За тысячами пользователей, устремившихся на маркетплейс, была установлена всеобъемлющая цифровая слежка. Когда потенциальные покупатели заходили на сайт, их логины и пароли записывались, благодаря чему у полицейских появлялись новые зацепки. Например, если эти пользователи вопреки советам вводили тот же пароль на других сайтах, полицейские получали возможность войти в принадлежащие им учетные записи и потенциально установить их личность. Кроме того, Дорн и его коллеги немного изменили систему обмена сообщениями на сайте. Ранее в нее было встроено шифрование, поэтому, когда пользователи обсуждали сделки с наркотиками и украденными данными, их переговоры скремблировались. Команда Дорна отключила шифрование. Любой, кто, полагаясь на шифрование Hansa, раскрывал в сообщениях свое имя или домашний адрес (а таких было довольно много), оказывался в руках у полиции.
Так продолжалось три недели, после чего голландская полиция раскрыла карты. На совместных пресс-конференциях в Нидерландах и США было объявлено, что клиенты AlphaBay и Hansa взяты в клещи. Это заметно напугало пользователей дарквеба, и без того настороженных после закрытия AlphaBay. У них стали возникать подозрения. Как понять, что сайт, на который они перейдут, не окажется очередной полицейской ловушкой?
Собранную голландскими следователями информацию разослали в полицию разных стран. Невозможно сказать, сколько в результате было вынесено приговоров, поскольку многие судебные процессы еще не окончены, а некоторые из них основаны не только на уликах, собранных в ходе совместной американо-голландской операции. Однако несомненно, что операция «Штык» существенно подорвала доверие пользователей дарквеба к преступным маркетплейсам (по крайней мере, на некоторое время), и многие считают ее важной победой в ходе борьбы мировых полицейских сил с киберпреступностью. По иронии судьбы, впрочем, есть вероятность, что она также подтолкнула преступников к использованию новой технологии, справиться с которой, по мнению некоторых экспертов, правоохранительным органам будет еще сложнее[220].
Я встретился с Карен в церкви Бигглсуэйда, небольшого городка примерно в часе езды на поезде из центра Лондона. Мне нужно было тихое место для интервью, и вечером в пятницу местная церковь оказалась единственным подходящим вариантом. Карен нервничала и привела с собой отца, хотя ей уже за тридцать.
Ее беспокойство было вполне объяснимо: двумя неделями ранее я неожиданно связался с ней и сообщил, что у меня есть ее пароль, номер кредитной карты, банковские реквизиты и домашний адрес. Она не сразу поверила, что я настоящий журналист, а не мошенник. Я изучал, куда преступники переместились после ликвидации ряда сайтов дарквеба, и след привел меня к защищенной технологии нового типа.
После операции «Штык» киберпреступники не прекратили торговлю запрещенными товарами. Они пошли в ногу со временем и воспользовались плодами революции в сфере мобильных телефонов. Торговцы, которые раньше, вероятно, просто приходили в дарквеб, взяли на вооружение новый тип прекрасно защищенных приложений для смартфонов. Сайтов в дарквебе и сегодня великое множество, но населяющие их продавцы сменили тактику. Эти маркетплейсы все чаще используются как витрины для рекламы товаров. Сами сделки сегодня часто заключают в приложениях. Преступники отдают им предпочтение, поскольку в них применяется новый метод шифрования.
Прежде чем мы продолжим историю Карен, стоит остановиться на том, как работает шифрование. Вероятно, вы тоже им пользуетесь, даже сами того не зная.
Лучше всего здесь провести аналогию с замками и ключами. Если я хочу передать вам секретное сообщение, я помещаю его в коробку, закрываю эту коробку на замок и отправляю вам. Но в таком случае мне, естественно, нужно отправить вам и ключ, которым вы сможете открыть замок, а это уже сопряжено с риском. Каким бы надежным ни был замок, если ключ по дороге перехватят, тайне коммуникации придет конец. Кроме того, даже если вы все-таки получите ключ, мне придется поверить, что вы сохраните его в целости – что вас не ограбят и не заставят с ним расстаться.
Проблема безопасной передачи ключей много лет волновала всех, кто печется о конфиденциальности. Как часто бывает с прорывными технологиями, для ее решения необходимо было не только разработать новую технологию, но и изменить подход к делу. Что, если отправлять не ключ, а открытый замок? При такой системе вы кладете секретное сообщение в коробку, закрываете ее моим замком и отправляете мне. Если посылку перехватят, никто не сможет ее открыть. Поскольку ключ всегда находится у меня, мне можно не беспокоиться о том, что кто-то его потеряет, украдет или скопирует. Подобным образом, когда я захочу ответить на ваше сообщение, вы пришлете мне открытый замок, с помощью которого я закрою коробку и отправлю ее вам. Вы откроете ее своим ключом, зная, что он всегда был у вас в кармане. Более того, я могу выдавать сколько угодно дубликатов замка, поскольку знаю, что единственный ключ от него хранится у меня. При желании я могу раздавать свои замки на улице, прикладывая к ним свой домашний адрес. Так у всех появится возможность безопасно отправлять мне сообщения.
От внимательного читателя не ускользнет, что в этой схеме есть изъян. Разве нельзя, перехватив закрытую посылку по пути к адресату, изготовить ключ, подходящий к замку? В реальном мире такой риск действительно существует. Имея достаточно времени, толковый слесарь сумеет изготовить новый ключ к большинству замков. Но в мире компьютеров дело обстоит иначе.
В технологическом мире ключи и замки – это просто последовательности цифр. Когда мой компьютер получает от вас закрытую на замок посылку, он берет число, соответствующее вашему замку, и соотносит его с числом, соответствующим моему ключу. Программа для шифрования данных проверяет результат и, если все в порядке, открывает посылку и расшифровывает сообщение. Разумеется, кто-то может перехватить закрытую посылку и попытаться подобрать цифровой ключ к стоящему на ней замку. Пожелаем им удачи. Даже самые простые ключи шифрования сегодня настолько сложны, что в них входят сотни цифр. Возможных комбинаций так много, что даже самым мощным компьютерам требуется очень много времени, чтобы их перебрать. Иными словами, к тому моменту, когда вы взломаете код, будет уже слишком поздно. При правильном использовании такая технология шифрования практически не поддается взлому. Это изящное решение проблемы конфиденциальности называется шифрованием с открытым ключом, и, когда эта технология стала общедоступной, она оказалась настолько прорывной, что против человека, создавшего ее, сразу завели уголовное дело.
В 1991 году американец Фил Циммерман разработал программу, в которой применялось шифрование с открытым ключом. С характерной для технарей самоиронией он назвал ее Pretty Good Privacy (PGP, «довольно неплохая конфиденциальность»). В те времена надежные технологии шифрования давали такое преимущество, что в США их приравнивали к оружию, в связи с чем на них распространялось действие закона о контроле за экспортом вооружения. В результате, когда код PGP начал появляться в других странах, Таможенная служба США начала преследование Циммермана.
Но в конце концов обвинения были сняты с него, и PGP стала доступна всем[221]. Вот только пользоваться ею было хлопотно. Приходилось устанавливать специальную программу для создания комбинаций цифровых замков и ключей. Им необходимо было хранить свой личный ключ в безопасном месте, но при этом широко распространять код своего открытого замка. Чтобы отправлять сообщения, они вынуждены были скачивать код своего замка. Словом, настоящая морока. Специалистам по технологической безопасности понравилась идея шифрования с открытым ключом, но развертывание такой системы в большом масштабе обернулось кошмаром. Со временем большинство людей пришло к выводу, что им нет никакого смысла заморачиваться с шифрованием, поскольку решить проблему безопасности можно и проще: они считали, что в этом вопросе вполне могут положиться на кого-нибудь еще.
У людей, отправляющих сообщения через Gmail, Facebook, Twitter и другие сервисы, сложилось впечатление, что о шифровании позаботились за них. Дело в том, что технологические компании обещали зашифровать сообщение при передаче от отправителя к ним на сервер и затем защитить его снова при передаче с сервера получателю, чтобы никто не мог перехватить его по пути. Разумеется, они также хранили копию сообщения на своих серверах, но, как утверждалось, под замком, в связи с чем прочитать его могли лишь по предъявлении ордера. Технологические компании создавали атмосферу доверия, и поэтому хранили у себя миллионы разговоров, имея универсальный ключ.
Эта атмосфера доверия начала разрушаться после публикаций Сноудена. В 2013 году бывший подрядчик Агентства национальной безопасности США решил разоблачить технологические компании и представил доказательства того, что американское правительство тайно, но законно использовало их, чтобы получать беспрецедентный доступ к переписке некоторых пользователей[222]. Сразу стали очевидны минусы доверия к держателям универсальных ключей. Это сильно ударило по технологическим компаниям. С одной стороны, их юристы твердили, что им нужно выполнять тайные государственные распоряжения о перехвате сообщений, но с другой, пиарщики показывали, что теперь рассерженные пользователи отказываются им верить.
Некоторые технологические компании решили эту дилемму, отойдя в сторону. Они стали использовать шифрование с открытым ключом, над которым работал Фил Циммерман. С помощью приложений для мобильных телефонов (в частности, WhatsApp, ныне принадлежащего Facebook, и iMessage, разрабатываемого Apple) компании внедрили систему, в которой пользователи сами хранили у себя ключи для своих переписок. Применяя «сквозное шифрование», технологическая компания переставала быть посредником с универсальным ключом, который открывал все сообщения по велению правоохранительных органов. С этих пор сообщения видели только отправители и получатели. Сколько бы ордеров ни предъявила полиция, у компаний не было возможности прочитать сообщения, поэтому они могли отвечать на полицейские запросы, вежливо пожимая плечами. Если на них продолжали давить, они передавали правоохранительным органам мешанину зашифрованных данных.