- PVSM.RU - https://www.pvsm.ru -

Какой софт и базы использует Bellingcat в своих расследованиях?

Какой софт и базы использует Bellingcat в своих расследованиях? - 1

Весь мир обсуждает последнее расследование детективного агентства Bellingcat [1]. Кажется невероятным, что группа обычных пользователей [2] способна распутать такое дело. При этом они используют стандартные инструменты и базы данных, зачастую доступные в интернете.

Неужели сегодня можно раскрыть преступление вообще не вставая из-за компьютера? Только на основании следов, которые люди оставляют в базах данных, в истории мессенджеров, в логах операторов связи, на камерах наблюдения?

Или это фантастический киберпанк?

На Хабре уже писали, как специалисты Bellingcat использовали обратный поиск изображений на «Яндексе» [3] — действительно, уникальный инструментарий с использованием машинного обучения. Google с некоторого времени прикрыл данную функциональность в поиске картинок. Возможно, скоро и «Яндекс» закроет эту функцию в публичной версии (по крайней мере, некоторые читатели в комментариях к статье предполагают такой вариант [4]). Так или иначе, но Bellingcat вдобавок к этому использует и много других инструментов.

Рынок купли/продажи персональной информации довольно спокойно жил несколько лет, пока не случилось это расследование. После него резко выросли цены, а некоторые посредники вообще бесследно исчезли. По мнению экспертов [5], ситуация должна восстановиться к марту 2021 году.

Итак, давайте изучим по шагам расследование Bellingcat. Оно начинается с пробива по базе звонков.

Биллинг сотовых операторов

Какой софт и базы использует Bellingcat в своих расследованиях? - 2

После прошлого расследования у Bellingcat был список сотрудников, которые работали с химоружием за границей, и их телефонных номеров. Следователи предположили, что для операции внутри РФ будут использоваться другие кадры, поскольку эти кадры уже «спалились» в публичном расследовании. Однако пробив старых агентов показал, что один из них созванивался со специалистом по химоружию из Пятигорского института Минобороны через несколько часов после отравления. Это было их единственный разговор на протяжении шести месяцев. Следователи предположили, что профессионалы могли обсуждать какое-то интересное для них событие.

Затем следователи изучали несколько других ниточек, в том числе подробно проверяли личности всех, с кем разговаривал по телефону руководитель научного центра «Сигнал», где разрабатываются вещества. Оказалось, что 6 июля 2020 года он очень плотно общался с разными сотрудниками ФСБ, которые раньше не попадали в поле зрения Bellingcat. Если раньше руководитель «Сигнала» общался с ФСБ раз в месяц, то теперь за один день состоялось 15-20 звонков.

Детализацию биллинга продают, в том числе, сотрудники операторов мобильной связи. Детализация звонков и SMS по конкретному номеру стоит 20 тыс. руб. за первый месяц и 7000 руб. за каждый следующий, скидка до 50% при заказе от 5 абонентов. Геолокация по номерам телефонов — 110 тыс. руб. за телефон в месяц.

Какой софт и базы использует Bellingcat в своих расследованиях? - 3

В биллингах на каждый звонок или подключение к интернету указана конкретные базовые станции, к которым телефон привязан в данный момент. Триангуляцию следователи выполняют иногда вручную в графическом редакторе. Затем из точек триангуляции составляется тепловая карта — она показывает, где человек бывает чаще всего. Обычно это дом и работа.

Детализация биллинга выявила много интересного, в том числе один из каналов связи фсбшников — WhatsApp, что довольно неожиданно.

После провала этой операции можно предположить, что ФСБ будет жёстче следить за операторами и серьёзнее наказывать за утечки. Поскольку риски возрастают, цены на услуги в ближайшее время тоже будут расти.

Социальный граф и дата-майнинг

Дальше расследование раскручивалось по цепочке: теперь уже проверялись все звонки каждого из сотрудника, выявленных на предыдущем этапе. Так определилась группа из шести номеров, которые часто общаются между собой.

Пробивка абонента по номеру телефона стоит 1000 руб. Здесь выделяются интересующие персонажи — агенты, химики, специалисты, которые тоже участвовали в операции.

Место работы проверяется в приложении GetContact (запись контакта в адресной книге телефона) или другой слитой на чёрный рынок базе данных. В Bellingcat используют в том числе коллекцию баз данных Larix, включающую в себя сведения о кредитной истории, трудоустройстве, судимостях и перелётах.

Какой софт и базы использует Bellingcat в своих расследованиях? - 4

«Мы все купленные биллинги загружаем просто в базу MySQL — и потом по ней уже можно делать конкретный запрос. Узнать, например, какой номер чаще всего созванивается с другим» — рассказывал [6] главный расследователь Bellingcat Христо Грозев.

Авиаперелёты

На следующем этапе следователи проверили авиаперелёты каждого сотрудника в этой группе из шести человек.

Узнать попутчиков/пассажиров рейса на чёрном рынке сейчас стоит 15 000 руб. за рейс.

Здесь тоже обнаружилась корреляция.

Какой софт и базы использует Bellingcat в своих расследованиях? - 5

Информацию по авиаперелётам каждого гражданина можно найти в базах от авиакомпаний. Некоторые из них слиты уже давно. По этим базам нашлось 37 совпадений.

Какой софт и базы использует Bellingcat в своих расследованиях? - 6

Грозев говорил, что сначала базы пробивали всплепую, но потом стали выбирать их более целенаправленно.

Перелёты и поездки человека за один год пробиваются по базе МВД «Магистраль» за 2000 руб.

Какой софт и базы использует Bellingcat в своих расследованиях? - 7

Базы с железнодорожными и авиабилетами вплоть с 2017 по 2019 годы уже разошлись по интернету. Они есть почти у всех. Благодаря пакету Яровой [7] теперь данные продают за три года, а не за шесть месяцев, как раньше.

В этих расследованиях гораздо сложнее достать актуальную информацию по сегодняшним/вчерашним рейсам, тогда как архивные данные лежат практически в открытом доступе.

Базы данных

Следователи Bellingcat собрали информацию на каждого из шести членов группы. Услуга «Роспаспорт» (данные паспорта, загранпаспорта, адресов регистрации, фото владельца) стоит всего 1400 руб. с человека, за 11 человек со скидкой с могли взять 10 тыс.

Какой софт и базы использует Bellingcat в своих расследованиях? - 8

Места парковок и поездки из базы «Поток» (движение и остановки по камерам города) стоят 2500 руб. за авто за первый месяц и 1500 руб. за следующие.

Кроме подпольных сервисов пробива, очень много информации лежит просто в открытом доступе. Когда на рынке появляется новая БД, то она дорого стоит только в первый год или два, а затем сливается по всем каналам.

На специализированных форумах можно найти практически любые приватные данные о любом человеке. Например, вот актуальные цены у одного из продавцов:

Какой софт и базы использует Bellingcat в своих расследованиях? - 9

Банковская категория с пробивом физ- и юрлиц — одна из самых популярных на форумах. Информацию «сливают» сотрудники самих банков, которые могут посмотреть информацию по любому счёту.

Какой софт и базы использует Bellingcat в своих расследованиях? - 10

Bellingcat несколько лет отслеживает разнообразные источники информации в открытом доступе и собирает их. Собственно, такое же хобби есть у многих читателей подпольных форумов и телеграм-каналов со сливами данных. Удобнее провести поиск по своим базам, чем запускать платный пробив по коммерческим сервисам вроде всем известного телеграм-бота «Глаз бога», у которого в России более 200 тыс. пользователей [8].

Какой софт и базы использует Bellingcat в своих расследованиях? - 11
Платформа «Глаз блога» объединяет более 40 источников информации. Один запрос на расширенный поиск через телеграм-бота стоит 30 рублей

Активисты Bellingcat собрали большое количество таких баз. В наше время подобным занимаются все, кто интересуется исследовательской журналистикой с цифровой криминалистикой в интернете (forensic investigations).

Цифровая криминалистика

Цифровая криминалистика — одна из новых профессий 21 века. Сейчас практически любой человек оставляет за собой яркий цифровой след, который с каждым годом становится всё более жирным. Мало аспектов нашей жизни не регистрируется цифровыми устройствами, поэтому цифровая криминалистика становится настолько мощным инструментом.

Многие преступления можно расследовать и раскрыть не вставая из-за компьютера.

Некоторые инструменты и базы данных свободно доступны через интернет и бесплатны, как база патентов Федеральной службы по интеллектуальной собственности [9]:

Какой софт и базы использует Bellingcat в своих расследованиях? - 12

Слив персональных данных как фундамент гражданской журналистики

Гражданская журналистика, которая расследует государственный терроризм и преступления правительств разных стран — главная заноза для тоталитарных политических режимов. Это краудсорсинг в самом прямом смысле: когда сетевой разум решает такие головоломки, которые не могут осилить целые разведывательные службы отдельных государств.

Или это настоящие спецслужбы используют сетевой разум в своих целях, как раньше хакеры сливали украденные документы в Wikileaks, чтобы анонимно опорочить противника? Границы настолько размылись, что чётко отделить гражданскую журналистику от деятельности спецслужб становится сложно.

Нужно отметить, что массовые проблемы с утечкой персональных данных граждан присущи не только России. Например, в Индии тоже торгуют такими базами налево и направо [10].

В принципе, тут нет ничего нового.

В России такие базы начали продавать на компакт-дисках ещё в 90-е годы. Около десяти лет назад были популярны сервисы пробива Radarix.com и RusLeaks.com, которые были вскоре закрыты [11]. На их место пришли другие, а в даркнете подобные сервисы довольно хорошо известны. В последние годы отрасль вышла на принципиально новый уровень, поскольку количество баз данных сильно увеличилось. На рынке действуют даже специальные «гаранты сделок», посредники, которые защищают клиентов (покупателей информации) от мошенников.

По мнению специалистов, бороться со сливом персональных данных в открытый доступ практически невозможно. Этих данных становится всё больше, так же как источников информации.

Перспективные сервисы и услуги, которые могут появиться в ближайшие годы:

  • Таргетированный сбор информации на конкретного человека через краудсорсинговую сеть анонимных информаторов (Google для персоналий)
  • Автоматизированная биржа купли/продажи персональных данных. Например, каждый пользователь сможет продать здесь видеозаписи, сделанные со своего видеорегистратора или смартфона с записью соседей или коллег по работе.
  • Создание фейковых личностей через генерацию персональных данных в БД (сейчас в ФСБ людям на выдуманные фамилии делают паспорта с давней датой выдачи, но история авиаперелётов, штрафы за парковку и другой цифровой след у них отсутствует).
  • Генерация источников с «отравленными» данными от контрразведки.

В общем, это действительно интересные новые возможности для разведки, шпионажа, а также краудсорсинга и гражданской журналистики.

Интересный парадокс. Благодаря системе тотальной слежки за гражданами сами граждане получают возможность следить за агентами спецслужб. Bellingcat — одна из первых организаций, которая этим занимается, но явно не последняя.

Какой софт и базы использует Bellingcat в своих расследованиях? - 13

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить

  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи [12].

Что делать, если: минусуют карму [13] | заблокировали аккаунт [14]

Кодекс авторов Хабра [15] и хабраэтикет [16]
Полная версия правил сайта [17]


На правах рекламы

Подыскиваете VDS [18] для отладки проектов, сервер для разработки и размещения? Вы точно наш клиент :) Посуточная тарификация серверов самых различных конфигураций, антиDDoS и лицензии Windows уже включены в стоимость

Автор: Mikhail

Источник [19]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/360570

Ссылки в тексте:

[1] последнее расследование детективного агентства Bellingcat: https://www.youtube.com/watch?v=smhi6jts97I

[2] группа обычных пользователей: https://meduza.io/feature/2015/02/24/oruzhie-massovogo-obnaruzheniya

[3] обратный поиск изображений на «Яндексе»: https://habr.com/ru/company/globalsign/blog/483736/

[4] предполагают такой вариант: https://habr.com/ru/company/globalsign/blog/483736/#comment_21125568

[5] мнению экспертов: https://www.youtube.com/watch?v=QrFvEheQL4Q

[6] рассказывал: https://meduza.io/feature/2020/12/16/ne-tak-to-prosto-otravit-cheloveka-novichkom

[7] пакету Яровой: https://habr.com/ru/company/digitalrightscenter/blog/354410/

[8] более 200 тыс. пользователей: https://tgstat.ru/channel/@eye_of_god_tg

[9] база патентов Федеральной службы по интеллектуальной собственности: https://new.fips.ru/elektronnye-servisy/informatsionno-poiskovaya-sistema/informatsionnye-resursy-.php

[10] в Индии тоже торгуют такими базами налево и направо: https://restofworld.org/2020/all-the-data-fit-to-sell/

[11] были вскоре закрыты: https://lenta.ru/news/2009/04/24/radarix/

[12] форму обратной связи: https://habr.com/feedback/?type=4

[13] минусуют карму: https://habr.com/info/help/karma/#recovery

[14] заблокировали аккаунт: https://habr.com/info/help/sandbox/

[15] Кодекс авторов Хабра: https://habr.com/ru/docs/authors/codex/

[16] хабраэтикет: https://habr.com/ru/docs/help/rules/#culture

[17] Полная версия правил сайта: https://habr.com/info/help/rules/

[18] VDS: https://vdsina.ru/cloud-servers?partner=habr220

[19] Источник: https://habr.com/ru/post/535688/?utm_source=habrahabr&utm_medium=rss&utm_campaign=535688