решению суда во время уголовного преследования или оперативно-разыскных работ украинские компании обязаны предоставлять такие данные. Если речь идет о зарубежных компаниях – они действуют в рамках законодательства своих стран. Но отмечу, что мы не раз обращались с подобными запросами к Google, Facebook, Apple и они, как правило, сотрудничают с нами.
Украина считается одним из самых безопасных мест для хакеров, создателей malware и т.д. К примеру, известный black-hat хакер Weev, по слухам, после освобождения из тюрьмы в США переехал в Украину. Во многих известных хакерских группировках участвовали наши сограждане. Почему Украина так популярна у хакеров?
Украинская судебная практика такова, что хакеры редко получают реальные сроки. В 70-80% случаев санкции не предусматривают реальных мер наказания. Случается, что хакеры продолжают противоправную деятельность прямо во время судебного процесса. Мое личное мнение: на фоне других правонарушений взлом компьютеров и сетей не кажется нашим судьям чем-то слишком серьезным. А безнаказанность порождает дальнейшие преступления.
В то же время, в США и Европе за подобные правонарушения могут присуждать от 12 до 20 лет лишения свободы, в странах Азии – до 50. Мы сейчас работаем над тем, чтобы законодательно ужесточить меры наказания для подобных преступлений. Но, чтобы таких преступлений становилось меньше, должен воплощаться и принцип неотвратимости наказания.
Привлекаете бывших хакеров к расследованиям?
Мы не упускаем возможности использовать знания и умения хакеров в расследовании. Есть преступники, живущие в Украине, которых разыскивают другие страны. Они не могут быть выданы Украиной для отбытия наказания. И мы не можем судить их в Украине, потому что эти страны не передают нам материалы дела. Мы обращаемся к ним за консультациями, и они сотрудничают. В других государствах, том же Израиле, это нормальная практика, почему мы не можем поступать так же в рамках законодательства?
Что нужно сделать, чтобы снизить уровень киберпреступлений, по-вашему?
Одна из глобальных проблем: крайне низкая осведомленность населения о таких угрозах. Мы регулярно выкладываем правила безопасности для интернета, но их ведь никто не читает. Да что там говорить, на каждом банкомате нельзя снять денег, чтобы не прочесть, что свой PIN-код сообщать никому нельзя. И тем не менее, у мошенников прекрасно получается выуживать PIN, CVV2 и другие личные данные у доверчивых пользователей через email, по телефону.
Это – вина нашей образовательной системы. Регулярно спрашиваю своих детей: чему сейчас учат на информатике? Оказывается, что на культуру пользования интернетом на уроках вообще не обращают внимания.
Сейчас почти у каждого есть устройство с подключением к интернету. Поэтому нужно рассказывать всем – от маленького ребенка до взрослого студента – что киберпространство – это не только информация, комфорт и оперативность, но и преступление, опасности, утрата личной информации.