Даркнет: Производство и Контроль Преступности

После проведения операции «Onymous» годом ранее и закрытия множества onion-сайтов дарквеб впал в турбулентность — маркеты, не тронутые полицией, добровольно и внезапно закрывались, прихватывая с собой «крипту» пользователей с эскроу-счетов. Иные маркетплейсы и вовсе создавались с изначальной целью совершить exit scam. Массы пользователей, напуганные операцией спецслужб в 2014-ом, еще больше отдалялись от даркнета из-за возросшего объема мошенничества на его просторах. Если ранее им приходилось быть внимательными из-за рисков столкновения с полицией, то отныне более существенной угрозой стала вероятность хищения средств у обитателей даркнет-маркетов, администраторы которых могли закрыть свой ресурс в любой момент.

В декабре 2014-го года запустился AlphaBay Market. Причиной роста популярности маркетплейса выступала банальная стабильность его существования. Одного этого фактора хватило, чтобы в середине 2015 года признать AlphaBay самым большим даркнет-маркетом из когда-либо существовавших на тот момент. В октябре 2015-го года на AlphaBay было зарегистрировано более 200 000 учетных записей. На момент закрытия подсчет аккаунтов перевалил отметку в 400 000.

В 2015-ом AlphaBay также нередко появлялся в новостях: в марте общественность обнаружила, что на маркетплейсе продавались данные аккаунтов пользователей Uber; в октябре на маркете предлагались украденные данные крупной британской телекоммуникационной компании TalkTalk — хакером, похитившим информацию, являлся 15-ти летний юноша. Таким образом, даркнет все еще не утрачивал своей актуальности и медийности. Говорить о «конце даркнета» не приходилось.

В предыдущей статье мы уже проанализировали изменения в сфере знания о даркнете за 2015-ый год и указали, что в настоящем очерке данный год будет рассматриваться сквозь призму практического применения стратегических киберполицейских мероприятий. Данное разграничение проведено нами намеренно, потому что и полицейская власть разделилась: первое деление относилось к противодействию даркнет-маркетам. Оно присматривалось к доктрине 2015-го года — научным разработкам в сфере криминологии и криминалистики, предлагавшим инновационные прикладные методы развертывания оперативно-следственных стратегий в информационных сетях. Поэтому в течение периода с 2015-го по 2016-ый не происходило каких-либо громких арестов администраторов даркнет-маркетплейсов с закрытиями сайтов. Или каких-нибудь более тихих уголовных преследований, на которые нам необходимо было бы обратить внимание в связи с целями нашего исследования. Правда, в 2016-ом году потихоньку началась развертываться операция по закрытию AlphaBay и аресту владельца маркета, но основные действия совершались спецслужбами именно в 2017-ом году — об этом в следующей статье цикла.

Второе деление относилось к силам противодействия «детским материалам», а потому оно особо не рефлексировало над неудачами закрытия Silk Road и проведения операции «Onymous» — на момент 2015-го года правоохранительные органы, борющиеся против «детских» сайтов, выглядели организованней и эффективней своих коллег из «отделов даркнет-маркетов». Этому делению не была интересна вся эта теория, хлынувшая в 2015-ом: у ФБР за плечами имелось несколько успешных операций по закрытию дарквеб-сайтов с фото- и видеоматериалами насилия над детьми. В процессе каждой операции Бюро овладевало сервером, на котором хостился сайт, и проводило мероприятия по деанонимизации пользователей ресурса. Наработки данной стратегии, отразившиеся в публикациях 2015 года, будут применяться коллегами из «отдела даркнет-маркетов» аж в 2017-ом году. Поэтому «детские» отделы показывались явно прогрессивней «наркотических».

Но подход 2017-ого года будет включать в себя работу над ошибками зазнавшихся в 2015—2016 гг. борцов против «детских» материалов в даркнете. Их проблема состояла в том, что громоздкий массив юриспруденции попросту не поспевал за пылким гением разработки тактики оперативных мероприятий. Мы помним, как правоохранительные органы сталкивались с правовыми барьерами при закрытии Silk Road и аресте Росса Ульбрихта: спецслужбы (за исключением некоторых своих представителей) сторонились любых ситуаций, которые казались пресечением закона, ведь все доказательства, добытые при совершении противоправных действий, были бы запросто отбиты защитой, что привело б к развалу дела против Ульбрихта. Органы так этого боялись, что не могли нормально выполнить даже свои нормальные и «легальные» обязанности.

Как покажут 2015-ый и 2016-ый годы, у отрасли полицейской власти, противодействующей «материалам», имелась полностью противоположная тенденция — органы совсем не стеснялись входить в серое правовое поле и переступать закон, когда это представлялось им необходимым. Одна из причин такого обстоятельства на тот момент — недостаточная проработанность осуществления криминалистических мероприятий с точки зрения именно правового массива.

Оперативные органы всех стран имеют свои инструкции по осуществлению оперативно-розыскных мероприятий — обычно они скрыты от общественности, а то и вовсе являются объектом государственной тайны. И регулирование того самого «внедрения» там вполне полно представлено. Однако, мы понимаем, что по состоянию на 2015-ый год нормативно-правовая база едва ли была готова к тем особенностям осуществления «внедрения» (или иных оперативных мероприятий), которые развертываются при отправлении полицейской власти в цифровой среде — уж тем более в такой ее части как даркнет. И даже более того — первые именно юридические работы по данной тематике появятся после нашумевшего дела о закрытии onion-сайта Playpen.

Playpen — onion-сайт, на котором распространялись «эротические» фотографии и видеозаписи с малолетними. Работал в период с августа 2014 по март 2015 г. На момент его закрытия сайте было зарегистрировано более 215 000 пользователей, а количество единиц «материалов» (фото и видео в совокупности) перевалило за 23 000. Владелец сайта — 58-ми летний Стивен Чейс — был задержан 19 февраля 2015 года. Впоследствии получил 30 лет лишения свободы.

Однако внимательный читатель уже успел заметить — Чейса арестовали в феврале, а Playpen закрылся в марте. В связи с чем же было допущено такое промедление? Неужели арест администратора сайта не привел к паническим настроениям среди пользователей? Не произошло ли массового оттока юзеров? Не закрыли ли правоохранители пустой сайт-зомби?

Никто на сайте об аресте администратора не узнал. Оттока не произошло. С 20 февраля по 5 марта 2015 г. на Playpen все шло своим привычным чередом — около 100 000 пользователей посетили сайт в этот период. Никто и подумать не мог, что onion-ресурс администрировался силами ФБР. Силовики вели сайт с «детскими материалами» в течение двух недель.

И как усматривается из материалов дела — сотрудники ФБР даже улучшили структуру сайта за время своего владения им.

В декабре 2014-го года некий (не указанный в документах уголовного дела) иностранный правоохранительный орган проинформировал ФБР о том, что сервер, на котором располагался сайт Playpen, имеет ошибки в настройке, вследствие чего происходит «утечка» IP-адреса. Бюро быстро установило, что тот самый сервер находится во владении абсолютно легальной компании Centrilogic в Северной Каролине. ФБР получила ордер на конфискацию сервера и реквизицию сайта Playpen, после чего сотрудники спецслужб перевели хостинг onion-ресурса на свой сервер в Вирджинии.

Между делом был арестован владелец Playpen. Как указал агент ФБР Дэн Алфин, это было абсолютно тривиальной рутиной: получив IP-адрес, фбровцы получили ордеры на исследование имейлов и последовали за движением средств. После задержания владельца сайта силовики решили не закрывать сайт сразу…

Спецслужбы применили NIT (Network Investigative Technique) — метод сетевого расследования. Под него попадал любой, кто заходил на домашнюю страницу Playpen, авторизовывался или регистрировался на сайте. С помощью NIT удалось идентифицировать IP-адресы более 1 300 посетителей onion-ресурса, аресты некоторых из них последовали незамедлительно. ФБР запустило эксплойт, с помощью которого заражались компьютеры пользователей onion-сайта. Заражение было также возможно в связи с использованием уязвимости браузера Tor.

С точки зрения экспертов в сфере кибербезопасности NIT — банальная вредоносная программа. А наименование «NIT» — нравственно-нейтральный ярлык хакерского подхода ФБР. Представляется, что NIT состоял из следующих элементов:

 — генератор, создающий уникальный идентификатор для каждого развертывания и отвечающий за доставку этого идентификатора, эксплойта и данных на целевой компьютер. Уникальный идентификатор использовался для того, чтобы связать конкретного пользователя сайта с информацией, которая в конечном итоге была получена из полезной нагрузки;

 — эксплойт, который использовал уязвимость в браузере пользователя, вследствие чего предоставлялся доступ к устройству пользователя;

 — полезной нагрузки, направленная на копирование информации с устройства пользователя с последующей отправкой ее ФБР в незашифрованном виде и без аутентификации через Интернет. В контексте «вредоносов» полезная нагрузка — часть вредоносной программы, которая выполняет заданные ей действия, оказывая влияние на затронутые системы. В случае NIT-атаки на Playpen полезная нагрузка была разработана и использовалась с целью сбора идентифицирующей информации с компьютеров и передачи ее на компьютеры правоохранительных органов.

В действительности использование NIT в операции Pacifier было крупной государственной хакерской атакой. И несмотря на валидность мнения о том, что в ситуации борьбы против «детских» материалов подобное мероприятие можно считать оправданным, полицейская власть все же пробиралась за черту не поспевающего за ней закона. Что вылилось в череду проблем для правоохранительных органов в дальнейшем — общественность и СМИ были шокированы масштабом хакерской атаки спецслужб, а также возникшими вследствие этой операции сомнительными (с точки зрения права) результатами. Но пока все брались за голову из-за юридических коллизий, интересующий нас момент оставался где-то на периферии.

Нельзя просто заявить, что ФБР 2 недели администрировали Playpen, собирая персональные данные — это было бы обозначением лишь малого. Главное здесь для нас не то, что ФБР владело сайтом, контролировало его, а также запустило ПО для деанонимизации пользователей — все это мы уже видели в 2012-ом и 2014-ом годах. С позиции анализа «производства преступности» нам интересен тот двухнедельный фрагмент, когда полицейская власть мимикрировала в преступную среду на самое высшее положение криминальной иерархии.

Случалось ли подобное когда-нибудь до появления даркнета и начала борьбы с организованной киберпреступностью? Существуют ли прецеденты осуществления «внедрения» непосредственно в верхушку преступной среды? Представляется, что опыт Playpen был абсолютно уникальным. Но тут же стоит отметить, что сама цифровая среда Tor с повышенным уровнем анонимности раскрывает такую возможность перед развертыванием оперативной тактики — вневиртуальная действительность позволяла лишь сделать из «верхушки» «стукача», но уж никак не подменить его на полицейского.

«Внедрение» не осуществлялось для себя самого, оно было частью «производства преступности», развернув которую ФБР поддерживало жизнь на Playpen для того, чтобы в один момент ее завершить. Как утверждал один из адвокатов, во время администрирования Playpen силовиками количество регистраций возросло на 30%; количество еженедельных посещающих пользователей увеличилось с 11 000 до 50 000. В течение двух недель было распространено 200 видеозаписей, 9 000 изображений и 13 000 ссылок на «детские» материалы. Адвокат Питер Адолф приобщил к материалам дела сообщения от пользователей Playpen, содержанием которых была похвала администрации сайта вследствие отличной его работы в промежуток с 20 февраля по 4 марта. Само ведение Playpen с серверов ФБР не было расценено судьями в качестве противоправной деятельности.

Конечно, ходатайство адвоката не может восприниматься в качестве истины. Придерживание принципа объективности вынуждает признать — в уголовных делах не существовало каких-либо прямых и нерушимых доказательств умышленного распространения «материалов» фбровцами. Хотя ситуация администрирования Playpen в течение двух недель сама по себе является доказательством того, что фотографии и видеозаписи распространялись на сайте с явного одобрения правоохранительных органов — что было частью стратегии «производства преступности». Очевидно, операция не дала бы таких результатов, стоило ФБР начать ограничивать оборот незаконных медиафайлов на сайте. Но и «производство преступности» этого не требует — поддержание экосистемы в status quo проводится ровно до момента ее свертывания. Но стоит отметить, что в рассматриваемом случае status quo нарушался улучшением onion-ресурса, что можно расцениваться не как прямолинейное полицейское желание охватить большее количество преступных субъектов, но способствование повышения доверия к захваченному сайту и превентивное урегулирование риска вероятного повышения подозрительности в отношении действий администрации. Короче, «комьюнити» на Playpen просто «задобрили», притупив ей бдительность (если таковая вообще существовала — еще в прошлой статье мы отмечали, что «комьюнити» подобных сайтов зачастую славились низким уровнем осведомленности в сфере информационной безопасности).

Но перед стороной обвинения стояло достаточно серьезных правовых проблем и без имеющихся доказательств распространения «детских» материалов со стороны Бюро. Судья Франклин Ноэл так оценил деятельность ФБР в деле одного из пользователей Playpen: «По сути, ФБР способствовало виктимизации несовершеннолетних детей и совершению более тяжкого преступления».

Судебные процессы по делу Playpen обернулись полным хаосом. Результаты блестяще проведенной операции оказалась уязвимы в суде. На то имелось несколько причин:

Во-первых, в нарушение четвертой поправки к Конституции США на основании одного лишь ордера на изъятие компьютерного сервера были осуществлены тысячи обысков на личных компьютерах пользователей Playpen. В мае 2016-го года в одном из уголовных процессов по Playpen судья признал все доказательства, полученные в результате NIT, недопустимыми ввиду неправомерного их получения агентами ФБР.

Во-вторых, в соответствии с тем же ордером, а также Правилом 41 Федеральных Правил Уголовного Процесса, ордер на проведение обысков действовал исключительно на территории Восточного округа Вирджинии, поскольку был выдан магистратским судом. До затыкания такой бреши — внесения поправки в 41-е правило в 2016-ом году — это было явно незаконно. И есть все основания считать, что вышеуказанные поправки, принятие которых даже Сенат США не смог остановить, продиктованы нашумевшими делами по Playpen.

А в августе 2019-го года апелляционный суд все-таки признал данный ордер не соответствующим закону, но не стал исключать его из дела, применив «доктрину благих намерений» — институт в уголовном праве США, содержащий позволение нарушать личные права граждан органам следствия в том случае, если следователи имели достаточно оснований быть уверенными в том, что их действия законны.

В-третьих, государство чрезвычайно сильно упорствовало в том, чтобы сохранить секретность NIT. ФБР установило режим государственной тайны на некоторые элементы метода сетевого расследования. Такой шаг был палкой о двух концах: с одной стороны, адвокаты подсудимых так и не ознакомились принципами работы NIT, чтобы доказать незаконность действий оперативников. А ведь в подобном деле для защиты это подобно невозможности вызова важнейшего свидетеля. С другой стороны — ФБР, не предоставляя алгоритм NIT в материалы дела, само себе ставило палки в колеса, осложняя доказывание правомерности своих действий при идентификации пользователей Playpen.

Несколько дел окончились оправданием (или отказом от уголовного преследования) исключительно потому, что сторона обвинения отказывалась предоставлять в процесс данные по NIT. Так закончилось, например, дело United States v. Jay Michaud (в котором, кстати, также применялась «доктрина благих намерений») — выбирая между раскрытием NIT и прекращением уголовного дела, обвинение пошло по второму пути. Расчёт экономии уголовной политики следовал из того, что лучше отпустить одного виновного и поймать множество других виновных в последствии. В тоже время дело было прекращено с возможностью нового возбуждения в течение 5-ти лет. Вероятно, обвинение рассчитывало рассекретить NIT тогда, когда он потеряет актуальность в качестве государственно-хакерского инструмента и попросту устареет. Высказывалось мнение, что дело United States v. Jay Michaud среди прочих используется правоохранительными органами в качестве экспериментирования с сохранением секретности государственно-хакерского инструментария в уголовном процессе.

Интересно еще и то, что по сложившейся традиции борцов против «детских» материалов за всей правовой неразберихой с Playpen не последовало какой-либо доктрины, какого-либо осмысления. На самом деле юридической общественности было понятно — сама операция Pacifier, не смотря на свои высокие цели, содержала в себе существенную нелегальную составляющую. На поле применения права при судебной практике развернулось два подхода: в соответствии с первым ордер и применение NIT признавались судьями незаконными, и дела оканчивались либо оправданием, либо вынужденным отказом от обвинения с прекращением уголовного преследования. Второй подход использовал «доктрину благих намерений» и больше походил на использование административного ресурса, который не мог позволить государству сесть в лужу с незаконно добытыми доказательствами. А изменения в 41-е правило в 2016-ом году только подкрепляют уверенность в том, что «доктрина благих намерений» выступала прямым инструментом политических и государственных интересов в неординарной ситуации.

Некое осмысление юридических ошибок подоспело лишь в 2021 году. Авторами работы Policing the Dark Web: Legal Challenges in the 2015 Playpen Case указывались Майкл Чертофф и Эрик Жардин. И нам стоит остановиться на этих личностях.

Эрик Жардин имеет статус доктора наук международных отношений (у нас эквивалентно кандидату политических наук), интересуется сферами даркнета, кибербезопасности и более традиционными аспектами политических наук. А Майкл Чертофф — видный в начале 2000-х государственный деятель. В 1990-м году был федеральным прокурором штата Нью-Джерси. В 2000-ом году участвовал в президентской компании Джорджа Буша-младшего. С 2001-го по 2003-ий год — заместитель министра юстиции, руководитель департамента уголовных расследований. В 2005-ом году занял пост министра внутренней безопасности, где в основном боролся с нелегальной миграцией и последствиями урагана «Катрина». После вступления Барака Обамы на должность президента страны Майкл покинул государственную службу. В настоящее время он является партнером-учредителем ChertoffGroup — крупной компании, специализирующейся на безопасности и риск-менеджменте во многих отраслях: от киберсферы, M&A и венчурного инвестирования до консультирования в области геополитических рисков. Многие члены компании — крупные чиновники в прошлом. Сама ChertoffGroup является стратегическим партнером Государственной Коалиции Технологий и Услуг — НКО, созданной в помощь подрядчикам для маневрирования по госзакупкам на рынке внутренней безопасности США.

Первый занятный факт — Министерство внутренней безопасности активно участвовало в закрытии Silk Road и операции «Onymous», как мы помним из предыдущей статьи.

Второй занятный факт — Майкла Чертоффа еще в 2008 году критиковали за намерения построить забор-ограждение на границе с Мексикой, оправаемый борьбой против мигрантов. Ничто не ново в предвыборной демагогии.

Третий занятный факт — Чертофф был одним авторов громкого «Патриотического Акта» от 2001-го года, неимоверно расширявшего полномочия силовых структур США. Этот документ яростно критиковался вплоть до отмены в 2015-ом году — он потерял юридическую силу в основном из-за скандала, вызванного известными действиями Эдварда Сноудена.

Таким образом, мы видим, что теоретическое осмысление операции Pacifier произошло с очень специфической политической стороны. Соавтор федерального закона, наделившего полицейскую власть почти неограниченными полномочиями, критикует эту власть за нарушение закона. И это не в коем случае не укор в сторону Чертоффа и уж тем более не обвинение его в лицемерии. В чем и можно было бы обвинить Майкла и Эрика — так это во вторичности, потому что их работа не представляет собой ничего иного, как собрание всех известных на 2015-ый год замечаний общественности в сторону ФБР по делам о Playpen. Ни новизны, ни актуальности там нет — работа вышла в 2021-ом году, когда проблемы уголовных дел Playpen уже не были такими острыми из-за изменения Федеральных Правил Уголовного Процесса в 2016-ом году.

Интересно также то, что отсылки на «Патриотический Акт» никак не помогли спецслужбам, хоть операция Pacifier и окончилась в начале марта 2015 г., а «Акт» утратил силу аж 1 июня 2015-го года — спустя квартал после окончания операции. То есть юридическая слабина борьбы против Playpen обнажилась даже во время действия такого, казалось бы, поддерживающего и оправдывающего ФБР закона.

На самом деле по проведению операции Pacifier так и не сложилось какой-то внятной доктрины. «Работа над ошибками» была проведена только на законодательном уровне — в 2016-ом году вопрос с ордером решился в сторону спецслужб. NIT остался засекречен. Та сторона «полиции в даркнете», которая боролась с «детскими сайтами», осталась верна своему подходу — никаких теорий, выводов или наработок стратегий университеты не выпускали. С точки зрения тактики все казалось идеальным. Слабым местом была юриспруденция, но ее к 2016-ому году привели в необходимое состояние. Вроде, даже не приходилось учиться на собственных ошибках.

Но спецслужбы обратили свое внимание на то, что они слишком уж явно нарушали законодательство США в своей деятельности, и это очень громко обсуждалось общественностью. Борцы с «материалами» увидели потенциал роста именно в этой плоскости — в обхождении законов. Здесь же полицейская власть будет упражняться в 2016-ом году. Принципы стратегии останутся те же. Способы их сокрытия изменятся.

«Комьюнити» ожидало этого. Оно словно заманивало спецслужбы на свои сайты, вынуждая их идти на более рискованные и незаконные шаги. «Детские сайты» обзавелись своей контрполицейской стратегией, значительно отличавшейся от технологоцентричного подхода (PGP-шифрование, например) даркнет-маркетов. Удивительно то, как «комьюнити» ухватило юридическую слабость своих оппонентов и начало эксплуатировать ее. Обитатели сайтов с фотографиями и видеозаписями с насилием над детьми и ранее отличались «стратегичностью» — их сайты были завалены различными техниками сокрытия своих пристрастий от окружающих, способами «заполучения» детей и многими другими путеводителями. Но в 2016-году защитные тактики одного из таких сайтов вынудили полицейскую власть не просто «внедриться» в «комьюнити», а реально стать им, поддерживать его, подстрекая к совершению новых преступлений…

Хакон Хойдал — норвежский журналист-расследователь, в 2012-ом году выпустивший статью о сайтах, на которых юзеры выкладывали интимные фотографии своих бывших девушек, получил раздраженное письмо от хакера Эйнара Отто Стангвика. Эйнар указал на множество неточностей в публикации и заявил, что он самостоятельно противодействует таким ресурсам и при этом очень много знает об их обитателях. Хакер и журналист решили встретиться лично, что бы внести правки в статью и обсудить феномен сайтов порномести.

Хакон и Эйнар довольно быстро нашли общий язык — сближающим фактором оказалось возмущение от бездействия норвежской полиции, отказавшейся помогать девушкам, чьи фотографии были похищены или размещены. По итогу беседы мужчины договорились о тесном сотрудничестве в нелегком деле достижения справедливости.

Примечательно то, что Эйнар в своей работе совершал своеобразное «внедрение» — он регистрировался на «сайтах порномести» и под видом очередного пользователя втирался в доверие к администрации. В результате этого Сангвик даже получал IP-адреса отдельных пользователей. Эйнар часто общался с владельцами сайтов, а потому был осведомлен обо всех проблемах по ведению ресурсов, где выгладывают интимные материалы бывших. Сама острая из них — пользователи оставляли ссылки на файлообменники, зачастую хранившие либо шокирующие, либо преступные материалы. И во многих случаях на этих фото- и видеоматериалах были запечатлены дети.

Эйнар мог отследить всех загрузивших этот «контент». Хойдал и Сангвик решили установить именно норвежских пользователей, сохранявших себе фотографии и видеозаписи с детьми, и сдать их полиции. Около 70-ти человек было деанонимизорвано журналистом и хакером-любителем. Хакон начал обзванивать некоторых из них в 10 часов утра и приглашать на личную встречу в парке для обсуждения «определенной журналистской темы». На каждой индивидуальной встрече (всего их было 10, так как только 10 человек согласились прийти) Хойдал задавал собеседникам вопросы, направленные хотя бы на понимание их мотивации загружать «контент». 7 из 10 честно признались, что делали это сознательно. Для кого-то это был вид экстремального спорта в стиле «сколько жести я могу вынести». Многие из них были зависимы от алкоголя или наркотиков. К удивлению Хокана, очень немногие из них подверглись насилию в детстве. 10 из 10 пришедших на встречу прямо сказали: «Я не педофил».

Хокан Хойдал выпустил статью о его совместной с Сангвиком «операции». Публикация навела немало шуму, она все сторонне обсуждалась самыми разными прослойками социума по телевиденью и в интернете. Хойдал не раз получал письма, некоторые из которых были даже и от членов «комьюнити». Но чего не подозревали норвежские исследователи — их статья страстно обсуждалась в даркнете.

Эйнар и Хокан часто натыкались на упоминание даркнета и на onion-ссылки при осуществлении своей «операции», но вышли в даркнет только после выхода статьи. Продолжая исследовать мир «детского контента», напарники попали на форум, члены которого откровенно смеялись над теми 10-ю фигурантами статьи Хойдала, называя их «лузерами из клеарнета». Пользователи пребывали в полной уверенности своей защищённости сетью Tor. Их анонимность была незыблема. «Нас нельзя раскрыть». И журналистско-хакерский тандем воспринял это как вызов.

Цель — идентифицировать столько норвежских членов «комьюнити», сколько получится. Эйнар сразу установил самый большой сайт с «детским контентом» — Childs Play. Около 1 миллиона зарегистрированных пользователей. Множество историй из жизни. Бахвальство и истории о похождениях. Огромный массив фотографий и видеозаписей с насилием над детьми. Ничего подобного ни Хойдал, ни Сангвик ранее не видели. И мероприятия по деанонимизации норвежских пользователей начались.

Однажды Хокан наткнулся на пост, автор которого радостно ведал всем желающим о своих отношениях с 11-ти летним ребенком, которого удалось приманить определенной игрушкой (автор поста также выложил фото игрушки). Хойдал скопировал никнейм пользователя и стал вбивать его в разных социальных сетях. После того, как он обнаружил страницу данного индивида на Facebook, на которой размещалась фотография с той самой игрушкой, было решено обратиться в полицию. И внезапно расследование было возбуждено!

Эйнар и Хокан решили не просто не останавливаться на достигнутом, а шагнуть еще дальше — обычные пользователи Childs Play отныне не представляли для них интерес. Тандем намеревался раскрыть личности администраторов сайта. «Все могут быть разоблачены в даркнете, если потратить на это время и ресурсы. Таков мой опыт» — позднее в интервью скажет Эйнар. 5 января 2017 года он идентифицирует место нахождение сервера, на котором хостился Childs Play. Как оказалось, сайт в даркнете (вновь) находился на клеарнетовском сервере. Владельцем сервера выступала австралийская копания Digital Pacific.

20 января 2017 года Хокан Хойдал едет в аэропорт, чтобы вылететь в Сидней: назначена личная встреча с директором Digital Pacific. Но раздается телефонный звонок. Женщина-полицейский сообщает, что ее команда только что арестовала того самого человека, на которого Хокан и Эйнар подали заявление в полицию. При обыске в его жилище была найдена та сама игрушка с фотографии.

Хойдал готовил длинную речь на тот случай, если в Digital Pacific ему откажут в предоставлении персональных данных арендатора сервера. Но ему довольно охотно пошли на встречу. Проблема заключалась в том, что этих данных не было, а Digital Pacific сами испытывали трудности идентификацией лица, арендующего сервер.

Однажды техническая поддержка компании направила таинственному арендатору письмо о том, что Digital Pacific будет вынуждена прекратить оказание услуг в том случае, если не узнает личности того, кому эти услуги оказываются. Пришедший на письмо ответ всех очень удивил: «Вы можете связаться с мистером Полом Грифтцем из Оперативной Группы „Аргос“».

Оперативная Группа «Аргос» — элитное австралийское подразделение, специализирующееся на делах по защите детей от насилия в том числе и в цифровой среде. История проведения успешных операций против «комьюнити» берет свое начало с 2002 года — с операции, когда сотрудник «Аргоса» притворялся в чат-комнате 14-летней девочкой с целью идентифицировать потенциально опасное лицо. «Аргос» регулярно практиковал «внедрение» на «детские сайты» с 2004 года. На момент 2016−2017 (и даже на момент выхода этой статьи) Оперативная Группа «Аргос» — самое опытное полицейское подразделение по борьбе с «комьюнити» в мире, к которому испытывается глубочайшее уважение всеми правоохранительными системами.

«Я поехал в Австралию, чтобы узнать кто такой WarHead (администратор Childs Play). И внезапно я узнаю, что WarHead — это полиция!» — позднее скажет Хокан.

По состоянию на 2016-ый год Childs Play был самым большим «детским» onion-ресурсом с внушительным количеством активных пользователей. На сайте действовало более 100 создателей преступных материалов. Childs Play появился в апреле 2016-го. Создатель сайта — канадец Бенджамин Фолкнер, взявший юзернейм «WarHead», был довольно опытным пользователем «детской» стороны даркнета, а потому тонко чувствовал спрос «комьюнити» на внутреннюю коммуникацию и новый «материал». Американец Патрик Фолти (юзернейм — «CrazyMonk»), с которым Фолкнер познакомился в сети Tor еще до создания Childs Play, уже держал свой onion-сайт — GiftBox Exchange. На нем пользователи могли обмениваться незаконным «контентом», отображавшим малолетних.

Фолти нуждался в помощнике администратора сайта, который имел бы познания в информационной безопасности. И на тот момент его выбор остановился именно на Бенджамине Фолкнере. Преступники подружились настолько, что аж встретились вживую в январе 2016-го. Со своей самой первой встречи злоумышленники строили план по совершению акта насилия над малолетней девочкой в Вирджинии. Возможность проведения этого действа предоставлялась отцом ребенка.

Фолкнеру нравилось исполнять роль администратора «детского сайта», а потому он задумывает свой сайт, свой проект. Знавший все плюсы и минусы ресурсов «детской» стороны даркнета, Бенджамин запускает Childs Play — форум, на котором разрешалось размещать фото- и видеоматериалы с несовершеннолетними. Не последнюю роль в запуске собственного сайта сыграла жажда иметь наиболее редкие и оригинальные экземпляры «контента». Чтобы заполучить их, необходимо взобраться вверх по социальной лестнице «комьюнити».

«Ты не понимаешь. Я был суперзвездой, и никто этого не знал. Они не знали, что если бы я сказал: „Прыгайте!“, то (как минимум) миллион человек спросили бы меня: „С какой высоты?“» — так скажет Фолкнер во время звонка из следственного изолятора.

На верхушке — создатели контента. Они пользуются самым глубоким уважением, а потому имеют доступ ко всему «детскому» контенту в даркнете. На ступени ниже расположились администраторы и владельцы «детских» сайтов, среди значился Фолкнер. Еще ниже — модераторы, которые как раз и впускают «избранных» в более привилегированные круги. Внизу социальной лестницы располагались потребители «контента» — особого почета к ним не испытывалось. Так, «серая масса».

Мы видим, что на «детских сайтах» в даркнете (такое было не только на Childs Play) на момент 2016-го года существовала иерархичная система, стимулировавшая потребителей незаконных материалов производить их. Фолкнер сам впоследствии скажет, что чувствовал себя словно «зависимым». Onion-сайты, распространявшие «контент» с насилием над детьми, эксплуатировали пристрастия простых потребителей, чья нужда в доступе к новому и эксклюзивному удовлетворялась только после того, как они сами становились производителями. Подобная экосистема совсем не была присуща даркнет-маркетам, выступавшим точками распространения наркотиков. Едва ли нечто подобное существовало даже в доинтернетной организованной преступности — вряд ли в преступных сообщества существовал такой динамичный криминально-социальный лифт, возводивший субъекта в авторитет после совершения им одного тяжкого или особо тяжкого преступления. Не говоря уже о том, что современная криминология не знает подобных прецедентов — преступных систем, в которых объем доступа «зависимого» к желаемому ставится в зависимость от производства желаемого. Даже в кругах оборота наркотиков «торчащие» не переходят в «производящих» ради имения стабильного и достаточного объема желаемого. Конечно, потребители наркотических средств могут ими ситуационного приторговывать, может, что-то в малых объемах кустарно производить. Но это никогда не связано с осуществлением полномочий кого-либо по «продвижению» субъекта в преступной иерархии. Это никогда не связано с возможностью предоставления доступа к каким-либо новым видам желаемого. Практика «иерархии достижения желаемого» сложилась исключительно в кругах «комьюнити», и является абсолютно новой для криминологии.

Бенджами Фолкнер был задержан в результате его действий по продвижению в этой иерархии. Админ Childs Play не хотел оставаться лишь админом. Поэтому какое-то время он стабильно занимался производством «контента». Фолкнер не был одержим одними лишь материалами — иерархия «комьюнити» с палитрой социальных статусов также была его желанием.

Осенью 2016 года Бенджамин Фолкнер и Патрик Фолти едут в Вирджинию. Они осуществляют задуманный план. Они подвергают насилию четырехлетнего ребенка, выданного его отцом. Насилие сопровождалось фотографированием и видеозаписью. Чего преступники не знали — Министерство внутренних дел США следили за путешествием с того самого момента, когда Фолкнер пересек границу Канады с США. С момента совершения акта насилия не прошло и пяти дней — Фолкнер и Фолти были арестованы в арендованном доме.

Рассекречивание личности CrazyMonk’а было взаимосвязано с оплатой хостинга GiftBox Exchange — Фолти, оплачивавший услуги биткоином, зарегистрировал криптокошелек на свой личный имейл. Получив адрес электронного ящика, сотрудники Министерства внутренних дел моментально установили личность его владельца.

Деанонимизация Фолкнера — специалиста в IT-сфере — также произошла из-за человеческого фактора: летом 2016-го года Бенджамин столкнулся с определенными проблемами в написании кода еще для GiftBox Exchange. WarHead сначала пытался справиться в одиночку, но, потерпев неудачу, обратился к экспертам на форумах клеарнета. Обратился от своей реальной личности. Прикрепил скриншот и вкратце описал возникшую проблему. Силовики, знавшие о возникшей трудности на onion-сайте, попросту «гуглили» форумы программистов, пока не наткнулись на нужный им пост, в котором угадывались все признаки возникшей на «детском» сайте проблемы.

Таким образом, WarHead и CrazyMonk были распознаны еще до запуска Childs Play. Точнее говоря — Childs Play появился в течении рассекречивания этих двух персонажей. Сотрудникам «Аргоса» ничего не стоило заметить, что GiftBox Exchange и Childs Play связаны между собой, а связующими элементами были CrazyMonk и WarHead (на GiftBox Exchange — CuriousVendetta).

При первом же допросе Фолкнер выдаст все пути обхода защитных шифрующих механизмов. Отдаст пароль от своего аккаунта. Впоследствии Бенджамин будет корить себя за это и упрекать в том, что слишком уж доверился следователю, который утверждал: «Я всего лишь хочу помочь тебе. Помоги мне, и тебе от этого будет лучше» — то бишь применял самую простецкую полицейскую риторику. WarHead, который на страницах форума Childs Play не раз писал о том, что он не боится быть пойманным, что он со смелостью взглянет в глаза полиции, что сайт и «комьюнити» для него превыше всего, просто банально растерялся во время задержания. Что вообще довольно типично. Особенно при задержании и допросе по таким вопиющим преступлениям.

Фолкнера не задержали при пересечении границы. Формально его арестовали именно за насилие в отношении малолетней, совершенное в соучастии с Патриком Фолти и отцом ребенка. Хотя на первом допросе подавляющие большинство вопросов задавалось именно по теме «детских» материалов. Знали ли силовики цель поездки Фолкнера в США? Было ли преступление против ребенка «зацепом» полиции, позволявшим уверенно предъявить Бенджамину обвинение хоть в чем-то? Очевидно, что это преступление дало силовикам возможность привлечь Фолкнера к уголовной ответственности за Childs Play — WarHead, передав пароль от собственного аккаунта и подтвердив свою роль администратора onion-ресурса, максимально облегчил жизнь стороне обвинения. Почему вообще правоохранителям потребовалось так пристрастно допрашивать Фолкнера на месте задержания? Были ли у полицейских прямые и веские доказательства, позволявшие «посадить» Бенджамина именно за Childs Play? И если они были — почему WarHead не был арестован при пересечении границы? Или хотя бы в момент, когда Фолкнер и Фолти встретились — таким образом, сотрудники силовых ведомств задержали бы обоих субъектов, которым можно было бы предъявить обвинение, как минимум, в хранении «детских материалов». Неужели у полиции была личность WarHead’а, но не было доказательств? Как вообще в течение оперативного наблюдения получилось допустить совершение того самого акта насилия?

Сотрудники «Аргоса» утверждали, что им ничего не было известно о планах Фолкнера и Фолти. Они признавались, что не понимали зачем они встречаются. При этом, правоохранительные органы Канады, США и Австралии моментально получили уведомления о выезде Фолкнера из страны. Чуть позже сотрудники американского Министерства внутренних дел установили отслеживающее устройство в автомобиль Патрика Фолти. К тому моменту полиция уже нашла европейский сервер Childs Play и мониторила всю коммуникацию на сайте. Каждое движение поездки «тандема» фиксировалось.

Как оказалось, WarHead, CrazyMonk и отец четырехлетней девочки не обсуждали задуманное на страницах Childs Play. Они использовали TOX — чат-клиент, усиленно шифрующий сообщения. Но отсюда возникает новый вопрос — неужели на Childs Play не содержалось следов уговора об использовании TOX? Если бы они были, то силовики смогли бы предпринять какие-либо меры: мне удалось найти русскоязычное обсуждение начала 2016-го года, демонстрирующее, мягко выражаясь, дыры в криптографии данного мессенджера. Но, как выяснилось, полиция не располагала сведениями ни о TOX, ни о цели поездки.

При этом примечательно то, что «тандем» задержали на следующий день после совершения группового насилия над несовершеннолетней. И сели они сначала именно за это преступление. Уголовные дела о Childs Play рассматривались уже когда Фолкнер и Фолти во всю отбывали наказание. Вспоминаем, что их допрашивали об администрировании Childs Play в деле о насилии над ребенком. Почему Фолкнеру и Фолти не были предъявлены обвинения в связи с Childs Play еще тогда? Скорее всего, проблема была в доказательствах — в их косвенности. До признательных показаний Фолкнера у стороны обвинения не было прямых доказательств в отношении него. А на одних лишь признательных показаниях стройного обвинения не построишь. Австралийскому «Аргосу» предстоял долгий процесс сбора информации с последующим предоставлением ее в американскую юрисдикцию.

Фолкнер был арестован спустя 6 месяцев после запуска своего сайта. Аккаунт «WarHead» попал под контроль полиции. Теперь ей предстояло перехватить администрирование Childs Play.

Первое действие правоохранительных органов — перенос Childs Play на австралийские серверы для того, чтобы Оперативная Группа «Аргос» смогла развернуть полноценную операцию по деанонимзации пользователей сайта. Несмотря на то, что задержание произошло в США, а изначальный сервер onion-ресурса находился в Европе (предположительно — в Германии; австралийская полиция до сих пор не рассекретила это обстоятельство), перенос объяснялся сложной комплексной причиной.

Какие бы юридические дыры не закрывала власть США после сомнительно проведенной операции Pacifier, законодательство Австралии более уверенно позволяло правоохранительным органам перехватить «детский» onion-сайт и администрировать его, мимикрируя в соответствующую среду. Австралийское законодательство с начала 2000-х годов подгонялось под нужды «Аргоса», который давал системе очень эффективные результаты.

Если в США кипели страсти из-за того, что ФБР две недели кое-как владело «детским» onion-сайтом Playpen, то «Аргос» на тот момент уже мог похвастаться успешной шестимесячной операцией по перехвату даркнетовского «детского» ресурса The Love Zone в 2014-ом. В результате действий австралийской группы был арестован Ричард Хокл — крупнейший производитель «материалов» в истории и Британии, и даркнета в целом (о Хокле мы писали в первой статье цикла). «Аргос» был на голову выше ФБР в противодействии материалам с насилием над детьми. Оперативная группа обладала уникальным опытом, пользовавшимся спросом на международном уровне. Пока в 2015-ом ФБРовцев громили в судах за NIT в делах по Playpen, а компетентность других структур ставилась под вопрос из-за сумбура при закрытии Silk Road, Оперативная Группа «Аргос» проводила мероприятия в даркнете просто образцово. Конечно, с оговоркой на то, что австралийский закон многое им позволял. Но с другой стороны — право Австралии старалось идти в ногу со временем и учитывать многие нюансы при противодействии преступности в интернете вообще, не только в даркнете. Многие положения в отношении проведения оперативных мероприятий в цифровой среде австралийской юрисдикции уже тогда были достаточно продуманы. В США набивали шишки на том, обо что «Аргос» не ударялся.

В последствии подобный поиск наиболее удобной уголовной юрисдикции подвергнется критике, но больше с морально-этической позиции: какого-либо серьезного правового осуждения «подбора юрисдикции» не возникнет, так как в судах США не появится как-либо проблем с принятием доказательств от австралийского «Аргоса». Судебного Playpen 2.0 не случилось.

Юридическая свобода австралийской уголовной политики была необходима не только для того, чтобы передать дело «Аргосу», как более опытному формированию. Суть в том, что Фолкнер подметил правовые проблемы, с которыми столкнулись правоохранительные органы при перехвате Playpen. «Косячность» ФБР нашла свой ответ — на основании выявленного слабого места полицейской власти Фолкнером ввелась крайне необычная защитно-охранная мера.

В начале каждого месяца WarHead размещал на форуме небольшое послание, в котором также выкладывались незаконные фото- или видеоматериалы. Замысел исходил из того, что у силовиков попросту не было прав и законных полномочий совершать настолько тяжкое преступление при осуществлении оперативного мероприятия по захвату сайта. Фолкнер, Фолти и «комьюнити» решили, что полиция не разместит «контент» от их аккаунтов, потому что это развалит всю позицию стороны обвинения в суде. Соответственно, если «комьюнити» не получало послания в начале месяца, или к посланию не прилагались «материалы», то Childs Play по умолчанию считался перехваченным.

Проблема также заключалась в том, что Фолкнера задержали 3-его числа, а WarHead на тот момент не разместил свое традиционное сообщение. На форуме Childs Play появлялись некоторые опасения: кто-то жаловался на то, что WaRhead не отвечает в «личке» уже несколько дней; кто-то находил подозрительным отсутствие администратора, который обычно активничал на страницах onion-ресурса. У австралийских силовиков реально не было времени медлить: отсутствие послания ставило всю операцию под угрозу невыполнения.

Пол Гриффитс — один из самых опытных сотрудников «Аргоса», человек с фотографической памятью и атрофированным сочувствием (по словам его супруги). Ходячая база данных «детских» материалов — если что-то появлялось в даркнете, то Пол это видел. И помнил каждую фотографию и видеозапись. Каждую деталь на ней, в том числе и анатомические особенности людей, запечатленных на «материалах», будь то жертва или насильник. Утверждает, что никогда не плакал на работе.

Именно он получил аккаунт Фолкнера. В течение трех дней Пол Гриффитс изучал стиль письма Бена Фолкнера, его вокабуляр и пунктуацию. Даже использование смайлов и «скобочек». Сотрудники «Аргоса» составляли портрет онлайн-персоны пользователя «WarHead» для осуществления идеального «внедрения» в верхушку Childs Play.

6 октября 2016 года Пол Гриффитс под аккаунтом «WarHead» размещает послание: «Фух, какой месяц! Месяц из моей жизни, который я не верну. Хотя технически большая часть дерьма произошла в октябре, а не в сентябре — отсюда и мое позднее прибытие. Извиняюсь еще раз за позднее появление, но я попросил команду вмешаться и прикрыть меня в связи с моим вынужденным отсутствием».

И словно ничего не произошло — Childs Play продолжил нормально существовать. Конечно, была небольшая группа пользователей, всерьез заявлявших о перехвате сайта спецслужбами. Но это было абсолютное меньшинство, которое нарекли группой фанатов конспирологии. Произошло это с подачи «Аргоса» или нет — история умалчивает.

Ведь объективная цифровая реальность не давала усомниться в аутентичности личности администратора Childs Play: WarHead продолжал публиковать ежемесячные послания и размещать незаконные материалы с насилием над детьми. Да, предохранительная мера Фолкнера совсем не смутила Оперативную Группу «Аргос». Пол Гриффитс не раз заявлял, что судебное разрешение проведения какой-либо оперативной меры в интернете реально развязывает руки австралийской киберполиции. Полномочие полиции на распространение «контента» существует не только у Австралии, но такого механизма нет в большинстве англоязычных стран.

Суть операции «Artemis» сводилась к тому, что «Аргос» мониторил оборот незаконных материалов на Childs Play. Каждая фотография и каждое видео изучалось на предмет каких-либо признаков-зацепок. Отмечались и подвергались тщательному изучению все новые «материалы». Основной целью полицейских выступали производители «контента», хоть и потребители не выбывали из внимания силовиков. Таким образом, сотрудники «Аргоса» поддерживали жизнь на сайте, распространяли запрещенные изображения и отсматривали все файлы, появлявшиеся на Childs Play. По словам пресс-секретаря «Аргоса», в результате операции было спасено множество детей, идентифицировано около 500 жертв и арестовано более 1 000 человек (около 100 из которых — производители). Если Playpen администрировался спецслужбами две недели, то Childs Play находился под «Аргосом» 11 месяцев.

Методология «Аргоса» не включала в себя какие-либо изощренные виртуально-хакерские приемы или электронные пути анализа данных — во всяком случае, мы не знаем о применении чего-либо подобного и не имеем даже каких-либо свидетельств фигурирования чего-то вроде NIT или другого ПО. Как нам известно — сотрудники оперативной группы смотрели «контент» и отмечали те или иные признаки, позволявшие идентифицировать насильников и жертв. То есть, «Аргос» буквально в ручном режиме перерабатывал информацию с целью идентификации потенциальных подозреваемых.

Мог ли «Аргос» засекречивать свои компьютерные методы лучше, чем ФБР? По имеющимся данным, австралийская полиция вообще не использовала какие-либо компьютерные программы, позволявшие идентифицировать пользователей. Даже эксплойты не эксплуатировались. С одной стороны — как такое опытное и результативное подразделение обходилось без современных программных технологий при борьбе с киберпреступностью? С другой — возможно, одиннадцать месяцев понадобилось как раз для того, чтобы проводить операцию этими более традиционными методами. Тем более, что «производители» и иные распространители «контента» удаляли метаданные со своих файлов перед размещением их в даркнете — поэтому различные автоматизированные техники анализа данных не давали какого-либо результата вообще. Вспомним, что Ричарда Хокла идентифицировали с через муторное, но действенное использование известных и доступных абсолютно каждому поисковых систем, и каких-либо юридических проблем из-за этого не возникало. Поэтому не стоит сомневаться в тактике «Аргоса» только потому, что австралийцы не прибегали к использованию фактически вредоносных программ.

Удивительно, что одной из самых эффективных полицейских тактик в даркнете является умение просто «хорошо погуглить». Действует безотказно со времен Silk Road. Нам здесь даже нечего проанализировать.

Закрытие Childs Play прошло невзрачно — в один день сайт просто исчез из даркнета. Никаких помпезностей или пресс-релизов. Больше всего шума создала вышедшая после ликвидации сайта статья Хокана Хойдала и Эйнара Стангвика об операции «Atremis», из-за которой общественность разделилась на два лагеря: одни (например, ЮНИСЕФ и Amnesty International) сочли методы «Аргоса» (распространение «контента») нарушением Конвенции о правах ребенка, другие (ECPAT — организация по борьбе с детской проституцией в туристической отрасли стран Азии) высказали поддержку действиям австралийских правоохранительных органов. Мать одного ребенка, запечатлённого в распространявшемся «Аргосом» «контенте», возмущалась действиям полиции и утверждала, что ей должна причитаться денежная компенсация. Юрист этой матери высказал поддержку действиям австралийской полиции, что было неожиданно. Даже Хокан Хойдал по итогу признал, что «Аргос» распространяли уже существовавшие «материалы», и если это позволило спасти хоть одного ребенка, то операция «Artemis» оправдалась.

На самом деле весь этот спор — пустое морализаторство над процессом, раскрутку которого остановить уже не представлялось возможным. Результаты операции «Artemis» оказались юридически безупречными — обвинение ни разу не потерпело фиаско в суде. Очевидно, прецедент был создан, и многие юрисдикции стали обращать внимание на австралийское уголовно-процессуальное право и опыт Оперативной Группы «Аргос» в частности. Ведь в Австралии не было своего «Патриотического Акта» с развёртыванием системы тотального мониторинга, наделением спецслужб невероятными полномочиями и секретным NIT’ом. И тем не менее «Аргос» выполнил свою задачу, используя заурядные традиционные юридические инструменты. Значит, дело было не только в градусе осуществляемого социального контроля посредством силового аппарата. «Аргос» просто отвечал на современные вызовы современной преступности — преступности в интернете.

Операция «Artemis» демонстрирует некоторые аспекты развертывания криминалистической функции при борьбе с преступлениями в киберпространстве:

Первый — интернациональность, которая не только принуждает спецслужбы нескольких государств действовать в связке, но и позволяет подыскать наиболее выгодную юрисдикцию. Киберпреступность не знает государственных границ, но, как оказалось, границы могут выступать оружием правоохранительных органов. Второй аспект — обнаружение вариативности возможности оперативного манипулирования преступной иерархией в цифровой среде. Анонимность и сокрытие под аккаунтами использовались против владельцев учетных записей. Также отметился фактор возможности «внедрения» в саму верхушку преступной иерархии, что ранее было попросту немыслимо ни в криминалистической теории, ни в практике. Но сама структура взаимодействия виртуальных образов преступников в интернете открывала возможность подмены любого субъекта «онлайн-фигуры», в том числе и находящегося в авторитете у соответствующего сообщества при соблюдении всех правил авторизации (подтверждения личности данному сообществу).

Третий аспект выходил из следующего: когда полиции нужно арестовать киберпреступников, сотрудники сами нередко действуют как киберпреступники. Что ж, в теории «внедрения» (особенно в сфере наркоторговли) в подобном нет ничего нового — оперативным сотрудникам позволено совершать определенные преступления для достижения целей оперативного мероприятия или сохранения «внедрения». И давно известны и даже банализированы проблемы, связанные с этим сектором: допустимая тяжесть «оперативных» преступлений; допустимое количество этих преступлений; оправданность совершения тех или иных деяний — все это всем известно. Довольно заезженная, романтизированная и поднадоевшая история. И малоинтересная в теории, на самом деле.

Но «хакерские» действия полиции во многом вызывались тем фактором, что оперативное или уголовно-процессуальное законодательство не содержало норм, явно и прямо регламентировавших проведение операций в интернете, особенно, когда сеть осложнена шифрованием. Если в законе не указаны допущения и запреты, ориентир устанавливается на презюмирующиеся и предполагаемые общественные интересы — на чем и основана доктрина «благих намерений». Будут ли перегибы? Будут ли недоработки? Будут ли нарушения закона? Конечно. «Серые» зоны в праве порождают как злоупотребления, так и вредоносное бездействие. А в сердцевине этого периметра располагаются действия, совершенные с оглядкой на имеющееся законодательство при рациональной оценке возможных рисков. И юридический результат этих действий может быть недостаточно предсказуемым.

Как сказал один из авторов операции «Atremis» Джон Роуз: «Мы не создаем эти сайты. Мы не хотим, чтобы они существовали. Когда мы находим их, то внедряемся и занимаем высшие административные позиции для того, чтобы уничтожить сайт. Но мы никогда не создадим форум для насильников». Стоит разобрать важные составляющие элементы этого заявления по предложениям.

«Мы не создаем эти сайты» — довольно непростое утверждение в контексте администрирования Childs Play. Фолкнер держал сайт 6 месяцев, «Аргос» — 11. Австралийская полиция по праву могла бы считаться частью команды разработчиков Childs Play. В отличие от ситуации вокруг Playpen, у нас нет доказательств улучшения правоохранительными органами архитектуры сайта. Но за 11 месяцев, скорее всего, была проведена какая-нибудь адаптация (работа над ошибками в коде и т. д.), иначе сайт бы просто не функционировал. Или бы потерял аудиторию. Но даже если бы «Аргос» создали на Childs Play что-нибудь новое (по части функционала) — это б не противоречило логике разворачиваемой операции. Утверждать, что спецслужбы не создали «детский» сайт в даркнете при том, что они им владели 65% времени его существования — так себе аргумент. Даже согласившись с ним, необходимо признавать, что «Аргос» владел ресурсом больше, чем его создатель. Так что Джон Роуз слегка утрирует, констатируя отсутствие у полиции авторства сайта Childs Play.

«Мы не хотим, чтобы они существовали» — это правда. Но их существование выдает правоохранительным органам множество преступников, которые безрезультатно ускользали бы в случае прямолинейной блокировки даркнет-сайта. На момент 2016−2017 годов полицейская власть уже уяснила, что тупое уничтожение площадки в дарквебе приводит к тупому «переселению» аудитории на новый ресурс.

«Когда мы находим их, то внедряемся и занимаем высшие административные позиции для того, чтобы уничтожить сайт» — мы уже обращали внимание на возможность внедрения в верхушку иерархии. Но Джон Роуз вновь утрирует, утверждая, что «внедрение» осуществляется с целью уничтожения сайта. Как показала операция «Onymous», ресурс в сети Tor можно закрыть и без перехвата администрирования. Можно вообще провести банальную DDoS-атаку или другим способом вынудить владельца закрыть свой сайт. Хоть даже созданием угрозы полицейского преследования — к 2016-ому году огромное количество сайтов в даркнете закрылись под влиянием энтропии. Цель занятия административных позиций даркнет-ресурсов — деанонимизация пользователей и сбор персональных данных. Удаление сайта происходит только после достижения необходимых результатов с помощью развернутой системы контроля и мониторинга.

«Но мы никогда не создадим форум для насильников» — на момент высказывания (да и написания этого очерка) это истинно. Но разве нельзя представить подобный проект при определенных обстоятельствах? Разве правоохранительные органы не могли бы создать «сайт-болванку», на который были бы переманены перебежчики с закрывшегося даркнет-сайта? Более того, тема «создания сайта в даркнете» представляется не более чем системой жонглирования словами, в которой полицейская власть требует разграничения между созданием сайта с нуля и ведением сайта полицией, хоть и в течение него сотрудники будут заниматься созданием элементов в архитектуре сайта в самых разных объемах. Все же — зачем создавать, когда можно отнять?

Так что Джон Роуз лукавит — правоохранители действительно никогда не создадут форум для насильников, потому что затраченные ресурсы могут попросту не оправдать себя. Создание onion-сайта с его последующим продвижение в даркнете — не самое предсказуемое намерение. Многие даркнет-маркеты, дарквеб-форумы и «детские» сайты «выстреливают» спустя чуть ли не год после запуска. В течение всего этого времени создателю ресурса придется: заниматься маркетингом своего сайта на форумах даркнета и отражать весь негатив, убеждать пользователей в превосходстве своего продукта в части безопасности и анонимности и, конечно же, отбивать бесконечные DDoS-атаки конкурентов, в том числе и крупных игроков сети Tor. Намного проще перехватить платформу, которая через все это уже прошла.

А вот в следующей статье мы разберем, как минимум, одну ситуацию, в которой полицейская власть создала преступную среду или же существенную ее часть, игравшую важнейшую роль в жизнедеятельности этой среды, с целью полной деанонимизации всех пользователей и плановым «схлопыванием» развернутой криминальной экосистемы с последующим уголовным преследованием определенных субъектов. А также с мотивированным отказом от привлечения к ответственности «избранных» индивидов для создания устрашающего эффекта на существующих или потенциальных преступников.

По сложившейся на Childs Play ситуации не публиковалось каких-либо научных исследований или доктринальных предложений-решений в сфере оперативной тактики. Вышла статья Хокана и Эйнара, подкаст «Hunting Warhead», а также множество журналистских репортажей, негодовавших над владением полицией «детским» сайтом. Короче говоря, серьезного доктринального осмысления не последовало. Пока криминологи ломали головы над углами воздействия на даркнет-маркеты, сайты с материалами насилия над детьми оставались как бы без внимания. Конечно, выше мы уже упоминали монографию Чертоффа и Жардина 21-го года, но она не содержала глубокого анализа или новой методологии, а выступала скорее борьбой с воспоминаниями о ветряных мельницах — попыткой игры в оппозицию с давно минувшими, измененными и забытыми за неактуальностью событиями.

Неужели наука совсем не уделила внимания операциям «Pacifier» и «Artemis»? Уделила, но не так своевременно: исследователи взялись за обдумывание полицейских тактик в даркнете сразу же после оглашения хода операции по задержанию Росса Ульбрихта и закрытию Silk Road — потому в 2014—2015 годах появилось невероятный массив литературы от самых разных институтов, университетов и иных исследовательских организаций. Ощущался спрос на модернизацию теории оперативно-разыскной деятельности в цифровом пространстве. Или на появление подобной теории относительно проведения полицейских операций в даркнете.

Ничего подобного не произошло в сфере теории борьбы с детскими «материалами» — только операция Pacifier отхватила заслуженную и ожидаемую критику. Но и эта критика была больно предсказуема — она не выразила ничего такого, чего бы не было слышно от адвокатов в делах, связанных с Playpen. В исследовательских статьях операции «Pacifier» и «Artemis» стали появляться в качестве примеров успешных действий правоохранительных органов примерно с 2019—2020 годов. Существуют даже очень неплохие русскоязычные обзоры, в которых упоминаются мероприятия в отношении Playpen и Childs Play в качестве намеков российской правоохранительной системе о необходимости следовать тенденциям теории оперативной тактики.

Но на самом деле стоит обратить внимание на два фактора, из-за которых реакционная доктрина так не появилась:

Первый фактор заключался в отсутствии спроса на такую доктрину. Эффективности «Аргоса» обнажила превосходство практики перед институированной теорией. У австралийской полиции не было нужды в университетской помощи, потому что в периметре Оперативной Группы «Аргос» мысль полицейской стратегии пребывала в состоянии полного превосходства над любой криминалистической доктриной в сфере оперативно-розыскной деятельности при осуществлении борьбы с материалами, отражающими насилие над малолетними. Правоохранительные органы всего мира относились к «Аргосу» как университету с оперативно-следственными полномочиями. Говоря это, мы держим в уме особенности австралийской юрисдикции, где судебное решение позволяет оперативным органам реализовывать самые смелые стратегии, даже теоретически не доступные подавляющему большинству стран.

Второй фактор — ФБР решило, что все оно сделало правильно, но современная тому моменту юриспруденция просто не поддержала таланты Бюро. В 2016-ом году право США чуть-чуть подправили, тем самым убрав прежние барьеры. Так что правоохранительной системе США оставалось лишь дожидаться следующих «детских» сайтов и новых операций в даркнете, по результату которых можно было бы сделать те или иные выводы о наличии спроса на более совершенные теоретические инструменты оперативных мероприятий. Американские силовики хоть и не получили полномочий своих австралийских коллег, но им досталась «серая зона», в которой спецслужбы США могли бы использовать приемы «Аргоса» без каких-либо резких негативных последствий для уголовного дела, более уверенно прикрываясь административным ресурсом — доктриной «благих намерений».

Как покажет практика (в том числе и судебная) — оперативная доктрина продолжала развиваться уже внутри самих правоохранительных органах. На тот момент теоретики предложили спецслужбам неожиданный подход — воздействовать на даркнет-маркеты не с позиции спроса, а с позиции предложения. Но данная стратегия впервые была применена не к даркнет-маркетплейсам, а к «детским» сайтам — это требовало немного иного подхода, отличавшегося от решений институтов исследований. Потому что на сайтах (форумах), где распространялись материалы с насилием над детьми, товарно-денежных отношений практически не существовало — обмен реализовывался через бартер, осуществивший в кастовой системе «производители-администраторы-модераторы-потребители». По очевидным причинам занять высшее положение «производителей» полиция даже и не пыталась бы. Тем не менее, перехваченная при операции «Artemis» позиция «администратора-распространителя» аналогична высшей позиции администратора даркнет-маркета, а в оперативных мероприятиях против «детских» сайтов перехват данного звена иерархии вполне себя оправдал с точки зрения получения оперативного результата — деанонимизации участников преступных сообществ.

Нам стоит подробнее остановиться на таком знаковом событии в истории полицейской тактики — реальной возможности «внедрения» в самую верхушку преступной иерархии без повышения подозрительности у участников определенного криминального поля. Заменить главаря и заставить рыбу гнить с головы. Предварительно эту рыбу изучив.

Тактика манипуляции преступной иерархией с подменой заакаунтовых персон-членов криминального круга — внезапно появившаяся потенциальная мера борьбы против киберпреступности, перед которой большинство юрисдикций оказалось не готовым. Ведь для осуществления и поддержания «внедрения» полиции необходимо действовать точь-в-точь как индивиды, которым оказывается противодействие: осуществление хакерских атак, использование и создание вредоносного ПО, пособничество при преступных обменах (будь то денежные отношения или бартерные) — без этого правоохранители не могут «замещать» верх преступной пирамиды. Но не каждая правовая система позволяет это делать.

На сегодняшний день очевидно, что эти инструменты необходимы в борьбе с киберпреступностью, тем более в даркнете. Когда полицейская власть осуществляла первые прорывные шаги по развертывание современных анти-киберпреступных операций («Onymous», «Pacifier» и «Artemis»; кстати, операцию «Darknet» хактивстской группы Anonymous также можно отнести к подобным мероприятиям), общественность, СМИ и известные высказыванием мнений медийные персоны ответили консервативным морализаторством, но не анализом и не осмыслением. Утверждать, что с новыми преступлениями можно бороться традиционными приемами — чересчур наивно и идеологично. Было бы странно предполагать, что полицейская власть откажется от новых методов под воздействием медийного ханжества, симптоматизировавшего нежелание рассматривать метаморфозы политики оперативных мероприятий, которые возникли от детерминирования общественной (информационной) формацией. Ответвления перекалибровки систем могут объявляться в обличии тезиса или антитезиса, порабощения или освобождения, концентрирования или распыления. Но нравственно-морализаторское задирание носа перед ними — роспись в лености перед поливалентными событиями.

Уголовная система противоборства с преступностью в интернете явно движется в сторону позволения совершения полицией определенных «выбранных законом» преступлений. Будет ли дозволено совершение «преступления без потерпевшего» в рамках цифровой полицейской операции? Мало того, что данный конструкт чрезмерно идеологичен, так он еще и не продуман как следует, и «детские» материалы тому пример: один из аспектов критики операции Childs Play сводился к тому, что полиция не совершала преступлений, у которых были жертвы (в юридическом смысле), но совершала такие деяния, при которых происходило распространения материалов, отображавших насилие над жертвами преступлений. Конечно, распространение «контента» само по себе было противоправным действием, но это не такое преступление, у которого есть потерпевший — и в то же время потерпевший есть в преступлении, совершенном над ребенком во время изготовления материалов. Таким образом, появляется точка зрения о том, что распространение этих фотографий и видеозаписей причиняет определенный вред жертве. И все становится не так уж просто. Но в противоположность ей возникает мнение, утверждающее, что вред, наносящийся жертве «материалов» их распространением, несоизмеримо меньше вреда, который пресекается правоохранительными структурами, эксплуатирующими файлы с насилием над жертвой. Короче говоря, старый спор о целях и средствах их достижения.

Легализация полицейского хакерства неизбежна во всех современных уголовных системах — точнее, она уже проводится. Возникающие в реакции на новый тип преступности приемы полицейского противодействия сливаются с более традиционными тактиками, синтезируя сдвиги во всей криминалистической архитектуре. Анализ финансовых потоков, собирание персональных данных преступной среды и даже кропотливый анализ медиа-материалов на предмет выявления характерных признаков — все это трансформируется под влиянием поля киберпреступности, включающей в себя блокчейн, криптовалюту, метаданные и многие другие составляющие, не известные более традиционным формам криминала.

В контексте противодействия преступности в даркнете именно «внедрение» подверглось самым радикальным преобразованиям. Возможность подменить сокрытого аккаунтом индивида полицейской машиной раскрыла перед силовиками уникальные возможности. Пока общественное мнение волочило вялые дебаты на тему «конфиденциальность против интернета по паспорту», правоохранительная власть прагматично воспользовалось конфиденциальностью как инструментом. Права одних стали оружием других. Свобода открылась как управленческий механизм, имеющий множество регуляционных полей в своем пространстве.

Но если продукт трансформации более традиционных полицейских методов можно было легко регулировать законодательно, то даркнетовский плод «внедрения» был не так прост в своей конституционной охватываемости. Праву известны ситуации, при которых сотрудник «внедряется» в низшие ступени преступной иерархии в качестве информатора. Или, когда лицо, которое уже является стабильной и авторитетной частью криминального круга, соглашается сотрудничать с органами в качестве «стукача». Но ход, при котором полиция становится высшим авторитетом в объекте «внедрения», представляется чем-то принципиально новым для современной — столкнувшейся с киберпреступностью — юриспруденции. Новое криминальное поле бросило вызов традиционному уголовному праву, у которого не было каких-нибудь функционных традиций для построения запретительных мер в отношении возникшего явления.

Если nob на Silk Road просто превысил все возможные полномочия и провалил свое «внедрение», напрямую став авторитетным даркнет-преступником, то ФБР и «Аргос» действовали исключительно в соответствии с полицейскими целями. Nob действительно находился близко к верхушке и имел существенное влияние на нее. Но ФБР и «Аргос» стали ей. Их влияние на подконтрольные даркнет-сайты было несоизмеримо выше.

Nob по ошибке обнаружил потенциал возможной полицейской стратегии. Шкурные побуждения Карла Форса (nob'а) совершили открытие. Изучив обстоятельство возможности управления преступным интернет-сообществом, полицейская власть стала практиковать данную стратегию и развивать ее до таких масштабов, которые не были вообразимы во времена Silk Road и Silk Road 2.0 (где силовики «внедрялись» под логинами модераторов).

В действиях по контролируемому закрытию Playpen и Childs Play содержится намного больше, чем в действиях Anonymous и ФБР до 2015 года — даже «контролируемым закрытием» их нельзя назвать. Закрытие не являлось главной целью операции — оно просто выступало exit-планом спецслужб после достижения целей.

Чтобы арестовать пользователей даркнет-сайта, надо думать, как админ даркнет-сайта и вести себя также. Надо стать админом даркнет-сайта. Не только психологически, но и организационно — необходимо получить его аккаунт. Необходимо контролировать, направлять и иметь в распоряжении целую преступную среду. Но как долго такая операция может вестись? Какой момент признается «достижением целей», когда подконтрольная среда продолжает разрастаться?

За 11 месяцев администрирования «Аргосом» количество пользователей Childs Play возросло. Даже во время «владения» ресурсом Playpen происходило нечто подобное. Любой скачивающий (а в некоторых юрисдикциях — ищущий) незаконные материалы — подпадает под цель-объект такого оперативно-розыскного мероприятия. Полиция была вынуждена расставить приоритеты, иначе пришлось бы вести «детский» сайт бесконечно. Главными целями выступали: арест «производителей», идентификация жертв «материалов» с последующей их защитой, уголовное преследование «потребителей» и удаление незаконного «контента» из сети. Несмотря на то, что многих «производителей» удалось идентифицировать, сотни детей получилось спасти, а тысячи «потребителей» были осуждены — эти обстоятельства все еще не отвечают на вопрос о сроках проведения операции по администрированию даркнет-сайта.

Что касается «детских» сайтов, то здесь прослеживается определенный ответ: главное — взять основах «производителей», а все остальное — воздействие, которое будет реализовано как бы дополнительно, инерционно. После исчезновения главных «создателей» onion-сайт, на котором распространяются незаконные материалы, просто затухнет в ожидании новых «разработчиков контента», т. е. его кончина предсказуема в своей просчитываемости. Но как быть с более динамичным явлением — даркнет-маркетами, на которых постоянно появляются новые вендоры и покупатели? После закрытия которых происходит мгновенная миграция на конкурентные площадки: их всегда несколько — пара-тройка крупных и 5−6 поменьше, т. е. у аудитории каждого ресурса есть несколько путей отхода. Ничего подобного у сферы «детских» сайтов не было — полиция не заботилась фактором количества миграционных платформ: необходимо было закрыть один большой сайт и дожидаться возникновения следующей крупной площадки.

В следующей статье цикла мы рассмотрим плоды эволюции развёртывания полицейской стратегии в отношении даркнет-маркетов после неудач 2011−2014 годов и осмысления даркнета криминологической доктриной. Среди прочего, мы особенно заострим внимание на действиях спецслужб в 2017—2018 годах. Потому что успешность проведенной операции «Bayonet» довела до сведения всей общественности: «Даркнет более не является комфортным углом преступности. Полиция чувствует себя в нем ничуть не хуже».