9 Августа, 2019

Максимальное количество компромата на всех

Игорь Бедеров
Научный центр при Управделами президента торгует сервисами, позволяющими деанонимизировать любого жителя России. Расследование «Медузы»
Источник: раньше.)





Московский «Спрут» на «сером» рынке считается одной из лучших СУБД, рассказывает Бедеров: «Там базы с большим массивом свежих и хороших нарушений закона о персданных (слитые судимости, адреса, ГИБДД) и с самым большим количеством совсем нелегальных сведений, в основном про Центральный регион. Доступ к „Спруту“ по подписке — чтобы человек мог сидеть и пользоваться — стоит от 30 до 70 тысяч рублей в месяц. А вот свой API — программный „шлюз“, через который к базам [с возможностью обработки сразу большого количества данных] может подключиться какая-то сторонняя программа, — „Спрут“ дает редко. Риск большой: раз базы достаточно свежие, значит, те, кто их давал, могут еще служить. „Шерлоку“, как видите, API дали».
В какой-то момент ГлавНИВЦ сам начал аккумулировать сливы и утечки, рассказывает один из создателей «Шерлока»: «Объему данных, к которому „Шерлок“ имеет доступ, аналогов нет. Не меньше, чем отдельно в „Кроносе“ (о нем читайте ниже — прим. „Медузы“) и во всех других. У нас были свои собственные сливы: мы покупали их на черном рынке, иногда обменивались. Бывает ведь, что для правоохранителей именно эта утечка из службы доставки пиццы — это единственная ниточка вообще к преступнику». В предоставленных собеседником документах упоминается, что «общий объем информации баз данных ГлавНИВЦ составляет более 100 терабайт». В Управделами президента утверждают, что «разработки ФГУП „ГлавНИВЦ“ не предполагают использование „украденных или слитых на черный рынок“ баз данных»: «Системы настроены на поиск информации только из открытых и общедоступных источников. Доступа к системам „Кронос“ и „Спрут“, как и соглашений/договоров с юридическими лицами, разрабатывающими обозначенные системы, у ФГУП „ГлавНИВЦ“ не имеется».
Рынок нелегальной торговли персональными данными начал формироваться еще в советское время. «Кронос» — так называлась первая «серая» СУБД, ее разработку инициировали «в недрах КГБ», говорит торговавший системой собеседник: «В формате „Кроноса“ хранились данные, которыми пользовались чекисты».
Во время перестройки создатели «Кроноса» ушли со службы и решили коммерциализировать разработку. «Когда решение начали продавать, оно стало нелегальным», — говорит Бедеров. «Кронос» был первой такой системой на постсоветском рынке, поэтому все торговцы данными ориентировались именно на него. «Все, что сливалось — а в 1990-е на ОРИ[организаторов распространения информации]» (в реестре ОРИ перечислены многие российские и иностранные сайты и сервисы, в том числе «Яндекс» и Mail.Ru; требования к ним по сбору, хранению и предоставлению доступа к информации «уполномоченным государственным органам» перечислены в приказе Минкомсвязи от 2018 года).
Пользовавшийся «Шерлоком» собеседник в МВД считает, что «Mail.Ru дали доступ [ГлавНИВЦ к закрытой части API] — они ж прозрачные». Один из собеседников «Медузы» утверждает, что увидел отчетливые признаки такого доступа на презентации в центральном аппарате МВД: «API, который отдается спецслужбам, — это совершенно отдельная вещь. Это позволяет сразу видеть айпишники, которые были у пользователей, видеть их номера телефонов и имейлы, которые привязаны к профилю, — не [те] которые опубликованы на страницах, а которые именно к профилю привязаны. То есть вместо того, чтобы слать в соцсеть запросы, которые идут месяц, [оперативнику] можно было бы сразу узнать эту информацию».
Разработчик «Шерлока», покинувший ГлавНИВЦ в 2017 году, утверждает, что при нем у команды был доступ только к открытому API: «Например, Facebook начинали выкачивать, но это очень много информации, поэтому выкачали только фотографии — аватарки — и имена».
От присутствовавших на демонстрации в центральном аппарате МВД оперативников источник «Медузы» услышал, что новый «Шерлок» берет данные не из «серых» СУБД, а из баз данных МВД и сотовых операторов. «Во второй версии постарались собрать все, до чего могли дотянуться руки у администрации президента, вот и все. А до чего они могли дотянуться — до Mail.ru Group, до операторов связи, базы данных МВД. Что еще нужно для счастья?» — вспоминает Бедеров свои первые впечатления от разработки.
Доступа к базам операторов быть не могло, утверждает бывший разработчик «Шерлока»: если биллинги и изучались, то только по сливам: «Какой-нибудь сотрудник правоохранительных органов в забор главного входа сует тебе флешку и просит: помогите разобраться».
Берет ли «Шерлок 2.0» информацию напрямую из баз МВД, неизвестно. Собеседник «Медузы» в ведомстве считает, что это невозможно: «Правовой отдел наш такого никогда не согласует». Бывший разработчик системы согласен: «Ведомства базы не предоставляли — не имели права. Мы как ФГУП нигде в межведомственном взаимодействии не были указаны». Другой уволившийся из ГлавНИВЦ собеседник вспоминает, что «предприятие имело доступ ко всему, о чем попросят разработчики, — достаточно было сказать, что „не хватает данных“». Доступ мог остаться и после «предыдущих проектов», считает он (ГлавНИВЦ создал для МВД высокотехнологичную систему мониторинга всей хозяйственной деятельности, которая, судя по техзаданию закупки, имеет доступ к огромному количеству внутренних сведений МВД).
Собеседник в МВД оценивает вторую версию «Шерлока» как сырой проект: «По выдаче я не увидел, чтобы у системы был доступ к [базам] ИБДР и ИБДФ МВД». В заявленном на демонстрации функционале систему могли так никогда и не развернуть, рассуждает Бедеров, потому что МВД оказалось почти не заинтересовано в разработке. По данным собеседника, к закупке «Шерлок 2.0» предлагали с сентября по октябрь 2018 года: «Устраивали демонстрации на базе центрального аппарата МВД, Управления „К“, звали людей из других подразделений БСТМ». Но к марту, утверждает собеседник «Медузы», заключили всего два контракта в центральном аппарате — по 450 тысяч рублей за рабочее место в год: «В МВД подумали, что им обратно пытаются отдать их же базы, но уже за деньги».
Еще десять установок произошли в госкорпорациях, говорит Бедеров: «Сервис разошелся бесплатно всяким друзьям: „Ростех“ и так далее. И на этом все, разработки с бюджетом в сотни миллионов были забыты и забиты». Сотрудник службы безопасности одного из предприятий «Ростеха» говорит, что в своей работе «Шерлоком» не пользуется: «Мой зам в нем работал, но его уволили за пьянство и компьютер изъяли» (установку «Шерлока» в госкорпорации подтверждает и бывший разработчик системы; пресс-служба «Ростеха» утверждает, что такой сервис не внедрялся, а работа с персональными данными на предприятиях осуществляется в соответствии с законом; в Управделами список контрагентов называют «коммерческой тайной»).
«Пока не минируют виллу генерала, ничего из этого [программы цифровизации] конкретного оперативника не трогает», — считает Бедеров.
Энтузиасты-деанонимизаторы
В мае 2019 года, когда в Екатеринбурге происходили акции против строительства храма в сквере у Театра драмы, протестующие стали координировать свои действия в телеграм-чате. «В эту группу, где, естественно, находилась куча оперативников, внедрялись еще и наши боты, которые предлагали пользователям организовать, например, отдельный митинг — люди интересовались, взаимодействовали с ботом и оставляли данные о себе», — рассказывает бывший оперативник Игорь Бедеров, чье агентство сетевой разведки «Интернет-розыск» помогало в те дни уральской полиции.
Телефоны митингующих Бедеров проверял через свой сервис «ТелПоиск», который может идентифицировать человека по открытым данным: «Мы просто вводим номер во всех возможных источниках, от Headhunter до Avito, — и у нас вылезают привязки к резюме, телефонным книжкам третьих лиц, а машина уже делает вывод, что пользователем, скорее всего, является человек с таким-то именем и такими-то соцсетями».
Сейчас боты Бедерова собирают информацию в «педофильских чатах»; совместную работу по деанонимизации этих пользователей Бедеров ведет с другим подрядчиком МВД — Евгением Венедиктовым, чья мониторинговая система «Демон Лапласа» недавно обнаружила «большой всероссийский чат растлителей». «Список телефонов подписчиков я отдал Игорю [Бедерову], потому что сам этих людей не отработаю, а у него есть связи в Питере: проверят, не поступил ли подписчик чата педофилов на работу в школу», — рассказывает Венедиктов.
Венедиктов показал «Медузе», как работает и другая его программа — Insider Telegram: от номера телефона — только шаг до деанона. Иногда можно установить и домашний адрес, демонстрирует Венедиктов: «Потому что у нас база [онлайн-ритейлера] WildBerries.ru установлена. Через эту базу программа связывает мобильный не только с именем, но и с адресом, на который пользователь делал заказ. [Оперативнику] не нужно делать запросы какие-то: два клика — и все».
На вопрос «Медузы», не нарушает ли это закон о персональных данных (в нынешней редакции , сказала «Медузе» директор по стратегическим проектам Института исследований интернета Ирина Левова, «к персональным данным относятся любые данные, которые соотнесены с именем»), Венедиктов отвечает не сразу. «Это, может, и нарушает закон о персональных данных, но мы привязку к базе WildBerries не продаем. В принципе, используем эту фичу только для демонстрации», — формулирует он.
Если бы разработка ГлавНИВЦ не была подключена к «серым» и «черным» базам данных, «Шерлок» ничем не отличался бы от многих других сервисов, рассуждает Карен Казарян: «Я видел, что умеют некоторые коммерческие системы, которые законно работают на российском рынке. Они три четверти из этого [функционала „Шерлока“] могут сделать — сложить тебе и VIN, и СНИЛС, и ИНН, и последние IP-адреса прошерстить — разве что номера паспорта у них нет».
Такими возможностями обладают, приводит пример Казарян, Double Data и Tazeros Global Systems Артура Хачуяна. Обе компании собирают, хранят и сопоставляют огромные массивы данных; обе конфликтовали из-за этого с крупнейшими соцсетями: Facebook требовал от Social Data Hub (вошла в Tazeros) Хачуяна прекратить слежку за пользователями; «ВКонтакте» хотела запретить Double Data «использование открытых данных пользователей для продажи своих услуг».
Основной бизнес Double Data, рассказывает Игорь Бедеров, — это розыск потенциальных клиентов для банков и страховщиков: «Например, благодаря данным службы судебных приставов и кредитных бюро они выявляют лиц, которым надо перекредитоваться, — и продают их микрофинансовым учреждениям. Во-вторых, актуализируют данные должника для коллекторов. В-третьих, выявляют мошенников».
«Допустим, к ним приходит страховая компания и говорит, что у них в каком-то регионе очень много страховых случаев: „Деньги туда просто улетают — посмотрите, пожалуйста?“ Double Data залезают во „ВКонтакте“, смотрят совершенно открытые данные и строят связи между людьми: есть ли они на фотографиях где-то вместе и так далее. И оказывается, что страховщик, работающий в этом регионе, дружит с чуваками, которым он выплачивал. И они все вместе состоят в группе под названием „Легкие страховые выплаты“. Делаем вывод, что страховщик просто по дружбе или за мелкий прайс оформил ребятам выплату за неслучившееся ДТП», — рассказывает собеседник «Медузы» из компании-конкурента Double Data (в компании отказались общаться с «Медузой»).
Вся эта отрасль называется business intelligence (BI), она же интернет-разведка, или «цифровые расследования», объясняет сооснователь одного из крупнейших российских хостинг-провайдеров «Мастерхост»Леонид Филатов. Основной метод работы — «обогащение данных»: «Например, мы используем паспортные данные как основной идентификатор. Вокруг идентификатора выстраиваем доступные нам базы. Берем ЗАГС: родственные связи, жена, сестра — наше физлицо обогатилось связями. Потом берем налоговую: видим ФИО, доходы, места работы и ИНН. Раз есть ИНН, накладываем на это базу данных ЕГРЮЛ: смотрим, какие компании человек создавал. Дальше начинаем эти данные смешивать — крутить эти кубики; выясняется, например, что куча родственников одного и того же чиновника получает доход от одного и того же бизнеса».
«Я сам когда-то баловался системами вроде „Шерлока“, — признается Филатов. — Обогащал базу аккаунтов данными из различных баз, искал зависимости, сочетания, соответствия. Дальше либо ты работаешь в черном поле, либо ты работаешь в белом поле. Если ты работаешь в белом поле, изволь накинуть на себя погоны полковника. Я просмотрел презентации ГлавНИВЦ и подумал: о, спецура. Тут философия в том, чтобы создать максимальное количество компромата на всех. Чем больше они про вас знают, тем больше у них уверенности, что они на вас что-то чувствительное при необходимости нароют».
Признаки горения
Собеседнику «Медузы», который в 2017 году побывал на презентации ГлавНИВЦ для руководства страховой компании, больше всего запомнилась не демонстрация возможностей «Шерлока», а другой слайд. Под заголовком «„ПСКОВ“ — это информация из…», говорит он, там перечислялись встроенные в него сервисы. «Где-то в середине странички встречались „Медиамонитор“ и „Шерлок“ — как раз то, что нас в итоге заинтересовало, — вспоминает собеседник „Медузы“ в страховой компании. — А тремя пунктами ниже были указаны СОРМ-1, СОРМ-2 и СОРМ-3. По поводу этого мы не стали даже задавать уточняющих вопросов, потому что дураку понятно, что это гостайна. Может, потом в ГлавНИВЦ пришли люди из ФСБ, которые обнаружили backdoorв СОРМе и оторвали создателям „ПСКОВа“ яйца».
Представители ГлавНИВЦ упоминание системы СОРМ комментировать во время демонстрации не стали. «Это нужно много чего нарушить, — говорит Карен Казарян. — Крыша для торговли данными СОРМа должна быть от генерала, причем МВД исключается, это должен быть эфэсбэшник». Собеседник «Медузы» в ФСБ утверждает, что таких возможностей у «ПСКОВа» быть не могло: «В последний раз слышал, что доступ к СОРМ продавали в коммерческий сектор, лет семь назад, а „признаки горения“ [установленный факт продажи данных] в последний раз были 12 лет назад — и все это должностные преступления единичных сотрудников».
ГлавНИВЦ вел «альтернативные разработки» по СОРМ-1 и СОРМ-2, вспоминает бывший аналитик ГлавНИВЦ: «Немного претендовали на эту историю. Коллеги регулярно поговаривали о доступе к данным СОРМ. Речь могла идти об использовании тех же инструментов „ПСКОВа“, но в кооперации с компанией, которая по СОРМ очень плотно работает. Мог пойти к ним и предложить кооперацию». Ветеран ФСБ, указавший в своем резюме «деятельность в рамках СОРМ-1, СОРМ-2», сейчас занимается в ГлавНИВЦ «конкурентной разведкой».
«[Фразу про СОРМ], наверное, из презентации для милиционеров забыли убрать», — считает бывший сотрудник ГлавНИВЦ Алексей Щеглов. Предприятие действительно разработало технологию, которая позволила бы уполномоченным органам обрабатывать большие массивы данных — в том числе данных СОРМ, рассказывает Щеглов, но «саму розетку [подключение к СОРМ] не так-то просто получить. И, знаете, иногда главное — просто продать презентацию».
Автор: Лилия Яппарова
Редактор: Алексей Ковалев