17 июня 2024, 17:06
Как не работают санкции против силовиков
Мы без конца проклинаем товарища Путина — и, разумеется, за дело. И всё же я хочу спросить: кто те люди, которые обходят санкции и мешают группе Макфола-Ермака закончить войну путём запрета карточек и виз?
Сегодня я расскажу вам о кейсе, который до недавнего времени мало обсуждался в русскоязычном инфопузыре. Вы узнаете, откуда российские силовики берут последние технологии, чтобы преследовать сограждан за политические взгляды.
Итак, 2022 год, Путин объявляет «специальную военную операцию». Множество россиян в несколько волн покидают страну. Одни в знак протеста, другие из-за политических дел, третьи из-за мобилизации. Такое беженство тяжёлое испытание: за границей нет работы, тяжело легализоваться, карточки не дают или закрывают, о ВНЖ можно даже не заикаться. Помощи нет и не предвидится. Ручеёк разворачивается вспять. Спустя пару лет неудавшиеся эмигранты едут домой. Вместе с ними время от времени приезжают и вполне удавшиеся, чтобы навестить родственников и обнять берёзку.
Некоторых из них на въезде допрашивают бравые сотрудники Пограничной службы ФСБ России. Просят показать телефон на предмет крамолы, а у некоторых и вовсе забирают и куда-то уносят.
Часто такие процедуры заканчиваются новыми уголовными делами. Например, гражданка США и России Ксения Хавана вернулась домой, навестить семью, и оказалась фигуранткой дела о госизмене за донат украинскому фонду суммой в 51 доллар.
Других ловят на выезде и обвиняют в намерении воевать на стороне Украины — зачастую мнимом. Такие дела тоже уже давно исчисляются как минимум десятками.
В этом зловещем конвейере понятно практически всё, потому что со всем этим мы хорошо знакомы. Назначение виновных по престижным статьям, за которые дают медали и звания. Карусельные аресты, чтобы потянуть время перед возбуждением дела. Давление на защитников и на самих подозреваемых. Самый честный путинский суд, у которого никогда нет оснований не доверять показаниям силовиков. Об этих вещах мы слышим буквально каждый день.
А вот данные из смартфона, которые часто ложатся в материалы таких дел, — откуда они берутся? В обычном телефоне лежат гигабайты информации: горы фото и видео, километры переписок с семьей и друзьями. Что-то подчищено, что-то — нет. Как погранцам удается за такой короткий срок — всего за пару часов — найти в устройстве интересующую информацию? И как они вообще проникают в устройство, если владелец не разблокировал его сам? При помощи особой пограничной магии и горячего паяльника? Или есть более изящные средства?
Скорее всего, оба варианта верны в разных случаях, но нас сейчас интересует именно второй. Когда пограничник уносит ваше устройство в дальнюю комнату, у него уже лежит наготове невзрачный чемоданчик, похожий на тот, в котором ремонтники носят инструменты. А внутри — арсенал разных кабелей для разных мобильных устройств. Он достаёт подходящий и втыкает в ваш телефон. А вторым концом подключает к чёрному планшету. Экран планшета загорается, силовик стучит по нему потёртым стилусом или жирным пальцев — и экран блокировки на телефоне пропадает.
Довольный силовик привычно жмёт «Далее» и выбирает, какие данные его сегодня должны порадовать. Дальше ещё один клик и планшет в чемоданчике начинает работать — можно сделать перерыв, поставить чайник на кофе и выйти покурить.
Пока планшет качает данные, вас допрашивают коллеги господина в погонах: где вы так долго были за границей, что делали и почему решили повидать родину именно сейчас. Возможно, им действительно интересны ваши ответы и они не хотят прерывать захватывающую беседу. Но куда важнее просто потянуть время: загрузка — дело не быстрое.
А когда она завершится, вернувшийся с перекура телефонных дел мастер получит на своём рабочем компьютере готовый каталог нужных ему данных: сообщения из мессенджеров, история в браузере, СМС-ски, журнал звонков, телефонная книга, фото, голосовые, кружочки — всё, что нужно. Остаётся быстро пробежаться по ключевым словам: «война», «Навальный», «Украина». Выбрать диапазон дат для поиска — например даты антивоенных демонстраций. Посмотреть фотографии с камеры, которые встроенный ИИ-классификатор заботливо разложил по папочкам. Заодно проверить геометки на эти же фотографиях: так можно точно узнать, где вы в этот день были.
Картина постепенно проясняется: вот вы на антивоенном протесте в Москве; а вот ваш донат российскому оппозиционеру (или украинскому фонду); дискредитирующие армию посты в соцсетях, которые вы спешно удалили ещё год назад, но они сохранились в кэше приложения. Возможно, вы даже на 282 статью где-то наговорили.
Остается только в дело подшить.
Всё это, к сожалению, не гипотетическое развитие событий и не буйная фантазия сценариста. Такие чемоданчики и такое ПО существуют, а российские силовики ими активно пользуются. Это наборы для компьютерной криминалистики, или форензики — крайне удобная штука, которая облегчает жизнь специалистам. И о которой никто, кроме специалистов, почти ничего не знает. Хотя производители этих систем о своей работе говорят открыто и ничего не скрывают.
Магия начинается с уязвимостей нулевого дня. В любом устройстве, любой операционной системе, любой программе есть уязвимости, при помощи которых можно обойти те или иные средства безопасности. Даже если в текущей сборке их каким-то образом не оказалось, новые «дырки» наверняка появятся в ближайшем большом обновлении. Это неизбежно. Единственный вопрос в том, кто первым эти уязвимости находит: разработчик или злоумышленник.
Если первым оказался разработчик, то вам повезло: скорее всего, дыру в безопасности заделают в ближайшее время и вам на устройство прилетит обновление, после чего воспользоваться старой уязвимостью будет уже нельзя. А вот если первым будет злоумышленник, он сможет на базе этой уязвимости собрать программу-эксплоит, чтобы обойти один из механизмов безопасности вашего устройства. Это и есть уязвимости нулевого дня: те, о которых уже знают злоумышленники, но ещё не знают разработчики.
Кстати, не все уязвимости находят случайным образом, некоторые из них разработчики оставляют специально — это бэкдоры: «чёрный ход», через который в устройство могут залезть знающие слабое место третьи лица. Как правило, спецслужбы. Если верить сливу WikiLeaks под кодовым названием Vault 7, уязвимости нередко намеренно не устраняются из-за секретного сотрудничества технологических компаний со спецслужбами.
Само собой, многие готовы платить за получение такой информации, причём платить много. Производители устройств платят за найденные дыры сотни тысяч долларов в рамках программ bug bounty. А перекупщики на чёрном рынке платят миллионы.
Обладая достаточными ресурсами, компании, специализирующиеся на кибершпионаже, могут собрать коллекцию таких уязвимостей для большого круга устройств, и разработать набор вредоносного ПО, который позволит конечному пользователю — как правило силовику — залезть в любое из этих устройств.
Вы, скорее всего, слышали как минимум об одном таком продукте: это Pegasus, разработанный израильской компанией NSO Group. Pegasus используется для удалённого доступа к устройствам. Нас же интересует другое похожее направление: комплексы для криминалистического анализа, которые силовики используют при наличии физического доступа к устройству.
Один из самых известных производителей таких комплексов — Cellebrite, ещё одна израильская компания. Она разрабатывает комплексные решения для форензики: девайсы для использования «в поле», программное обеспечение для анализа, сбора и обработки информации и «облака» для хранения информации. Известнее всего именно «полевое» оборудование — UFED, Universal Forensic Extraction Device. Оно включает в себя весь набор инструментов криминалиста: от проникновения в устройство до формирования готового отчёта, который можно подшить в дело.
Cellebrite с удовольствием рассказывает о своих решениях в соцсетях: «Мы хорошие ребята, мы помогаем ускорять правосудие!». Подробности о том, откуда эти хорошие ребята взялись, приходится искать отдельно. Например, если посмотреть профили некоторых сотрудников, то окажется, что они работали в израильской военной разведке. Кроме связей в армии, у компании есть сотрудники из полиции, которые профессионального занимались взломом гаджетов.
А самая неприятная и тщательно скрываемая часть истории замечательного предприятия — это его клиентура. Cellebrite работает как основной подрядчик силовиков в США и Европе, а также в других странах мира. Например, в автократическом Бахрейне, где её «чемоданчиком» взломали гаджет местного диссидента и бросили его в тюрьму на 10 лет. В захваченном Китаем Гонконге, где UFED-ы взламывали телефоны протестующих тысячами. В управляемой военной хунтой Мьянме, где при помощи UFED-а посадили двух журналистов Reuters. Таких случаев множество.
Подобно NSO Group, израильские технари из Cellebrite стараются свалить вину за такие инциденты на своих клиентов: это, мол, их дело — законы соблюдать. А как выглядит законотворчество в авторитарных и тоталитарных режимах, и в какой степени местные власти соблюдают хотя бы эти чудовищные законы? Это уже отдельный вопрос, в которых обе фирмы предпочитают не вникать.
Впрочем, будет нечестно записывать в чёрный список только диктатуры. В демократических странах приватность тоже относительна. Отчасти в силу устаревшего законодательства; отчасти — в силу отсутствия прозрачности и общественного контроля над работой спецслужб.
Тут будет не лишним вспомнить, как в 2013-м ФБР провело «расследование» 150 перестрелок, в которых участвовали его агенты за предыдущие два десятилетия. Как показало «расследование» ФБР, агенты ФБР действовали исключительно в рамках закона, а убийство 70 и ранение еще 80 человек были оправданы и совершены без каких-либо нарушений. Верится в такие результаты с большим трудом, но удивления они не вызывают: когда силовики «расследуют» свои собственные действия, по-другому и не бывает.
Та же самая проблема возникает не только в случае с перестрелками, но и во всех других сферах, где побывала нога человека в погонах. В том числе сферы защиты тайны частной жизни и тайны переписки. С точки зрения силовиков, у них всегда есть и право, и достаточное основание копаться в чужих данных. И если их никто не остановит извне, то сами себя они не остановят и подавно.
Но вернемся к Cellebrite. С российскими властями фирма работала много лет: с 2011 по 2021 годы, о чём свидетельствуют данные на сайте госзакупок. И этому сотрудничеству не помешали ни аннексия Крыма, ни война в Сирии, ни отравления Навального и Скрипалей, ни конституционный переворот 2020 года.
Выдавить компанию из страны удалось только в ковидном 2021 году, когда Cellebrite UFED засветился в деле Любови Соболь и попал под прицел израильских правозащитников. Отвечать перед израильским судом фирма побоялась, поэтому объявила об уходе.
Но не ушла.
Согласно расследованию проекта «Первый отдел», комплексы UFED всё ещё работают в России и получают обновления, а использование UFED замечено в уголовных делах, возбуждённых в том числе в прошлом году. Последний официальный заказ на них был размещён спустя полгода после ухода Cellebrite с российского рынка — и «Первый отдел» считает, что этот заказ мог быть выполнен.
Впрочем, даже если официально Россия никаких UFED’ов не заказывала, это не значит, что их никто не поставлял. Тот же Китай, откуда Cellebrite тоже «ушла», без проблем закупает UFED через посредников и получает обновления. Для российских властей, за два года войны научившихся покупать всё что угодно в обход санкций, это тоже не представляет проблемы. Каждый четвёртый рубль из бюджета тратится на секретные расходы, и в них с высокой долей вероятностью входит софт и аппаратура для чекистов.
Плюс ко всему, у российских спецслужб есть альтернатива израильскому комплексу: «Мобильный криминалист». Сайт разработчика — компании «МКО Системы» — появился в ноябре 2022 года, из чего можно сделать ошибочный вывод, что это послевоенная наработка. На самом деле компания существует уже больше 20 лет, просто называлась раньше по-другому: ЗАО «Оксиджен Софтвер».
«Оксиджен Софтвер» разрабатывала софт для криминалистов еще с 2000 года, но поставляла свои продукты только во вне. А на российский рынок пришла в 2007 году, выпустив локализованную версию своего флагманского продукта. В 2015 году она сменила форму организации с ЗАО на ОАО, переименовалась в «МКО Системы» — и на этом можно подумать, что история закончилась.
Но «Оксиджен» после 2015 года не перестала работать с другими странами. У неё осталась компания-сестра, зарегистрированная в США как Oxygen Forensics — и вот эта компания продолжала существовать и работать на Западе, в то время как российская компания переименовалась и провела ребрендинг.
Более того, американская «Оксиджен» продолжает работать до сегодняшнего дня. А российский «Мобильный криминалист» до сегодняшнего дня остаётся локализованной версией того же продукта, который поставляют на западный рынок. Это не форк, не клон и не отдельная разработка, а буквально один и тот же продукт — что также стало известно из расследования «Первого отдела».
А дальше самое интересное: основатели американской Oxygen Forensics, Олег Давыдов и Олег Фёдоров, до ноября 2023 года оставались учредителями «МКО Систем». То есть спустя два года войны владельцы американской фирмы, разрабатывающей софт для спецслужб, продолжали поставлять продукт своей фирмы в Россию и даже не потрудились формально от всего этого дистанцироваться.
Напрашиваются очевидные параллели с грузовиками госпожи Каллас, которые за время войны успели отвезти в Россию грузов неизвестного характера на 1,5 миллиона евро. Или с Евросоюзом в целом, который вплоть до третьего года войны ничего не имел против поставок в Россию аппаратуры для прослушки и полицейского оборудования.
В России UFED и «Мобильный криминалист» работают на погранпунктах. А ещё ими очень любит пользоваться Следственный комитет РФ.
Израиль, конечно, официально не участвует в санкционной кампании против России. Но правительство Израиля публично заявляло о том, что будут блокировать обход санкционных ограничений. А Cellebrite, продолжая поставки в Россию, должна была попасть уже под европейские санкции.
Учитывая, насколько плотно Cellebrite связана с израильскими спецслужбами, официальный Иерусалим, скорее всего, в курсе, в какие страны поставляются её продукты. Но чемоданчики с UFED’ом всё равно оказываются в России. И даже если их везут окольными путями, через серых дилеров, обновления они всё равно получают. Почему разработчики не блокируют им лицензионные ключи? Почему не встраивают защиту от перепродажи?
С Oxygen Forensics всё ещё круче: ребята просто перепродают путинским чекистам продукты американской фирмы, налепив новое название и логотип. Это что-то на уровне знаменитого атлантического лосося из Беларуси, только в сфере военных технологий. Как если бы на «Абрамсах» выбивали клеймо «Уралвагонзавода». Каким образом компания продолжает работать в России, не попав под санкции? Почему она продолжает работать в самих Штатах?
Видимо, ответы на все эти вопросы никому на Западе не интересны. И тот факт, что западные технологии на глазах у западных же спецслужб попадают в руки предполагаемого противника — это мелочь, о которой даже спрашивать как-то неудобно.
Зато поставки немецкого шоколада и японо-американских видеоигр — это да, реальная проблема, с которой надо бороться. Или карточки те же самые. Туристические визы, аккаунты в Spotify, Slack — вот с чем бороться-то надо!
А путинские чекисты пусть покупают все, что им захочется. Могут себе позволить: не зря же европейцы им за газ платят.