У человека, называвшего себя «Мо», были тёмные волосы, иностранный акцент, и — если фотографиям, которые он отослал сотрудникам ФБР, можно верить — иранская военная форма.
После того, как в прошлом году он неоднократно угрожал взорвать бомбы в университетах и аэропортах по всем США, полиции всякий раз приходилось спешно выезжать на место.
Мо оставался неуловимым многие месяцы, выходя на связь с посредством e-mail, видеочатов и IP-телефонии, не раскрывая своё истинное лицо или местонахождение, что видно из материалов суда. Без дома, в котором можно провести обыск, и без телефона, который можно прослушать, следователи обратились к помощи нового типа инструментов слежки, пересылаемых через интернет.
Согласно документам, элитная команда хакеров из ФБР разработала образец вредоносного ПО, которое может быть скрытно установлено в момент, когда Мо воспользуется своим почтовым аккаунтом Yahoo с любого компьютера в мире. Задачей этой утилиты являлся сбор разнообразной информации — посещаемых им сайтов и счётчиков, указывающих на местоположение компьютера — это должно было позволить следователям найти Мо и связать его с телефонными звонками с угрозами взрыва.
Такие высокотехнологичные способы поиска, именуемые ФБР «сетевые методы расследования», использовались в случаях, когда власти сталкивались с проблемами отслеживания подозреваемых, являющихся экспертами по скрытию следов своей деятельности в онлайне. Как указывают судебные материалы и люди, знакомые с этой технологией — наиболее мощные ФБР-овские утилиты слежения способны скрытно скачивать файлы, фотографии и сохранённые почтовые сообщения или даже получать изображения в реальном времени, активируя камеру, подключённую к компьютеру.
Онлайн-наблюдение выходит за границы конституционных ограничений по обыску и изъятию, так как при этом собирается масса информации, часть — без прямой связи с каким-либо преступлением. Критики сравнивают это с физическим обыском, при котором изымается всё содержимое дома, а не только те предметы, которые, предположительно, могут стать доказательствами по определённому правонарушению.
В прошлом году федеральный судья Денвера санкционировал отправку утилиты слежения на компьютер Мо. Не все подобные запросы приветствуются судами: план ФБР по отправке ПО для слежения подозреваемому в другом деле, включавшем в себя активацию камеры, встроенной в компьютер подозреваемого, был отклонен федеральным судьёй Хьюстона, постановившим, что это было бы «в высшей степени вмешательством» и нарушением Четвёртой поправки (прим. переводчика — запрещает произвольные аресты и обыски и требует обоснования арестов, а также санкции суда).
«Вы не можете просто так собирать компромат» — говорит Лаура К. Донохью (Laura K. Donohue), профессор права Джорджтаунского университета, изучившая судебные постановления по трём последним случаям использования ФБР программного обеспечения для слежения, включая и случай с Мо. «Должна быть связь между предполагаемым преступлением, и изымаемыми материалами. Тут же, они забирают всё».
ФБР и министерство юстиции отказались дать комментарии по делу или методикам наблюдения, используемым для поимки Мо.
Но связанные с расследованием судебные материалы, созданные в момент, когда ФБР запросило ордер перед отправкой утилиты слежения к Мо через интернет, предоставили редкую возможность взглянуть на инструменты, используемые Бюро для отслеживания подозреваемых в онлайн-среде, богатой на укромные местечки.
Это дело также показывает ограниченность ПО для слежения, которое не поспособствовало аресту Мо, и юридические проблемы, возникающие, в случае, если местоположение подозреваемого неизвестно.
«Подозреваемый может находиться на соседней улице или на другой стороне земного шара», — говорит Ясон М. Вайнштейн (Jason M. Weinstein), бывший заместитель помощника главного прокурора США в уголовном отделе министерства юстиции, а в настоящее время — компаньон в Steptoe & Johnson. Он также добавил, что у него нет достоверной информации о деле Мо. Но, тем не менее, оно «поднимает более широкие вопросы о том, насколько существующие правила походят для решения проблемы».
Таинственный звонящий
Как указано в судебных материалах, первый звонок от Мо поступил в июле 2012, через два дня после того, как неуравновешенный человек с волосами, выкрашенными в рыжий цвет, застрелил 12 человек в кинотеатре городка Орора (Аврора) на окраине Денвера, штат Колорадо. Мо позвонил в офис шерифа округа и, назвавшись другом предполагаемого убийцы, пригрозил взорвать здание с большим количеством потенциальных жертв, если тот откажется отпустить преступника.
Через три часа Мо и помощник шерифа закончили телефонный разговор, попутно обмениваясь друг с другом немалым количеством сообщений по электронной почте. Это дало следователям несколько подсказок, включая телефонный номер и действующий адрес на Gmail, почтовом онлайн-сервисе.
И, тем не менее, личность Мо осталась загадкой. Оказалось, что номер зарегистрирован в Google Voice — интернет-сервисе для совершения телефонных звонки с компьютера. А когда ведомство сделало срочный запрос в Google для получения информации, сопряжённой с его учётной записью, стало известно, что Mo использовал онлайн-сервис, т.н. «виртуальный прокси» для скрытия идентифицирующей информации о компьютере, которым он пользовался. Имя, на которое был зарегистрирован аккаунт Google, звучало так: «Soozan vf».
Очевидной связи с Ираном не прослеживалось, хотя и на фотографиях, позже отправленных Мо следователям, виден человек с оливковой кожей, в возрасте до 30 лет, в том, что позже в документах суда будет названо «иранская военная форма — камуфляж светло-коричневого цвета».
Материалы суда показали следующее: утверждается, что спустя несколько месяцев Мо пригрозил взорвать бомбы в окружной тюрьме, в отеле DoubleTree, в Денверском университете, Техасском университете, международном аэропорту Сан-Антонио, университете содружества Виргинии и других местах скопления людей по всей стране.
Хотя бомбы так и не нашли, во время своих торопливых угроз Мо стал использовать новый почтовый ящик со зловещим названием: «[email protected]» (прим. переводчика — техасский убийца). Он также предоставил следователям правдоподобное имя — Mohammed Arian Far — его инициалы отдалённо походят на имя, использованное им при регистрации Google-аккаунта: «mmmmaaaaffff».
Информация об аккаунте, полученная в сентябре 2012, после получения ордера, содержала дату рождения, из которой следовало, что Мо 27 лет, и это совпадало с предположением следователей, основанном на фотографиях, которые он им отправил. Поле «страна» гласило «Иран». По IP-адресу компьютера, использованного Мо для создания аккаунта в 2009 году, можно было предположить, что в то время он находился в Тегеране. Но не было известен не только его адрес, но даже вероятность его пребывания там до сих пор.
Фишинг подозреваемого
Команда ФБР действует почти так же, как и другие хакеры, используя бреши в системе безопасности компьютерных программ для получения контроля над компьютерами пользователей. По словам тех, кто знаком с методикой, наиболее популярным механизмом доставки является фишинг (прим. переводчика — игра слов: от password — пароль и fishing — рыбная ловля) — ссылка, аккуратно вставленная в письмо, как правило, с обманчивым названием.
Когда пользователь щёлкает по ссылке, происходит соединение с компьютером в штаб-квартире ФБР в Квантико, штат Вирджиния, и скачивается вредоносное программное обеспечение, называемое так, потому что оно работает скрытно, обычно используется для шпионажа или каким-то иным способом использует владельца компьютера. Как и при некоторых типах обычного обыска, человек обычно узнаёт об этом лишь после того, как доказательство было изъято из его собственности.
«В нашем мире органы правопорядка взламывают компьютеры людей, а у нас никогда не было публичного обсуждения этого вопроса», — говорит Кристофер Согоян (Christopher Soghoian), главный технический специалист Американского союза борьбы за гражданские свободы (American Civil Liberties Union). «Судьям приходится предоставлять такие полномочия по мере развития технологий».
Бывшие госслужащие говорят, что ФБР экономно использует эту методику, чтобы максимально ограничить доступ общественности к информации об онлайн-утилитах наблюдения. Они были освещены в сюжете 2007 года, когда в Wired рассказали о том, как ФБР отправило наблюдательное ПО владельцу аккаунта MySpace, имеющему отношение к угрозам взорвать бомбы в школе штата Вашингтон.
ФБР смогло скрытно активировать камеру компьютера — не вызывая активности светодиода, дающего пользователю знать о том, что идёт запись — и в течение нескольких лет использовало этот метод в основном для дел, связанных с терроризмом или наиболее серьёзных уголовных расследований, — говорит Маркус Томас, бывший заместитель директора отдела операционных технологий в Квантико, теперь состоящий в совете консультантов компании Subsentio, помогающей операторам связи работать в соответствии с федеральными законами о прослушке.
Технологии ФБР продолжают развиваться по мере того, как пользователи всё более уходят от использования традиционных компьютеров и проявляют изобретательность с целью маскировки своё местоположения и личности.
«Из-за шифрования и из-за того, что объекты с возрастающей частотой используют мобильные устройства, в правоохранительных органах осознают, что всё чаще и чаще им нужно иметь доступ к этим устройствам или в облачных сервисах», — говорит Томас имея ввиду удалённые службы хранения данных. «Всё это уже реализовано, так что им придётся использовать такие методики всё чаще».
Возможность удалённо активировать трансляцию видео, была указана в одном деле в Хьюстоне, где в апреле этого года федеральный судья Стивен В. Смит (Stephen W. Smith) отказал ФБР в ордере. В этой ситуации, о которой впервые сообщил Wall Street Journal, Смит решил, что использование такой технологии в деле о банковских махинациях будет «в высшей степени вторжением [в частную жизнь]», и приведёт к риску случайно получить информацию о людях, не имеющих отношения к каким-либо преступлениям.
Смит также сказал, что мировой суд в Техасе не обладал полномочиями для выдачи разрешения на взлом компьютера, местонахождение которого неизвестно. Он написал, что использование такого ПО для наблюдения может стать нарушением Четвёртой поправки, ограничивающей необоснованные обыски и изъятия.
И, тем не менее, в декабре 2012 другой федеральный судья из Остина утвердил заявку ФБР на выполнение «разового ограниченного досмотра» — не включающего камеру компьютера — путём отправки разведывательной утилиты на электронную почту лица, скрывающегося от федерального правосудия.
В этом деле у следователей были доказательства, что мужчина, предположительно укравший личность солдата, служившего в Ираке, проживал в отеле в городе Сан-Антонио, расположенном приблизительно в часе езды от Остина. ФБР-овская утилита для слежения отправила детальный перечень содержимого компьютера, включая используемое аппаратное обеспечение, количество свободного места на жёстком диске и список загруженных программ. Позже он был арестован, осуждён и приговорён к пяти годам тюрьмы за финансовое мошенничество и кражу личности.
«Технологии эволюционируют, и правоохранительным органам сложно поспевать за ними», — говорит Брайан Л. Оусли (Brian L. Owsley), бывший федеральный судья из Техаса, не связанный ни с одним из дел. «Это игра в кошки-мышки».
Поиск продолжается
Но, несмотря на то, что следователи подозревали, что Мо находился в Иране, неуверенность в его истинной личности и местоположении осложняла дело. Если бы оказалось, что он является гражданином США или иностранцем, проживающим в стране, досмотр, выполненный без ордера, мог поставить под угрозу его судебное преследование.
Федеральный судья Кэтлин М. Тафоя (Kathleen M. Tafoya) утвердила заявку ФБР на ордер, поданную 11 декабря 2012 года, почти через пять месяцев после первого звонка с угрозами от Мо. Этот ордер давал ФБР две недели для того, чтобы постараться активировать утилиту для слежения, отосланную на [email protected]. Казалось, что всё, что необходимо следователям — чтобы Мо зашёл в свой аккаунт и, практически моментально, ПО стало бы отсылать информацию в Квантико.
Канцелярские препоны оказались сложнее юридических. В первой заявке на ордер для обыска с почтовым адресом Мо на Yahoo обошлись небрежно, спутав одну букву, пообещав при этом предоставить исправленный запрос. Обновление программы, которая являлась целью утилиты слежения, тем временем вызывало опасения, связанные с возможностью появления неисправности, что заставило ФБР переделать вредоносное ПО перед его отправкой на компьютер Мо.
Ордер санкционировал «интернет-ссылку», [клик по которой] скачал бы утилиту для слежением за компьютером Мо, в момент входа в его учётную запись Yahoo. (Yahoo в ответ на запрос The Washington Post выпустила заявление, в котором говорится, что они не имели понятия об этом деле, и не помогала никоим образом).
Утилита слежения была отослана 14 декабря 2012 года — через три дня, после того как был выписан ордер — но согласно судебным материалам, приложенным к делу в феврале, программа ФБР не сработала должным образом,
«Программа, скрытая за ссылкой, отосланной на [email protected] на деле ни разу не запустилась, как предполагалось», — доложил суду федеральный агент в своём рукописном докладе.
Но в ней говорится, что компьютер Мо отослал информационный запрос на компьютер ФБР, раскрыв при этом два новых IP-адреса. По обоим можно судить, что по крайней мере, в прошлом декабре Мо всё ещё находился в Тегеране.
Примечание редакции: сейчас набирают силу разговоры о грядущем «интернете вещей», возможности фактически оцифровать реальность с помощью миллионов работающих устройств с разнообразными датчиками и сенсорами, передающих данные в реальном времени. Как мы видим из примера с поисками Мо, эти данные будут использоваться не только для улучшения жизни трудящихся, но и для организации тотальной слежки. Причем если в США ФБР и другие спецслужбы еще как-то будет ограничивать суд, то мы-то с вами живем в России… Реальность становится все интереснее и интереснее.
Оригинал текста.