Первое действие правоохранительных органов — перенос Childs Play на австралийские серверы для того, чтобы Оперативная Группа «Аргос» смогла развернуть полноценную операцию по деанонимзации пользователей сайта. Несмотря на то, что задержание произошло в США, а изначальный сервер onion-ресурса находился в Европе (предположительно — в Германии; австралийская полиция до сих пор не рассекретила это обстоятельство), перенос объяснялся сложной комплексной причиной.
Какие бы юридические дыры не закрывала власть США после сомнительно проведенной операции Pacifier, законодательство Австралии более уверенно позволяло правоохранительным органам перехватить «детский» onion-сайт и администрировать его, мимикрируя в соответствующую среду. Австралийское законодательство с начала 2000-х годов подгонялось под нужды «Аргоса», который давал системе очень эффективные результаты.
Если в США кипели страсти из-за того, что ФБР две недели кое-как владело «детским» onion-сайтом Playpen, то «Аргос» на тот момент уже мог похвастаться успешной
шестимесячной операцией по перехвату даркнетовского «детского» ресурса The Love Zone в 2014-ом. В результате действий австралийской группы был арестован Ричард Хокл — крупнейший производитель «материалов» в истории и Британии, и даркнета в целом (о Хокле мы писали в первой статье цикла). «Аргос» был на голову выше ФБР в противодействии материалам с насилием над детьми. Оперативная группа обладала уникальным опытом, пользовавшимся спросом на международном уровне. Пока в 2015-ом ФБРовцев громили в судах за NIT в делах по Playpen, а компетентность других структур ставилась под вопрос из-за сумбура при закрытии Silk Road, Оперативная Группа «Аргос» проводила мероприятия в даркнете просто образцово. Конечно, с оговоркой на то, что австралийский закон многое им позволял. Но с другой стороны — право Австралии старалось идти в ногу со временем и учитывать многие нюансы при противодействии преступности в интернете вообще, не только в даркнете. Многие положения в отношении проведения оперативных мероприятий в цифровой среде австралийской юрисдикции уже тогда были достаточно продуманы. В США набивали шишки на том, обо что «Аргос» не ударялся.
В последствии подобный поиск наиболее удобной уголовной юрисдикции подвергнется
критике, но больше с морально-этической позиции: какого-либо серьезного правового осуждения «подбора юрисдикции» не возникнет, так как в судах США не появится как-либо проблем с принятием доказательств от австралийского «Аргоса». Судебного Playpen 2.0 не случилось.
Юридическая свобода австралийской уголовной политики была необходима не только для того, чтобы передать дело «Аргосу», как более опытному формированию. Суть в том, что Фолкнер подметил правовые проблемы, с которыми столкнулись правоохранительные органы при перехвате Playpen. «Косячность» ФБР нашла свой ответ — на основании выявленного слабого места полицейской власти Фолкнером ввелась крайне необычная защитно-охранная мера.
В начале каждого месяца WarHead размещал на форуме небольшое послание, в котором также выкладывались незаконные фото- или видеоматериалы. Замысел исходил из того, что у силовиков попросту не было прав и законных полномочий совершать настолько тяжкое преступление при осуществлении оперативного мероприятия по захвату сайта. Фолкнер, Фолти и «комьюнити» решили, что полиция не разместит «контент» от их аккаунтов, потому что это развалит всю позицию стороны обвинения в суде. Соответственно, если «комьюнити» не получало послания в начале месяца, или к посланию не прилагались «материалы», то Childs Play по умолчанию считался перехваченным.
Проблема также заключалась в том, что Фолкнера задержали 3-его числа, а WarHead на тот момент не разместил свое традиционное сообщение. На форуме Childs Play появлялись некоторые опасения: кто-то жаловался на то, что WaRhead не отвечает в «личке» уже несколько дней; кто-то находил подозрительным отсутствие администратора, который обычно активничал на страницах onion-ресурса. У австралийских силовиков реально не было времени медлить: отсутствие послания ставило всю операцию под угрозу невыполнения.
Пол Гриффитс — один из самых опытных сотрудников «Аргоса», человек с фотографической памятью и атрофированным сочувствием (по словам его супруги). Ходячая база данных «детских» материалов — если что-то появлялось в даркнете, то Пол это видел. И помнил каждую фотографию и видеозапись. Каждую деталь на ней, в том числе и анатомические особенности людей, запечатленных на «материалах», будь то жертва или насильник. Утверждает, что никогда не плакал на работе.
Именно он получил аккаунт Фолкнера. В течение трех дней Пол Гриффитс изучал стиль письма Бена Фолкнера, его вокабуляр и пунктуацию. Даже использование смайлов и «скобочек». Сотрудники «Аргоса» составляли портрет онлайн-персоны пользователя «WarHead» для осуществления идеального «внедрения» в верхушку Childs Play.
6 октября 2016 года Пол Гриффитс под аккаунтом «WarHead» размещает послание: «Фух, какой месяц! Месяц из моей жизни, который я не верну. Хотя технически большая часть дерьма произошла в октябре, а не в сентябре — отсюда и мое позднее прибытие. Извиняюсь еще раз за позднее появление, но я попросил команду вмешаться и прикрыть меня в связи с моим вынужденным отсутствием».
И словно ничего не произошло — Childs Play продолжил нормально существовать. Конечно, была небольшая группа пользователей, всерьез заявлявших о перехвате сайта спецслужбами. Но это было абсолютное меньшинство, которое нарекли группой фанатов конспирологии. Произошло это с подачи «Аргоса» или нет — история умалчивает.
Ведь объективная цифровая реальность не давала усомниться в аутентичности личности администратора Childs Play: WarHead продолжал публиковать ежемесячные послания и размещать незаконные материалы с насилием над детьми. Да, предохранительная мера Фолкнера
совсем не смутила Оперативную Группу «Аргос». Пол Гриффитс не раз заявлял, что судебное разрешение проведения какой-либо оперативной меры в интернете реально развязывает руки австралийской киберполиции. Полномочие полиции на распространение «контента» существует не только у Австралии, но такого механизма
нет в большинстве англоязычных стран.
Суть операции «Artemis» сводилась к тому, что «Аргос» мониторил оборот незаконных материалов на Childs Play. Каждая фотография и каждое видео изучалось на предмет каких-либо признаков-зацепок. Отмечались и подвергались тщательному изучению все новые «материалы». Основной целью полицейских выступали производители «контента», хоть и потребители не выбывали из внимания силовиков. Таким образом, сотрудники «Аргоса» поддерживали жизнь на сайте, распространяли запрещенные изображения и отсматривали все файлы, появлявшиеся на Childs Play. По словам пресс-секретаря «Аргоса»,
в результате операции было спасено множество детей, идентифицировано около 500 жертв и арестовано более 1 000 человек (около 100 из которых — производители). Если Playpen администрировался спецслужбами две недели, то Childs Play находился под «Аргосом»
11 месяцев.
Методология «Аргоса» не включала в себя какие-либо изощренные виртуально-хакерские приемы или электронные пути анализа данных — во всяком случае, мы не знаем о применении чего-либо подобного и не имеем даже каких-либо свидетельств фигурирования чего-то вроде NIT или другого ПО. Как нам известно — сотрудники оперативной группы смотрели «контент» и отмечали те или иные признаки, позволявшие идентифицировать насильников и жертв. То есть, «Аргос» буквально в ручном режиме перерабатывал информацию с целью идентификации потенциальных подозреваемых.
Мог ли «Аргос» засекречивать свои компьютерные методы лучше, чем ФБР? По имеющимся данным, австралийская полиция вообще не использовала какие-либо компьютерные программы, позволявшие идентифицировать пользователей. Даже эксплойты не эксплуатировались. С одной стороны — как такое опытное и результативное подразделение обходилось без современных программных технологий при борьбе с киберпреступностью? С другой — возможно, одиннадцать месяцев понадобилось как раз для того, чтобы проводить операцию этими более традиционными методами. Тем более, что «производители» и иные распространители «контента» удаляли метаданные со своих файлов перед размещением их в даркнете — поэтому различные автоматизированные техники анализа данных не давали какого-либо результата вообще. Вспомним, что Ричарда Хокла идентифицировали с через муторное, но действенное
использование известных и доступных абсолютно каждому поисковых систем, и каких-либо юридических проблем из-за этого не возникало. Поэтому не стоит сомневаться в тактике «Аргоса» только потому, что австралийцы не прибегали к использованию фактически вредоносных программ.
Удивительно, что одной из самых эффективных полицейских тактик в даркнете является умение просто «хорошо погуглить». Действует безотказно со времен Silk Road. Нам здесь даже нечего проанализировать.
Закрытие Childs Play прошло невзрачно — в один день сайт просто исчез из даркнета. Никаких помпезностей или пресс-релизов. Больше всего шума создала вышедшая после ликвидации сайта статья Хокана Хойдала и Эйнара Стангвика об операции «Atremis», из-за которой общественность
разделилась на два лагеря: одни (например,
ЮНИСЕФ и
Amnesty International) сочли методы «Аргоса» (распространение «контента») нарушением
Конвенции о правах ребенка, другие (
ECPAT — организация по борьбе с детской проституцией в туристической отрасли стран Азии) высказали поддержку действиям австралийских правоохранительных органов. Мать одного ребенка, запечатлённого в распространявшемся «Аргосом» «контенте», возмущалась действиям полиции и утверждала, что ей должна причитаться денежная компенсация. Юрист этой матери высказал поддержку действиям австралийской полиции, что было неожиданно. Даже Хокан Хойдал по итогу признал, что «Аргос» распространяли уже существовавшие «материалы», и если это позволило спасти хоть одного ребенка, то операция «Artemis» оправдалась.
На самом деле весь этот спор — пустое морализаторство над процессом, раскрутку которого остановить уже не представлялось возможным. Результаты операции «Artemis» оказались юридически безупречными — обвинение ни разу не потерпело фиаско в суде. Очевидно, прецедент был создан, и многие юрисдикции стали обращать внимание на австралийское уголовно-процессуальное право и опыт Оперативной Группы «Аргос» в частности. Ведь в Австралии не было своего «Патриотического Акта» с развёртыванием системы тотального мониторинга, наделением спецслужб невероятными полномочиями и секретным NIT’ом. И тем не менее «Аргос» выполнил свою задачу, используя заурядные традиционные юридические инструменты. Значит, дело было не только в градусе осуществляемого социального контроля посредством силового аппарата. «Аргос» просто отвечал на современные вызовы современной преступности — преступности в интернете.
Операция «Artemis» демонстрирует некоторые аспекты развертывания криминалистической функции при борьбе с преступлениями в киберпространстве:
Первый — интернациональность, которая не только принуждает спецслужбы нескольких государств действовать в связке, но и позволяет подыскать наиболее выгодную юрисдикцию. Киберпреступность не знает государственных границ, но, как оказалось, границы могут выступать оружием правоохранительных органов. Второй аспект — обнаружение вариативности возможности оперативного манипулирования преступной иерархией в цифровой среде. Анонимность и сокрытие под аккаунтами использовались против владельцев учетных записей. Также отметился фактор возможности «внедрения» в саму верхушку преступной иерархии, что ранее было попросту немыслимо ни в криминалистической теории, ни в практике. Но сама структура взаимодействия виртуальных образов преступников в интернете открывала возможность подмены любого субъекта «онлайн-фигуры», в том числе и находящегося в авторитете у соответствующего сообщества при соблюдении всех правил авторизации (подтверждения личности данному сообществу).
Третий аспект выходил из следующего: когда полиции нужно арестовать киберпреступников, сотрудники сами нередко действуют как киберпреступники. Что ж, в теории «внедрения» (особенно в сфере наркоторговли) в подобном нет ничего нового — оперативным сотрудникам позволено совершать определенные преступления для достижения целей оперативного мероприятия или сохранения «внедрения». И давно известны и даже банализированы проблемы, связанные с этим сектором: допустимая тяжесть «оперативных» преступлений; допустимое количество этих преступлений; оправданность совершения тех или иных деяний — все это всем известно. Довольно заезженная, романтизированная и поднадоевшая история. И малоинтересная в теории, на самом деле.
Но «хакерские» действия полиции во многом вызывались тем фактором, что оперативное или уголовно-процессуальное законодательство не содержало норм, явно и прямо регламентировавших проведение операций в интернете, особенно, когда сеть осложнена шифрованием. Если в законе не указаны допущения и запреты, ориентир устанавливается на презюмирующиеся и предполагаемые общественные интересы — на чем и основана доктрина «благих намерений». Будут ли перегибы? Будут ли недоработки? Будут ли нарушения закона? Конечно. «Серые» зоны в праве порождают как злоупотребления, так и вредоносное бездействие. А в сердцевине этого периметра располагаются действия, совершенные с оглядкой на имеющееся законодательство при рациональной оценке возможных рисков. И юридический результат этих действий может быть недостаточно предсказуемым.
Как сказал один из авторов операции «Atremis» Джон Роуз: «Мы не создаем эти сайты. Мы не хотим, чтобы они существовали. Когда мы находим их, то внедряемся и занимаем высшие административные позиции для того, чтобы уничтожить сайт. Но мы никогда не создадим форум для насильников». Стоит разобрать важные составляющие элементы этого заявления по предложениям.
«Мы не создаем эти сайты» — довольно непростое утверждение в контексте администрирования Childs Play. Фолкнер держал сайт 6 месяцев, «Аргос» — 11. Австралийская полиция по праву могла бы считаться частью команды разработчиков Childs Play. В отличие от ситуации вокруг Playpen, у нас нет доказательств улучшения правоохранительными органами архитектуры сайта. Но за 11 месяцев, скорее всего, была проведена какая-нибудь адаптация (работа над ошибками в коде и т. д.), иначе сайт бы просто не функционировал. Или бы потерял аудиторию. Но даже если бы «Аргос» создали на Childs Play что-нибудь новое (по части функционала) — это б не противоречило логике разворачиваемой операции. Утверждать, что спецслужбы не создали «детский» сайт в даркнете при том, что они им владели 65% времени его существования — так себе аргумент. Даже согласившись с ним, необходимо признавать, что «Аргос» владел ресурсом больше, чем его создатель. Так что Джон Роуз слегка утрирует, констатируя отсутствие у полиции авторства сайта Childs Play.
«Мы не хотим, чтобы они существовали» — это правда. Но их существование выдает правоохранительным органам множество преступников, которые безрезультатно ускользали бы в случае прямолинейной блокировки даркнет-сайта. На момент 2016−2017 годов полицейская власть уже уяснила, что тупое уничтожение площадки в дарквебе приводит к тупому «переселению» аудитории на новый ресурс.
«Когда мы находим их, то внедряемся и занимаем высшие административные позиции для того, чтобы уничтожить сайт» — мы уже обращали внимание на возможность внедрения в верхушку иерархии. Но Джон Роуз вновь утрирует, утверждая, что «внедрение» осуществляется с целью уничтожения сайта. Как показала операция «Onymous», ресурс в сети Tor можно закрыть и без перехвата администрирования. Можно вообще провести банальную DDoS-атаку или другим способом вынудить владельца закрыть свой сайт. Хоть даже созданием угрозы полицейского преследования — к 2016-ому году огромное количество сайтов в даркнете закрылись под влиянием энтропии. Цель занятия административных позиций даркнет-ресурсов — деанонимизация пользователей и сбор персональных данных. Удаление сайта происходит только после достижения необходимых результатов с помощью развернутой системы контроля и мониторинга.
«Но мы никогда не создадим форум для насильников» — на момент высказывания (да и написания этого очерка) это истинно. Но разве нельзя представить подобный проект при определенных обстоятельствах? Разве правоохранительные органы не могли бы создать «сайт-болванку», на который были бы переманены перебежчики с закрывшегося даркнет-сайта? Более того, тема «создания сайта в даркнете» представляется не более чем системой жонглирования словами, в которой полицейская власть требует разграничения между созданием сайта с нуля и ведением сайта полицией, хоть и в течение него сотрудники будут заниматься созданием элементов в архитектуре сайта в самых разных объемах. Все же — зачем создавать, когда можно отнять?
Так что Джон Роуз лукавит — правоохранители действительно никогда не создадут форум для насильников, потому что затраченные ресурсы могут попросту не оправдать себя. Создание onion-сайта с его последующим продвижение в даркнете — не самое предсказуемое намерение. Многие даркнет-маркеты, дарквеб-форумы и «детские» сайты «выстреливают» спустя чуть ли не год после запуска. В течение всего этого времени создателю ресурса придется: заниматься маркетингом своего сайта на форумах даркнета и отражать весь негатив, убеждать пользователей в превосходстве своего продукта в части безопасности и анонимности и, конечно же, отбивать бесконечные DDoS-атаки конкурентов, в том числе и крупных игроков сети Tor. Намного проще перехватить платформу, которая через все это уже прошла.
А вот в следующей статье мы разберем, как минимум, одну ситуацию, в которой полицейская власть создала преступную среду или же существенную ее часть, игравшую важнейшую роль в жизнедеятельности этой среды, с целью полной деанонимизации всех пользователей и плановым «схлопыванием» развернутой криминальной экосистемы с последующим уголовным преследованием определенных субъектов. А также с мотивированным отказом от привлечения к ответственности «избранных» индивидов для создания устрашающего эффекта на существующих или потенциальных преступников.