В последние годы «защита безопасности граждан» стала одним из главных аргументов правоохранительных органов в общении с представителями IT-сектора. Именно это требование вынуждает представителей почтовых сервисов, мессенджеров, производителей смартфонов идти на контакт с властями и раскрывать данные о пользователях. Однако случаются эксцессы — так, основатель мессенджера Telegram Павел Дуров отказался предоставить ФСБ ключи шифрования. В адрес Telegram неоднократно звучали обвинения, что приложением пользуются террористы, а на фоне блокировки мессенджера дискуссия о праве граждан на частную переписку активизировалась. Однако пример ИГ свидетельствует, что не Telegram’ом единым живут боевики: они действуют куда грамотнее и работают на опережение правоохранителей. Какими инструментами в действительности пользуются террористы и как стоит бороться с цифровыми технологиями боевиков?
Разным целям — разное «оружие»
Успехи боевиков ИГ во многом объясняются блестящей пропагандистской работой. В зависимости от целей боевики прибегали к разным инструментам для пропаганды, вербовки и коммуникации между членами группировки. Пропаганда включает все распространенные инструменты: видеоролики, онлайн-журналы, радиостанции, брошюры и плакаты, рассчитанные как на арабоязычную, так и на западную аудитории.
Западные сервисы сыграли против западного общества злую шутку — пропагандистские видеозаписи, например, один из самых популярных роликов — «Салил ас-саварим» («Звон мечей»), распространялись на YouTube и в Twitter, а также на специальных сервисах и файлообменниках, таких как archive.org и justpaste.it. Администрация YouTube неоднократно удаляла эти видео, но их загружали с новых аккаунтов и «накручивали» количество просмотров благодаря репостам в Twitter. Использование Twitter в этих целях подробно рассмотрено в монографии «Twitter и джихад: коммуникационная стратегия ИГ», вышедшей в 2015 г. По словам бывшего советника по национальной безопасности Ирака Муваффака аль-Рубаи, во многом благодаря Twitter и Facebook 30 тыс. солдат иракской армии бросили оружие, сняли с себя военную форму и без боя оставили джихадистам Мосул в 2014 г. [1].
В ИГ учитывали ошибки предшественников-джихадистов и умело противопоставляли свою пропаганду попыткам иностранной прессы сформировать о нем негативное мнение. Однако на глубинном, «внутреннем» уровне боевики используют другие, более надежные инструменты коммуникации, чем соцсети.
Сетевые анонимы
В сентябре 2017 г. политолог, сотрудник некоммерческой ассоциации RAND и Международного центра борьбы с терроризмом в Гааге Колин П. Кларк предположил, что ИГ, скорее всего, продолжит использовать зашифрованные сообщения для организации прямых террористических атак за рубежом, даже если халифат превратится в «менее централизованное образование».
Однако террористы прибегают к подобным инструментам уже давно. В начале 2015 г. стало известно, что ИГ разработало 34-страничное руководство по обеспечению безопасности связи. Документ, опирающийся на мануал кувейтской фирмы по кибербезопасности, появился на форумах джихадистов. В документе были перечислены и наиболее пригодные для использования приложения. Например, Mappr — инструмент, позволяющий изменять данные о местоположении человека на фотографиях. Похожие цели помогает достичь приложение Avast SecureLine, благодаря которому можно маскировать настоящий IP-адрес пользователя — вместо Сирии указать точкой доступа ЮАР или Аргентину.
Джихадисты советовали использовать в качестве почтовых сервисов неамериканские компании, такие как Hushmail и ProtonMail. Гендиректор Hushmail Бен Катлер в комментарии Tech Insider признал, что фирма фигурирует в инструктаже, но добавил: «Широко известно, что мы в полной мере и оперативно сотрудничаем с властями, которые проводят доказательства по действующим правовым каналам». В свою очередь, гендиректор Proton Technologies AG Энди Йен напомнил, что помимо ProtonMail, террористы также используют Twitter, мобильные телефоны и арендуемые автомобили. «Мы не можем запрещать все, что использует ИГ, не нарушая демократию и наш образ жизни», — подчеркнул он.
Для телефонных звонков мануал рекомендовал использовать такие сервисы, как немецкие CryptoPhone и BlackPhone, гарантирующие безопасные сообщения и голосовую связь. Сервисы FireChat, Tin Can или The Serval Project обеспечивают коммуникацию даже без доступа к Интернету, например, за счет использования bluetooth. Рекомендованные террористами программы VeraCrypt и TrueCrypt позволяют шифровать файлы от доступа сторонних пользователей. Гендиректор Idrix (производитель VeraCrypt) Мунир Идрасси признал: «К сожалению, программное обеспечение для шифрования, такое как VeraCrypt, использовалось и будет использоваться плохими парнями, чтобы скрыть свои данные». Наконец, в документе упоминается и мессенджер Павла Дурова — Telegram.
По причине массированной информационной кампании именно за Telegram закрепилась неофициальная «черная метка» мессенджера для террористов. Не последнюю роль в этом сыграли зарубежные политики. Так, за три дня до нападения на берлинскую рождественскую ярмарку в декабре 2016 г. старшие члены Комитета по иностранным делам Палаты представителей призвали Дурова немедленно предпринять шаги по блокированию контента ИГ, предупреждая, что террористы используют платформу не только для пропаганды, но и для координации атак. Более того, Майкл Смит, советник Конгресса США и соучредитель Kronos Advisory, утверждает, что Telegram для общения с журналистами и распространения новостей для своих последователей использовала Аль-Каида. На этом фоне Telegram отчитался о блокировке 78 каналов, использовавшихся террористами. Именно интерес и давление властей обернулись тем, что боевики начали искать замену этому мессенджеру.
Мониторинг безопасности
Представители Telegram неоднократно утверждали, что мессенджер является самым безопасным в мире благодаря использованию end-to-end-шифрования. Однако это по меньшей мере лукавство: end-to-end-шифрование используется только в секретных чатах, но и они имеют явные недостатки, на которые указали в своей статье «О криптографической стойкости сквозных защищенных соединений в мессенджере WhatsApp и Telegram» Сергей Запечников и Полина Кожухова [2]. В частности, благодаря уязвимости сети SS7, проявляющейся при авторизации через СМС, возможно получить доступ к чатам. Секретные чаты взломать невозможно, но можно инициировать любой чат от имени жертвы. Во-вторых, разработчики нарушили один из главных принципов криптографии — не изобретать самостоятельно новых протоколов, если уже имеются протоколы с доказанными оценками стойкости, решающие те же задачи. В-третьих, использование обычного «числового» протокола Диффи-Хеллмана и необеспечение безопасности метаданных, благодаря чему на сервере можно отследить факт передачи сообщений, добавить в адресную книгу любой номер телефона клиента мессенджера и узнать время появления человека в Сети.
На этом фоне WhatsApp выглядит надежнее, т.к. использует end-to-end-шифрование для всех чатов и обеспечивает выработку общего секретного ключа с помощью протокола Диффи-Хеллмана на эллиптических кривых. Многие террористы прибегают к этому мессенджеру. В мае 2015 г. в блоге «Жизнь Мухаджиры», принадлежащем женщине, рассказывающей о путешествии с мужем в Германию, автор рассказала, что, находясь в Турции, ее супруг связывался с контрабандистами по WhatsApp.
В монографии «Hacking ISIS: how to destroy the cyber jihad» Malcolm W Nance; Chris Sampson; Ali H Soufan авторы приводят историю Абдеррахима Моутахаррика, планировавшего нападение на миланскую синагогу и собиравшегося сбежать после в Сирию. При координации теракта он использовал WhatsApp. Итальянская полиция вычислила преступника по голосу после отправки аудиосообщения.
Однако к WhatsApp джихадисты относятся скептически — и не только из соображений безопасности. В январе 2016 г. сторонник джихада, эксперт по безопасности Аль-Хабир аль-Такни опубликовал обзор 33 приложений для смартфонов, разделив их на «безопасные», «умеренно безопасные» и «ненадежные». WhatsApp оказался в хвосте рейтинга. Аргументируя мнение, эксперт напомнил, что мессенджер приобретен «израильской компанией Facebook» (WhatsApp был куплен компанией Марка Цукерберга в 2014 г. за 19 млрд долл., мессенджер насчитывает 1 млрд пользователей по всему миру).
На фоне претензий к Telegram и WhatsApp и по мере ужесточения законодательства террористы озаботились созданием собственного приложения. В январе 2016 г. группа Ghost, специализирующаяся на борьбе с терроризмом, обнаружила в Сети мессенджер, созданный боевиками, — Alrawi. Это приложение для Android нельзя скачать в Google Play — оно доступно в темных сегментах Сети. Alrawi пришло на смену приложения Amaq — мессенджера, предоставляющего доступ к потоку новостей и пропагандистских роликов, в том числе кадрам казней и видео с полей битвы. Но, в отличие от Amaq, Alrawi имеет законченное шифрование. В отчете Ghost отмечалось, что после того, как американские беспилотники летом 2015 г. уничтожили видного специалиста по кибербезопасности Джунаида Хусейна, эффективность «киберхалифата» резко снизилась. «В настоящее время они представляют небольшую угрозу для западного общества с точки зрения нарушения данных, однако это может измениться в любое время», — отметили представители хакерской группы в разговоре с Newsweek.
Игра на опережение
Джихадисты, как и хакеры, зачастую оказываются на шаг впереди властей и очень внимательно следят за последними технологическими новинками. Габриэль Вейманн, профессор Университета Хайфы в Израиле и крупнейший исследователь интернет-экстремизма в мире, отметил, что в целом террористические группы являются первыми пользователями новых онлайн-платформ и сервисов. Поскольку социальные медиа-компании отстают в борьбе с экстремизмом на своих платформах, террористические группы становятся все опытнее в изменении собственных коммуникационных стратегий. «Кривая обучения сейчас очень быстрая, когда-то им потребовались годы, чтобы адаптироваться к новой платформе или медиа. Теперь они делают это в течение нескольких месяцев», — сказал Г. Вейманн.
Эти слова находят серьезное подтверждение: у каждого популярного сервиса — WhatsApp или Telegram — имеются альтернативы, к которым джихадисты охотно прибегают. В упомянутой выше монографии «Hacking ISIS: how to destroy the cyber jihad» авторы перечисляют десятки других сервисов, которыми пользуются джихадисты. Например, «любимое» приложение Эдварда Сноудена Signal имеет открытый исходный код, надежно шифрует информацию и позволяет обмениваться сообщениями и звонками с абонентами из своей телефонной книги. Signal спонсируется сообществом и за счет грантов. По сообщениям индийских властей, член ИГ Абу Анас использовал Signal как защищенную альтернативу WhatsApp . Другое решение — выпущенный в 2014 г. мессенджер Wickr, созданный группой специалистов по кибербезопасности и приватности. Именно это приложение первым позволило назначать «время жизни» сообщения — от нескольких минут до нескольких дней. Wickr уничтожает сообщения не только на смартфонах, телефонах и компьютерах, но также и на серверах, через которые происходит переписка. В программе есть функция полного стирания всей истории, после использования которой сообщения нельзя восстановить никакими средствами. Австралиец Джейк Биларди увидел сообщение о призыве в ИГ в Telegram и должен был связаться с вербовщиком в Wickr, но его вовремя задержали.
В исследовании также упоминаются SureSpot, Viber, Skype и шведский мессенджер Threema. Последнее приложение заслуживает отдельного внимания — Threema получила 6 из 7 возможных баллов по безопасности от Electronic Frontier Foundation (Фонда электронных рубежей — некоммерческой правозащитной организации, созданной в США с целью защиты заложенных в Конституции и Декларации независимости прав в технологичную эпоху). Джихадисты также назвали «предпочтительным приложением» мессенджер Silent circle. Узнав об этом, разработчики ужесточили требования безопасности. К этому подтолкнул и тот факт, что одним из создателей является бывший морской офицер Майк Джанке. Теперь Silent circle сотрудничает с правительствами и разведывательными агентствами. Но этим список не ограничивается — Джунаид Хусейн также использовал SureSpot и Kik.
Но если приложения в первую очередь используются на смартфонах, для ноутбуков и ПК предпочтительнее другие программы, к которым охотно прибегают как специалисты по ИБ, так и джихадисты; например, браузер Tor или T.A.I.L.S (The Amnesic Incognito Live System) — дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Все исходящие соединения T.A.I.L.S заворачиваются в сеть Tor, а все неанонимные — блокируются. Система не оставляет следов на устройстве, на котором использовалась. T.A.I.L.S. использовал Эдвард Сноуден для разоблачения PRISM — госпрограммы США, цель которой — массовый негласный сбор информации, передаваемой по сетям электросвязи.
Можно заключить, что в распоряжении боевиков находится огромное количество инструментов коммуникации в зависимости от преследуемых ими целей. Запрет или блокировка этих инструментов не обеспечит победы над террористами, хотя отказываться от этих методов также не стоит. Куда более предпочтительный способ, к которому в действительности стоит прибегать, — это внедрение агентов в ряды террористов с постоянным мониторингом как сетевой, так и оффлайн-активности.
1. Майкл Вайс, Хасан Хасан: «Исламское государство: армия террора», АНФ, Москва, 2016г.
2. Сергей Запечников, Полина Кожухова «О криптографической стойкости сквозных защищенных соединений в мессенджера WhatsApp и Telegram»: НИЯУ МИФИ, «Безопасность информационных технологий», Том 24, №4, 2017