Информационные операции в сети Интернет

Расторгуев Сергей Павлович

Литвиненко Мария Васильевна

В работе предложен и обоснован подход к построению систем выявления информационных угроз. Даны базовые определения и проведено исследование специальных действий, присущих информационным операциям в сети Интернет. Показано, что производство практически всех компонент информационной операции уже поставлено на промышленную основу: от вирусов, нацеленных на автоматизированные объекты военного и промышленного назначения, до генераторов сообщений в виде текстов, голосовых сообщений по заданной голосовой характеристике или видеосюжетов по заданной исходной «картинке». В работе описан механизм, позволяющий частично автоматизировать планирование информационной операции за счет использования типовых схем их проведения, показано, каким образом возможна организация игрового тренинга по моделированию проведения информационных операций.

 

Расторгуев С.П., д.т.н., профессор, действительный член Академии криптографии РФ. Известен по работам в различных научных областях. В программировании «Искусство защиты и раздевания программ» (1991); в информационном противоборстве: «Информационная война» (1997), «Философия информационной войны» (2001), «Информационная война. Проблемы и модели» (2006); в философии и теории управления: «Цель как криптограмма. Криптоанализ синтетической цели» (1996), «Управление Вселенной» (2006), «Воспоминания о душе» (2009). Им написано более 5 учебных пособий по дисциплинам информационной безопасности. Всего более сотни публикаций и интервью в прессе и на телевидении.

Литвиненко М.В., д. пед.н., к.т.н., действительный член Академии военных наук. Одна из самых молодых докторов наук России. Ученая степень доктора педагогических наук была присвоена в 31 год. Ведущий специалист в области дистанционного образования. Имеет несколько монографий по педагогике. Научные интересы последних лет нашли отражение в книге «Аватаризация» (2011).

В работе предложен и обоснован подход к построению систем выявления информационных угроз. Даны базовые определения и проведено исследование специальных действий, присущих информационным операциям в сети Интернет. Показано, что производство практически всех компонент информационной операции уже поставлено на промышленную основу: от вирусов, нацеленных на автоматизированные объекты военного и промышленного назначения, до генераторов сообщений в виде текстов, голосовых сообщений по заданной голосовой характеристике или видеосюжетов по заданной исходной «картинке». В работе описан механизм, позволяющий частично автоматизировать планирование информационной операции за счет использования типовых схем их проведения, показано, каким образом возможна организация игрового тренинга по моделированию проведения информационных операций.

Книга предназначена для военных экспертов, специалистов, работающих в сфере информационно-психологического воздействия. Также будет интересна и широкому кругу читателей, интересующемуся вопросами развития кибернетических систем и сетевых технологий.

 

Введение

В условиях широкого распространения СМИ нового типа — сайты, форумы, блоги, социальные сети и т. п. — основная борьба за право адекватного отображения действительности перемещается в Интернет. Новые формы представления и распространения информации создаются чуть ли не в режиме реального времени, и в их «раскручивание» вкладываются значительные средства. Если еще в прошлом веке при вооруженной агрессии степень охвата аудитории страны с целью перепрограммирования была среди малозначимых параметров, то сегодня, после внедрения в промышленно развитых странах т. н. демократической формы правления, повышение степени охвата — это значимый параметр при условии грамотного оформления подаваемого материала.

Перепрограммировать население, а самое главное, исполнительные и законодательные структуры противника — это значит, победить его. Перепрограммирование требует соответствующих ресурсов, и главный ресурс — время. Охватить, как можно шире, аудиторию в сжатые сроки становится возможным при максимальной автоматизации всего процесса: от промышленной генерации материала СМИ до автоматической доставки, размещения на заданном множестве ресурсов. Чем позже жертва выявит факт ведения информационной операции и поставит заслон, тем больше шансов на успех. С другой стороны, чем раньше выявлен факт ведения информационной операции противником, тем меньше ресурсов требуется для ее локализации и ликвидации. При этом сам процесс локализации и ликвидации требует проведения корректирующих действий, т. е. ответной информационной операции. В этой связи, важной становится любая автоматизация, как в части раннего выявления информационных угроз, так и при формировании плана проведения ответной информационной операции.

Известно, что общее время на ликвидацию информационных угроз складывается из трех составляющих:

• времени на выявление угрозы;

• времени на разработку и утверждение плана действий по локализации и ликвидации угрозы;

• времени на реализацию утвержденного плана.

Сокращение общего времени способствует повышению эффективности в целом всей системы информационной безопасности любого государства или крупной организации.

Проведенный анализ научных работ и существующих в мире технических средств и технологий, направленных на выявление угроз и проектирование информационных операций в сети Интернет, показал следующее.

В данной области по имеющейся информации более активно, чем другие, работают в основном США и Израиль.

Причем Израиль известен как в области специальных вирусоподобных средств для скрытого управления промышленными объектами, так и в разработке и проведении информационных сетевых операций поддержки собственных действий. По утверждению СМИ, для этого есть все необходимые структуры: «В Израиле задачи по планированию и реализации мероприятий по нарушению функционирования объектов информационной и телекоммуникационной инфраструктуры зарубежных государств возложены на разведывательное управление и управление связи и компьютерных систем генерального штаба национальных вооруженных сил… Израильтяне считают, что отсутствие международных правовых механизмов, ограничивающих использование программно-аппаратных средств для поражения компьютерных систем, позволяет применять их без согласования с международными организациями и иностранными государствами».

Основной упор в части выявления угроз в спецслужбах и министерстве обороны США отводится сбору данных и их интеллектуальному анализу. Важнейшим критерием является объем собранной информации. Для решения данной задачи технические службы используют не только специальные технические средства и технологии, типа системы «Эшелон», но и возможности ведущих мировых корпораций, в том числе таких как Майкрософт и Гугл, программное обеспечение которых представлено практически в каждом компьютере, имеющем выход в Интернет. Так, в августе 2013 года были опубликованы секретные документы о слежке американских спецслужб в Интернете, полученные от Эдварда Сноудена. Из них следует, что у Великобритании есть разведбаза на Ближнем Востоке, перехватывающая интернет-трафик и телефонные звонки всего региона. В числе гигантов Всемирной паутины, сотрудничающих со спецслужбами, были названы Google, Yahoo, Microsoft, Facebook, AOL, Skype, YouTube, Apple и PalTalk (некоторые из них позже заявили, что извлечение данных происходит без их ведома). Из опубликованных документов следует, что Google, Yahoo, Microsoft и Facebook получали из специального фонда АНБ деньги на сертификацию, необходимую для сотрудничества с агентством.

Для широкомасштабного анализа собранной информации используются современные «интеллектуальные» продукты (технологии Data Mining) с удобной формой отображения результатов анализа.

В настоящее время другим странам идти путем США не представляется возможным в силу отсутствия широко распространенных в сети собственных контролируемых подобных продуктов и стоящих за ними промышленных гигантов. В этом случае решение проблемы — это не широкомасштабный сбор и анализ, а целенаправленный поиск и анализ, исходя из требований и ограничений поставленной задачи.

Подобный подход может быть эффективным по критерию ре-зультат/затраты, благодаря тому, что проблема проектирования информационных операций, судя по информационным операциям, проводимым США в последние годы, сведена специалистами США к выработке всего нескольких типовых сценариев, которые и реализуются с небольшими модификациями.

Сама по себе разработка системы выявления информационных угроз и поддержки формирования задания на проведение информационной операции является новой. В открытых публикациях научных результатов по проблеме в целом нет. Более того, до сих пор остается нерешенной проблема формирования перечня типовых задач, решаемых на современном этапе с помощью проведения информационных операций. Разработка подобного класса систем невозможна без предварительного исследования и создания терминологического, технологического и алгоритмического обеспечения. Поэтому в данной работе мы формулируем только те результаты, которые подкреплены опытом проектной реализации.

Информационное противоборство (ИП), являясь составной частью общего противоборства, имеет свои специфические события, знания о которых позволяют судить о ведении ИП. В общем случае проблема выявления факта начала информационной войны (информационной операции) относится к алгоритмически неразрешимым проблемам, но на определенном этапе развития информационной операции появляются признаки, позволяющие получать вероятностные оценки факта ее проведения.

Основным признаком является повторение близких по смыслу новостей и комментариев новостей, выполненных в соответствующем контексте. При этом совершенно неважно, соответствуют ли эти новости происходящим в эмпирическом мире событиям. Более того, чем меньше похожести, тем больше вероятность того, что новости являются частью спланированной операции. В условиях обусловленного текущим развитием общества частичного замещения эмпирического мира виртуальным в сознании зрителей, навязывание им соответствующих тем через повторение способствует вытеснению возможности разумной, основанной на логике и здравом смысле, оценки сообщения. Здесь временной фактор значит много. Для того чтобы разобраться, где правда, а где ложь, нужно время. И если оно упущено, то проблема становится гораздо сложнее, а иногда она уже и не имеет решения. Так, например, Грузия, несмотря на полный военный провал, выиграла информационную войну против России 08.08.2008. Непризнание миром Абхазии и Южной Осетии — очень показательный результат. Так реализуются угрозы нового класса — информационные угрозы.

Принципиальное отличие информационной угрозы в следующем. Если формирование классической угрозы предполагает сокрытие составляющих ее компонент среди естественного «шума» окружающей среды, то в случае информационной угрозы речь идет о сокрытии истинности или ложности факта, который активно подается в СМИ и раскручивается в комментариях. Например, «разработка Ираком оружия массового поражения», «применение химического оружия в Сирии» или «регулярное нарушение самолетами РФ воздушного пространства зарубежных стран».

В этой связи представляет научный интерес проблема формирования обоснованного перечня новостных тематик, предшествующих вооруженному конфликту, и разработка вероятностных критериев оценки факта начала ведения информационной операции. Существующие объемы материала (вооруженные конфликты в Ираке, Ливии и др.) позволяют сегодня приступить к решению данной проблемы.

Отдельные научные положения и алгоритмы в части создания технологической и алгоритмической составляющей подсистемы проектирования поведенческих схем, используя типовые библиотеки, на базе принципа оптимальности Беллмана (правил, алгоритмов, таблиц, схем и пр.) разработаны в робототехнике, а также заявлены теорией рефлексивного управления. Однако приложение существующих научных положений применительно к проектированию конкретных схем для управления поведением социальных субъектов, а тем более, для проектирования оригинальной информационной операции до сих относится к серьезным научным задачам. В данной работе мы попытались дать общую формальную постановку этой задачи.

 

ГЛАВА 1

Интернет как поле информационного противоборства

 

Любая война начинается с определенной последовательности действий со стороны противника. Действия, будучи для любого внешнего наблюдателя событиями, находят отражение в новостях, которые черпаются как из открытых источников информации, так и добываются с помощью специальных технических средств и технологий, а также агентурным путем. Комплексный анализ всех полученных данных позволяет сделать выводы о наличии или отсутствии потенциальных угроз.

Так, например, предвоенный месяц Великой Отечественной войны, несмотря на взаимную риторику политиков и государственных деятелей о дружбе и сотрудничестве, сопровождался резким возрастанием нарушений со стороны Германии воздушного пространства СССР. При грамотно поставленной аналитической работе информация об этих событиях сама по себе была достаточна для определения даты начала войны. Ибо нарушения воздушного пространства вторичны — они результат уже исполняющегося плана по подготовке вторжения. Цель — разведка приграничной территории. И сообщения о нарушениях (времени и месте) позволяют сформировать картину о законченности подготовки к началу войны. В то время Интернета не было, поэтому выявление данной угрозы осталось на уровне субъективной точки зрения отдельных военных аналитиков, которые не смогли убедительно обосновать и довести свою точку зрения до руководства страны.

Однако приведенный пример больше относится к решению разведывательных задач с помощью информационного пространства. При проведении классической информационной операции события не прячут. Их, наоборот, придумывают и активно распространяют (поджог

Рейхстага, расстрел мирной демонстрации, зверства над детьми и инвалидами и т. п.). При этом цель другая — не разведать территорию противника (считается, что эта задача уже решена), а перепрограммировать живую силу противника в возможно короткие сроки. Именно поэтому надо четко различать задачи по выявлению угроз эмпирического мира, нашедших свое отражение в сети, и задач по выявлению разворачивающихся информационных операций. Но при этом надо понимать, что появление именно информационной операции соответствующей направленности — это сигнал, говорящий о том, что где-то рядом начинает формироваться военная угроза.

Прежде чем перейти к исследованию сети Интернет как источника информации о вызревающих угрозах и поля информационного противоборства, рассмотрим обобщенную модель перепрограммирования, основанную на таких параметрах, как:

• частота подачи материала, относящегося к заданной теме;

• значимость источника;

• охват населения.

Именно эти параметры являются значимыми для выявления информационных операций. Критерием победы и достижения цели считается отсутствие в СМИ, особенно в официальных СМИ, противоположной точки зрения. Если подобное происходит, но задача по свержению того или иного правительства или президента не решена, то тогда открывается зеленая улица для военного вторжения. Именно поэтому для «слабого» в военном отношении соперника важно уметь грамотно вести информационное противоборство. И если не выигрывать, то хотя бы создавать условия для затягивания информационной операции — выигрыш времени важен для мобилизации собственных сил.

 

1.1. Задачи, решаемые в телекоммуникационных средах с помощью информационных операций

В рамках противоборства в информационном пространстве без перехода к горячей фазе конфликтующими сторонами могут решаться следующие два класса задач:

1. Выявление угроз. Фильтрация и анализ содержимого заданного множества сайтов, интегрирование результатов и выработка управленческой стратегии.

2. Проведение информационных операций.

Информационные операции, на примере материалов сети Интернет, включают в себя:

• уничтожение реальных объектов и инфраструктуры, например, с помощью компьютерных вирусов и закладок. Характерным примером вирусов нового поколения для решения подобного класса задач является Stuxnet, который чем-то похож на высокоточное оружие — находит промышленные системы управления соответствующего изготовителя и берет над ними контроль, по команде из Центра способен заблокировать работу промышленного объекта, а то и уничтожить объект, скрытно управляя им;

• уничтожение, блокирование, дискредитация интернет-ресурсов. Одной из самых популярных атак для решения подобных задач являются DDoS-атаки. Так, в новостях Googte только за одни сутки, например, за 12 августа 2013 года было 35 сообщений по этой теме. Большинство сообщений похожи друг на друга, типа:

«Сегодня в 16:00 МСК на все наши сервера начали поступать DDoS-запросы GET и POST на большое число сайтов всех клиентов. Запросы направлены на панель администратора CMS Joomla (POST /admmistrator/mdex.php) и форму авторизации Wordpress (POST/wp-login.php).

Сотрудниками техподдержки составлены списки блокировки IP-адресов, а также списки стран для временной блокировки доступа. На данный момент насчитано более 12 000 атакующих IP из 10 стран. По всей видимости, атака носит глобальный характер и направлена именно на указанные CMS»;

• создание, раскручивание, рекламирование, навязывание интернет-ресурсов. Под термином «раскручивание» (продвижение) ресурса понимается комплекс мероприятий, направленных на поддержку и рост позиций ресурса в поисковых системах сети Интернет, увеличение целевой посещаемости ресурса, создание благоприятного имиджа и узнаваемости в Интернете. Раскрутка ресурса становится возможной благодаря наличию в Интернет таких сервисов, как поисковые системы, которыми регулярно пользуются практически все посетители сети. Поисковые системы собирают данные по ключевым словам и словосочетанием вместе со ссылками на ресурсы, где эти ключевые слова находятся. Объем выдачи поисковой системы в зависимости от запроса пользователя может изменяться в очень широких пределах, как полное отсутствие выдачи, так и тысячи ссылок, которые невозможно просмотреть в разумное время. Считается, что ресурс хорошо раскручен, если по основным терминам, отражающим суть данного ресурса, поисковые системы помещают ссылку в Топ-10 найденных ссылок. Тема раскручивания сайтов одна из самых популярных в Интернете. Запрос на словосочетание «раскручивание сайтов» дает в Googta более 1 330 000 результатов (интернет-страниц). Многие из этих страниц содержат предложения по реализации данной услуги;

• приведение к власти представителей определенных кругов, конкретных лиц. Актуальность объясняется взятием на вооружение сервисов Интернета для обоснования причин интервенции. Например, в случае с Ливией: «Война начиналась как чисто театральная постановка. Впервые была использована во всю мощь агитационная машина нового формата: Интернет и спутниковое телевидение. Впервые были построены масштабные декорации, копировавшие отдельные районы некоторых ливийских городов, в том числе — Триполи. Именно телевидение и Интернет нанесли первые удары. Формальным поводом для «народных» волнений стал арест правозащитника Фатхи Тербиля, которого быстро отпустили. Это случилось 15 февраля, а уже 17 февраля прошел «День гнева» с массовыми выступлениями в городах Бенгази, Бе-вида, Зентан, Ружбан и Дерна. Массовость их, будто бы, обеспечили социальные сети. По телевидению с утра до вечера гоняли очень мутные картинки, на которых были видны, в основном, ноги куда-то бегущих толп людей. Все это сопровождалось истеричными выкриками женщин и мужчин на тему о «страшных зверствах палачей Каддафи» ;

• снижение уровня напряженности в заданном регионе/повы-шение уровня напряженности в заданном регионе. Например, фильм «Невинность мусульман», распространенный на определенные регионы через сеть Интернет, вызвал резкое повышение экстремистской активности. Так, в Египте разъяренная толпа ворвалась на территорию посольства США в Каире и сорвала американский флаг. В результате вооруженного нападения на американское диппредставительство в Бенгази погиб посол США в Ливии и еще трое американцев, в том числе двое морских пехотинцев;

• формирование общественного мнения на заданных интернетресурсах. В частности, подготовка общественного мнения для принятия противником законодательных актов ущербного для противника характера. Актуальность этой задачи именно для пространства Интернета следует еще и из того, что сегодня обсуждение наиболее значимых законопроектов в сети становится все более популярной мерой, цель которой — легитимировать принимаемые законы в глазах населения. Так, 23 августа 2012 г. Д.А. Медведев утвердил Концепцию формирования механизма публичного представления предложений граждан Российской Федерации с использованием информационно-телекоммуникационной сети «Интернет» для рассмотрения в Правительстве Российской Федерации предложений, получивших поддержку не менее 100 тыс. граждан Российской Федерации в течение одного года. Близкие по духу законы, позволяющие учитывать общественное мнение посетителей ресурсов Интернет, уже давно действуют в зарубежных странах;

• формирование имиджа (положительного/отрицательного) посредством целенаправленной коммуникационной политики. В частности, повышение/понижение статуса определенной страны/органи-зации/человека и др. Характерный пример, который на слуху в связи с выборами мэра в Москве 2013 года, — борьба некоего Н с партией «Единая Россия». Борьба, в основном, шла через Интернет и, именно благодаря Интернету ему удалось причинить серьезный ущерб имиджу партии путем высмеивания. Высмеивание иногда действует гораздо сильнее, чем открытые уголовные дела. Считается, что Н организовал сайт с доменным именем партия-жуликов-и-воров. рф.

Подобное делается довольно просто: регистрируется имя, приобретается хостинг для размещения, после чего созданный сайт транслирует через себя официальный сайт партии, но прилепив ему соответствующее издевательское название.

Так же просто и защититься от подобных операций. И не только защититься, но и подсунуть противнику нечто, его самого позорящее. Важно только вовремя выявить эти операции. В данном случае руководство «Единой России» не придало значения атаке, не защитило себя, и в результате процесс волной прокатился по всему Интернету, вызвав лавину насмешек и серьезно изменив отношение нейтральных пользователей к данной теме.

На сегодняшний день проблема полноты задач информационного противоборства для телекоммуникационного пространства остается открытой. Классификация задач, решаемых в сети Интернет с помощью проведения информационных операций, требует своего дальнейшего исследования.

Конструирование информационной операции осуществляется специалистом, используя наработанную исторической практикой базу готовых шаблонов и допустимые связи от целей к подцелям, задачам, объектам воздействия, информационным материалам, способам воздействия и собственным силам и средствам. Кроме знаний и понимания, что и как делать, специалисту нужны инструментальные средства и технологии. Подобные инструментальные средства и технологии принято относить к информационному оружию.

 

1.2. Классификация информационного оружия

Понятие «информационное оружие» имеет не один десяток определений, многие из которых базируются на особенностях среды применения оружия, объектов воздействия и глобальности или локальности его применения. Не вдаваясь в дебаты о строгости существующих определений информационного оружия, приведем классификацию технических средств, относимых к информационному оружию, применительно к организации информационной операции в среде Интернет.

Постараемся провести такую классификацию, которая бы обладала определенной полнотой по охвату всего спектра возможных информационных воздействий в среде Интернет. Наличие полноты позволит нам в дальнейшем проводить сравнительные оценки и определять наиболее приоритетные классы технических средств, способных помогать специалисту решать соответствующие задачи.

При этом в условиях дефицита специалистов, в первую очередь разработчиков, целесообразно классифицировать технические средства таким образом, чтобы максимально полно использовать наработанные специалистами изделия и технологии в пределах каждого класса.

Информационное оружие представляет собой технические средства и технологии, целенаправленно применяемые для активизации, уничтожения, блокирования или создания в информационной системе процессов, в которых заинтересован субъект, применяющий оружие.

Существует классический подход применения любого оружия в боевых действиях: постановка задачи, разведка, планирование, проведение операции, оценка результативности. Причем процесс охвачен обратными связями и не всегда завершается, как запланировано. На разных этапах этого процесса возможно применение различных инструментальных средств и технологий. Наша задача при ведении классификации заключается в том, чтобы охватить все множество воздействий, где возможна хоть какая-то автоматизация, при этом объединить те технические средства и технологии, для которых допустим единый подход в части формирования знаний и умений разработчиков. С одной стороны — охватить всё, с другой — минимизировать собственные ресурсы.

Анализ существующего информационного оружия в сфере Интернет показал, что это оружие развивается по следующим основным направлениям, в рамках которых оно и применяется:

• разведка;

• проведение специальных операций;

• планирование информационных операций, управление процессом их проведения и оценка результативности.

Каждое направление в силу специфики применяемых средств и технологий требует своих специалистов/разработчиков.

При этом важно, что объектами информационного воздействия по каждому направлению могут быть как ресурсы сети (сайты, локальные компьютеры), так и посетители сети, что тоже требует разной подготовки разработчиков в части знания объекта воздействия. Таким образом, мы приходим к следующей классификационной схеме (рис. 1.2.1).

РИСУНОК 1.2.1. Классификация информационного оружия

Информационное оружие целесообразно разделить на шесть классов.

В части разработки технических средств и технологий для ведения разведывательной деятельности:

Класс № 1. Средства разведки и мониторинга состояния ресурсов Сети. Здесь речь идет о разработке технических средств для мониторинга сетевых ресурсов с целью:

• выявления фактов появления новых тем (подобное довольно часто связано с началом информационной операции);

• выявления фактов появления новых ресурсов заданной направленности;

• выявления связей между ресурсами;

• выявления отношений предпочтения ресурсов;

• проведения онлайн-опросов посетителей заданных ресурсов по заданной теме.

Класс № 2. Средства разведки и мониторинга деятельности посетителей Сети. Речь идет о разработке технических средств для изучения поведения посетителей сети путем сбора данных об IP-адресах и программном обеспечении компьютеров, зафиксированных на разных ресурсах Сети. Удачное решение данной задачи и, в случае наличия знания о провайдерах государственных или политических структур, представляющих интерес, позволит строить поведенческие интернет-портреты пользователей заданной организации, а порой и конкретных людей.

В части разработки технических средств и технологий для проведения специальных мероприятий.

Класс № 3. Средства активного воздействия на ресурсы сети, включая вывод из строя, блокировку работы, как отдельных модулей, так и сегментов сети Интернет. Речь идет о создании и применении широкого спектра различного типа программных средств скрытого информационного воздействия, специальных подставных ресурсов, в том числе технологии ботнетов, для организованного и целенаправленного выполнения команд центра.

Класс № 4. Средства активного воздействия на посетителей Сети. Речь идет о разработке технических средств, позволяющих решать задачу по размещению в Сети на заданном множестве ресурсов и служб специально подготовленных мультимедийных материалов и ссылок: с помощью почтовых сообщений, с помощью рассылки через форумы, чаты, блоги, социальные сети, комментарии к новостям и др.

В качестве основы для технических средств обоих классов правильнее рассматривать средства скрытого контроля и при необходимости воздействия на ресурсы Сети. Речь идет о разработке программных средств скрытого информационного воздействия и специальных технологий, которые базируются на знании уязвимостей широко используемых программных продуктов, включая применяемые разработчиками и пользователями средства защиты.

В части разработки технических средств и технологий помощи при планировании и проведении информационных операций.

Класс № 5. Средства планирования, управления информационными операциями (ИО) и оценки их результативности в технической сфере.

Класс № 6. Средства планирования, управления информационными операциями (ИО) и оценки их результативности в гуманитарной (социальной) сфере.

На результативность проведения информационной операции большое влияние оказывает качество ее подготовки и возможность грамотного управления непосредственно в режиме реального времени. В зависимости от сферы применения (техническая/гуманитарная) должны быть использованы свои характеристики и алгоритмические особенности поведения объектов воздействия.

Предложенная классификация информационного оружия во многом определяет структуру данной книги. Это:

• выявление угроз в гуманитарной сфере путем анализа новостных тематик;

• выявление угроз в технической сфере путем анализа общей динамической схемы мировых DDoS-атак на сайты различных представительств и учреждений;

• исследование составных компонент информационной операции в среде Интернет, как в технической, так и гуманитарной сфере;

• исследование вопросов автоматизации процессов планирования и моделирования информационных операций.

 

ГЛАВА 2

Мониторинг информационного пространства на предмет выявления информационных операций

 

На современном этапе противоборство в информационном пространстве является составной частью, а порой упреждающей составляющей вооруженного конфликта или торговой войны. При этом информационная операция, на первый взгляд, может не иметь ничего общего с целями конфликтующих сторон. Поэтому особенно важно как можно раньше выявить факт начала подобного рода информационной акции с тем, чтобы успеть подготовиться к реальному конфликту или, используя собственные информационные возможности, снизить вероятность наступления этого конфликта.

В свете сказанного необходимой составляющей современной войны является постоянный мониторинг информационного пространства на предмет выявления фактов начала информационных операций. Мониторинг целесообразно осуществлять в сети Интернет как наиболее динамичной составляющей информационного пространства, на базе хорошо зарекомендовавших себя образов, слоганов, слов и словосочетаний.

Выявление информационных угроз, как и любых других угроз, целесообразно начинать с анализа подходов и методов целенаправленного перепрограммирования информационных систем, будь то технические системы, или социальные структуры, или люди. Выделение последовательности присущих информационной операции событий, а затем выявление этих событий в общем «жизненном шуме» — это классический путь решения подобных задач.

Данный путь состоит из следующих этапов:

Этап 1. Последовательность событий, составляющих угрозу, всегда связана с целью (см. перечень задач в разделе 1.1). Достижение цели предполагает перепрограммирование субъектов информационного противоборства. Чтобы понимать, насколько достигнута цель, желательно уметь оценивать результаты перепрограммирования и собственные возможности, говоря другими словами — степень возможного поражения информационным оружием той или иной системы. Одни объекты уничтожить и перепрограммировать не составляет труда, с другими — задача может оказаться неразрешимой за выделенные для этой цели ресурсы и временные ресурсы, в первую очередь.

Этап 2. Оценка и обоснование частоты появления событий, при которой уже можно говорить о начале информационной операции по перепрограммированию .

Этап 3. Оперативное и доступное представление информации пользователю в случае выявления опасных тенденций.

 

2.1. Степень поражения информационным оружием

Предлагается степень поражения информационным оружием оценивать через информационную емкость той части структуры пораженной системы, которая либо погибла, либо работает на цели, чуждые для собственной системы.

Что означает данное определение на практике?

Для вычислительной однопроцессорной системы степень ущерба можно оценить через процент потерянного полезного времени (иногда — через число репликаций компьютерного вируса), т. е. через долю процессорного времени, в течение которого инфекция управляет всей системой для достижения запрограммированных в ней целей плюс объем погубленных программ и данных, имеющих отношение к дальнейшему существованию данной системы, к поддержанию ее потребительских свойств.

Для государства, по аналогии, — это доля паразитирующих структур или структур, работающих в данном государстве в интересах других государств или, исключительно, — самих себя. Так, например, многие исследовательские институты сегодня в России работают по зарубежным заказам, по зарубежным грантам, и часто обосновывают то, что желает заказчик. А так как таких немало, то и рекомендаций соответствующего направления становится все больше и больше. И на их фоне увидеть, что для страны хорошо, а что плохо, очень даже проблематично. Наука, к сожалению, никогда не бывает свободной от идеологии, от финансирования и от желания заказчика.

На финансовой системе — степень поражения информационным оружием отражается через отток капитала.

Для народа — через процент, на который ежегодно происходит его уменьшение, плюс погибшие культурные ценности и научнопроизводственные центры.

Как уже отмечалось, информационное поражение всегда начинается с поражения системы управления. В общем случае эффективность функционирования системы управления определяется следующими показателями состояния информационной системы:

— количеством и качеством элементов, ответственных за сбор входных данных, и эффективностью их функционирования. В данном случае под эффективностью функционирования элемента предлагается понимать такие характеристики, как: объем добываемых данных, «новизна» данных, достоверность данных;

— количеством и качеством элементов, ответственных за доставку данных, и эффективностью их функционирования. В данном случае эффективность функционирования элемента оценивается через время доставки данных и объем искаженных данных;

— количеством и качеством элементов, ответственных за обработку данных, и эффективностью их функционирования, которая в общем случае оценивается временем обработки данных, временем выработки решения и, возможно, мощностью потенциального пространства решений;

— количеством и качеством элементов, ответственных за представление результата, и эффективностью их функционирования. Здесь эффективность функционирования можно попытаться оценить через степень искажения принятого решения при его реализации;

— количеством и качеством связей между элементами;

— защищенностью («жизненной силой») перечисленных выше элементов и связей между ними. При этом надо иметь в виду, что понятие «информационная защищенность элемента» подразумевает защиту этого элемента от информационных воздействий. В том случае, если защищаемый элемент принадлежит системе принятия решений, то наличие подобной защищенности резко понижает эффективность его работы в силу сокращения допущенных до него системой обеспечения безопасности данных, которые, на самом деле, могут оказаться необходимыми системе для выработки команд адекватной реакции.

Однако надо помнить, что через перечисленные показатели можно оценить эффективность работы системы управления, но нельзя понять, в чьих интересах она работает. В определенных условиях ее эффективная работа иногда может приносить больше вреда собственному народу, чем пользы. Например, водитель способен умело и ловко управлять машиной, но вести ее при этом к обрыву или в засаду противника.

Поэтому для теории информационной войны важнее оценить не столько эффективность работы системы управления, сколько степень ее возможного поражения. Степень же возможного информационного поражения системы управления логично оценивать через открытость этой системы для внешних целенаправленных информационных воздействий.

Перечислим качественные признаки открытости системы управления для противника.

1. Ключевые субъекты из системы управления «привязаны» противником (победителем) к сфере своих интересов.

2. Для ключевых субъектов из системы управления противником обеспечена «база» у себя. Родственники подобных субъектов («агентов влияния»), как правило, переселяются, проживают, учатся за пределами своей страны.

3. В случае победы противник, как правило, перестраивает систему управления пораженного объекта. Перестройка эта осуществляется в ключе, удобном для понимания и дальнейшего скрытного управления. Чаще всего перестройка системы управления по своей форме направлена на соответствие образу и подобию системы управления победителя. В биологии сказанное выглядит следующим образом: «В присутствии РНК-содержащих вирусов рибосомы клетки хозяина предпочтительно связываются не с молекулами РНК клетки-хозяина, а с молекулами вирусной РНК. Эти последние начинают теперь функционировать в качестве матриц для синтеза белка вирусной оболочки, а также для синтеза некоторых дополнительных ферментов, которые требуются для репликации других структурных компонентов вируса и, в частности, самой вирусной РНК» [10]Ленинджер А. Биохимия. Молекулярные основы структуры и функций клетки. М.: Мир, 1976. 960 с., ил.
.

Так как степень возможного поражения системы управления напрямую связана с открытостью системы, то следующий этап исследования — количественная оценка открытости системы управления для противника, которая и является важнейшей характеристикой степени возможного поражения.

Важно, что современная система управления включает в себя не только человеческий фактор, но и технический компонент, который при определенных условиях не менее значим, чем лицо, принимающее решение. Поэтому степень открытости имеет смысл анализировать как в части открытости лиц, принимающих решение, открытости соответствующих социальных структур, так и используемых технических средств.

При этом надо иметь в виду, что степень открытости определяется не только государственной волей, нормативными требованиями и законодательными актами, но и культурой народа. Определенные национальные типы изначально ориентированы только на свою нацию, что, несмотря на любые государственные реформы, обеспечивает нации защищенность от внешнего мира. Другие, наоборот, без соответствующего «железного занавеса» начинают терять свою национальную идентичность, исчезая, как нация, в окружающем мире.

Пусть X = {x1,x2,...xN} — субъекты, принадлежащие системе управления.

Здесь

N — общее число субъектов (N = Nr + NT);

Nr—общее число субъектов-людей;

NT — общее число субъектов-технических систем, задействованных в принятии решений.

Каждый из них может быть охарактеризован близостью к основному центру принятия решений {si}. Самый простой пример — это:

Si=5 — лицо, принимающее решения;

si=4 — непосредственный постоянный контакт с лицом, принимающим решения;

si=3 — непосредственный периодический контакт;

si=2 — опосредованный (через одного) постоянный контакт;

si=1 — опосредованный (через одного) периодический контакт;

si=0 — отсутствие непосредственных контактов.

Кроме того, каждый из названных субъектов может быть охарактеризован с позиции близости его к зарубежным культурам (обучение в соответствующих зарубежных центрах, как это было в СССР в случае ряда ключевых фигур ЦК КПСС), близости к жизненным интересам других государств (наличие родственников и друзей, живущих и работающих за рубежом или в фирмах, имеющих, в основном, иностранный капитал). Понятно, что данная характеристика применительно к конкретному субъекту не может говорить о том, что данный субъект является «агентом влияния», но в своей совокупности (по всей системе управления) вполне может выступать в качестве определенной оценки степени ее открытости.

Обозначим через хiг оценку близости индивидуума к «чужим» жизненным интересам и культурам (в том числе криминальным). Для числового примера воспользуемся такой же, что и выше, шкалой близости:

τiг = 5 — гражданин другой страны;

τiг = 4 — работа за рубежом;

τiг = 3 — близкие родственники за рубежом;

τiг = 2 — друзья и постоянные знакомые за рубежом;

τiг = 1 — частые поездки за рубеж;

τiг = 0 — зарубежных контактов нет.

Тогда степень открытости отдельно взятого субъекта:

o = П„iРі Si/25,

а всей системы управления:

РћРі = (ОЈ П„iРі si/25)/Nr.

Степень открытости изменяется в пределах от 0 до 1.

0 — система полностью закрыта для вероятного противника;

1 — система полностью открыта.

Аналогично оценивается открытость технической подсистемы, принадлежащей системе управления.

РћС‚ = (ОЈ П„iП„ si/25)/NT.

Здесь оценка близости к основному центру принятия решений {si} остается той же самой, а оценка близости к «чужим» жизненным интересам и культурам наполняется следующим содержанием:

τiτ = 5 — все технические средства (программное и аппаратное обеспечение) зарубежного производства, принадлежат вероятному противнику;

τiτ = 4 — все программное обеспечение зарубежного производства, аппаратное — собственное;

τiτ = 3 — все системное программное обеспечение (ОС) зарубежного производства, остальное — собственное;

τiτ = 2 — сетевое программное обеспечение зарубежного производства. Все остальное собственное;

τiτ = 1 — только прикладное программное обеспечение зарубежного производства. Все остальное собственное;

τiτ = 0 — все технические средства (программное и аппаратное обеспечение) собственного производства.

Тогда общая оценка выглядит следующим образом:

Рћ = РћРі * РћС‚.

Как и каждый сомножитель, общая степень открытости изменяется в пределах от 0 до 1.

0 — система полностью закрыта для вероятного противника;

1 — система полностью открыта.

 

2.2. Оценка эффективности перепрограммирования субъектов информационного воздействия

Цель информационного воздействия — перепрограммирование субъекта воздействия. Какое количество воздействий и какой информацией надо сделать, чтобы добиться цели? Ответ на этот вопрос крайне важен для организации решения задачи мониторинга информационного пространства на предмет выявления угроз. Здесь просматриваются две крайности:

• естественный новостной ряд по какой-либо теме может быть ошибочно принят за разворачивающуюся информационную угрозу;

• информационная угроза не была выявлена вовремя и цель информационного воздействия достигнута. После этого что-то предпринимать информационными методами уже поздно: лидер выбран, закон принят, бесполетная зона введена.

Таким образом, важной становится задача теоретического определения количества воздействий, после появления которых уже можно делать обоснованные прогнозы о ведении противником информационной операции. Для этого необходимо предложить аналитическое выражение, позволяющее связать степень достижения информационной победы с числом информационных воздействий, т. е. оценить эффективность перепрограммирования или, иными словами, эффективность применения противником информационного оружия, или скорость разворачивания информационной операции.

Чтобы теоретически оценить эффективность перепрограммирования, не прибегая к измерениям, необходимо обосновать соответствующую модель влияния сообщений от источника, обладающего определенной информационной энергией, на постоянных пользователей его информации.

Сделаем предположение, что последовательность информационных воздействий одинаковой направленности изменяет состояние объекта пропорционально количеству воздействий — капля камень точит. Предположим, что таких объектов N. Через к обозначим число информационных воздействий, а через a — некоторый коэффициент пропорциональности. Пусть Y(k) — количество субъектов (читателей, зрителей), изменивших свою точку зрения под воздействием к передач и начавших по-иному воспринимать тот или иной термин. Наша задача заключается в том, чтобы обосновать аналитическую зависимость Y от к. При этом первоначально, для упрощения считаем, что все воздействия имеют одинаковую направленность и равны по своей силе информационного воздействия.

Предположим, что в ходе первого воздействия aN субъектов изменит свою точку зрения относительно определенного термина, события или персонажа. Предполагается, что а изменяется от 0 до 1 (0 — воздействие ничего не меняет, 1 — воздействие изменяет точку зрения). Тогда останется (N-aN) субъектов с прежней позицией. Второе воздействие будет направлено в первую очередь именно на них и поразит а-ую часть оставшихся — a(N-aN). Таким образом, в ходе двух воздействий будет откорректирована позиция aN + a (N-aN) человек. Вводя функцию Y(k), сказанное можно записать в виде:

Y(k) = Y(k-1) + О± [N-Y(k-1)].

Для практических расчетов коэффициент a может служить в качестве одной из сравнительных характеристик способности различных источников информации перепрограммировать информационные субъекты. Для конкретного информационного источника он назван напряженностью воздействия информационного источника и рассчитывается по формуле:

α = [Y(k)-Y(k-1)] / [N — Y(k-1)].

Напряженность воздействия информационного источника связана с информационной энергией источника, в частности, с числом субъектов, которые положительно относятся к данному источнику. Таким образом, a может быть еще оценен на предварительном этапе. По сути своей, его величина пропорциональна мощности множества посетителей, идущих за конкретным информационным источником.

Как было отмечено в первой главе, обобщенная модель перепрограммирования должна быть основана на таких параметрах, как:

• частота подачи материала, относящегося к заданной теме. Частота подачи материала оценивается величиной k/Δt где к — число информационных воздействий, Δt — временной интервал, в течение которого эти воздействия были сделаны. Обоснование временного интервала — отдельная задача, частично она была решена в рамках математической модели слухов, частично в теории рекламы — при оценке навязывания потребителю одинаковых информационных сообщений для сохранения устойчивости сформированного образа;

• значимость источника. Данный параметр оценивается величиной α;

• охват населения. В модели охват населения оценивается величиной Y.

Все названные параметры являются определяющими для представленной модели.

Подведем итог сказанному.

Если наблюдается устойчивый рост информационных воздействий (к) в рамках одной и той же темы и одновременно происходит стабильное увеличение числа субъектов (Y), изменивших свою точку зрения, при этом новая точка зрения несет в себе угрозу текущему состоянию, то речь, с большой долей вероятности, идет именно об информационной операции.

 

2.3. Математическая модель распространения слухов и понятие «реальное время» информационной операции

Одним из важных вопросов при планировании информационной операции в сети Интернет является физическая размерность понятия «реальное время».

Во время Второй мировой войны психологи из Гарвардского университета Гордон У. Оллпорт и Лео Постман провели исследование слухов, распространявшихся в военное время. Это позволило им вывести математическую формулу, описывающую механизм распространения и действия слухов, и на ее основе разработать методы управления слухами. Ученые опубликовали результаты своих исследований в 1947 году в книге «Психология слухов». Оллпорт и Постман дали следующее определение понятию «слух»: «В том значении, в котором мы будем использовать данный термин, слух — это информационное сообщение, которое распространяется между людьми, как правило, в устной форме, без предоставления доказательств его достоверности… Слух передается при условии, что события, которые он раскрывает, имеют какую-либо значимость для людей, а информация, содержащаяся в нем, является недостаточной или неопределенной. Неопределенность содержания слуха может быть результатом того, что новости были изложены нечетко, либо они были противоречивыми, либо получатель информации неправильно ее истолковал».

Неопределенность также может быть следствием недоверия компании, т. е. когда люди не верят всем сообщениям компании, даже правдивым. Оллпорт и Постман комментируют это следующим образом: «Слух будет распространяться тем быстрее, чем больше люди не верят официальным новостям, которые они слышат». По этой причине компании следует сформировать хорошую репутацию и завоевать доверие общественности еще до того, как начнутся проблемы.

Оллпорт и Постман демонстрируют механизм совместного действия факторов значимости и неопределенности и отмечают наличие математической зависимости между ними: «Распространение слуха находится в количественной зависимости от двух основных факторов — значимости и неопределенности. Формула, позволяющая установить интенсивность распространения слуха, может быть выражена следующим образом:

R ~ i x a.

Эта формула означает следующее: интенсивность распространения слуха изменяется в зависимости от степени значимости предмета слуха для конкретных слушателей, умноженной на неопределенность фактических данных, содержащихся в слухе. Отношение между зна-

чимостью и неопределенностью не аддитивное, а мультипликативное, так как если один из этих факторов равен нулю, то слуха не существует. Слух не может существовать при наличии только фактора неопределенности или только фактора значимости».

Время жизни и распространения слуха опирается на определенные временные периоды, существует т. н. динамика цикла новостей. Как правило, возможность применить формулу R ~ i х a для ликвидации слухов существует только в определенные моменты цикла новостей. Если пропущен один период, то предотвратить дальнейшее распространение информации до следующего периода становится гораздо сложнее.

Периоды:

45 РјРёРЅСѓС‚

6 часов

3 РґРЅСЏ

2 недели.

Приведенные выше периоды предлагается взять за основу понятия «реальное время», используемое в наших построениях. В дальнейшем эти периоды во многом определяют реальное время субъектов, принимающих решение, а сами определяются «масштабом» субъектов. Так, если в случае принятия или непринятия решений об интервенции в Ливии и Сирии для высшего руководства НАТО единицей измерения были трое суток, то для модератора сайта, на котором разворачивается информационная операция, единицей измерения времени уже становится 45-минутный интервал.

 

2.4. Мониторинг информационного пространства

Признаком ведения информационной операции технической направленности являются нарастающие атаки на ресурсы сети: на  конкретные тематические сайты, на сайты провайдеров, которые размещают у себя соответствующие тематические сайты, на DNS-сервера и другие важные для функционирования Интернета службы. Отследить появление фактов нарастания атак соответствующей направленности можно по появлению новостных сообщений, которые выбираются, например, по следующим ключевым словам:

• атака на DNS-сервер;

• DDoS-атака;

• нарастание вирусной угрозы;

• блокировка сайта;

• отказ в обслуживании и т. п.

Данный перечень далеко не полный. Доведение его до приемлемой для практического использования полноты — отдельная исследовательская задача.

Как было показано выше, на сегодняшний день зарекомендовавшим себя признаком ведения информационной операции гуманитарной (социальной) направленности является создание и закрепление в общественном сознании выгодной агрессору модели мира. При этом важно, что сегодня информационное воздействие всегда направляется на объект агрессии. Агрессор формирует требуемое ему общественное мнение именно у населения противника. Получается, что для поддержания собственной информационной безопасности анализировать информационные материалы важнее не те, которые подаются в той или иной стране, а те, которые формируются в собственной стране источниками, подконтрольными зарубежным структурам.

При изучении зарубежного информационного пространства выявление устойчиво формируемых соответствующими источниками моделей позволяет понять взаимоотношение зарубежных стран по отношению друг к другу.

Таким образом, к признакам информационной угрозы можно отнести:

• увеличение и поддержание на определенном уровне частоты повторения новостей определенной тематики и заказных комментариев к ним в соответствии с заданной количественной оценкой;

• территория, на которую направлено воздействие соответствующей информации (объект воздействия);

• источники информации (субъект воздействия).

По гуманитарному (социальному) направлению нами был проведен анализ новостных тематик, предшествующих интервенции в Ирак, Ливию. Он показал, что на роль ключевых слов для фильтрации новостей подходят следующие слова/словосочетания/реплики:

— нарушение прав человека…

— создание оружия массового поражения.

— преступления режима против собственного народа.

— коррумпированный режим.

— антинародный режим.

— диктаторский режим.

— коррумпированная власть.

— уничтожение собственного народа.

— борьба с собственным народом.

— уничтожение демократии.

— подавление свободы.

— применение армии против собственного народа.

— поставка оружия.

— приграничные конфликты.

— пособничество терроризму.

— подготовка террористов.

— нарушение правил торговли.

— организация бесполетной зоны.

— применение химического оружия.

Рё С‚.В Рї.

Количество возможных слов, словосочетаний, слоганов и их комбинаций с учетом синонимов даже на простых примерах при одновременном выявлении информационных угроз различной направленности измеряется тысячами. Чем полнее это множество, тем больше вероятность выявления угрозы на раннем этапе ее зарождения. Но для человека-оператора отследить развитие процесса по всем направлениям не представляется возможным. Поэтому задача автоматизации факта выявления изменений в частотах повторения новостных тематик и оперативного удобного представления результатов оператору является актуальной и практически значимой.

Обозначим через xi — слово/словосочетание, относящееся к i новостной тематике.

Vj(xi) — число новостных сообщений, содержащих xi, в течение j временного периода (j — в зависимости от решаемой задачи, может быть порядковым номером минуты, часа, суток, неделей и т. п.), так, например,

V1(xi) — число новостных сообщений, содержащих xi, за первый час наблюдения;

V2(xi) — число новостных сообщений, содержащих xi, за второй час наблюдения;

Vj(xi) — число новостных сообщений, содержащих xi, за j-ый час наблюдения и т. д.

Тогда величина:

Vj(xi)1 = Vj+1(xi) — Vj(xi)

характеризует направление развития числа новостных сообщений, а величина:

Vj(xi)2 = Vj+1(xi)1 — Vj(xi)1 = Vj+2(xi) — 2Vj+1(xi) + Vj(xi)

свидетельствует об устойчивости процесса.

При этом должен существовать интервал, для которого, начиная с некоторого t1, выполняется Vj(xi) > V0.

Таким образом, задача сводится к формированию множества {xi}, формированию множества доверенных источников ({yi} — ресурсов сети Интернет), по которым будет осуществлен регулярный сбор данных о {xi} с последующей оценкой значений Vj(xi)1 и Vj(xi)2 по разным временным интервалам (Δt).

Считаем, что информационная угроза имеет место, если значения Vj(xi)1 и Vj(xi)2 превышают некоторый порог и выполняется Vj(xi) > V0, начиная с некоторого j и до текущего временного интервала не менее, чем для Р% временных интервалов.

В ходе предварительных исследований был создан специальный макет, на котором изучались представленные выше результаты и предложения. Ниже приведен скриншот экрана макета.

Для макета было использовано следующее множество {xi}:

— химическое оружие Сирия;

— права человека в России;

— Эдвард Сноуден;

— нарушение воздушного пространства;

- Россия нарушение морских границ;

- информационные войны;

- климатическое оружие;

- Курильские острова;

- Норвегия Россия шельф.

В качестве множества {yi — новостных ресурсов сети Интернет — было взято множество новостных ресурсов Google и отфильтровано с помощью службы Google по адресной рассылке новостных сообщений заданной тематики. Сегодня подобные рассылки можно получать у любого серьезного новостного ресурса (yandex.ru, mail.ru, Би-би-си и др.). При необходимости дополнительно можно сделать собственный поисковик, ориентированный на конкретные доверенные ресурсы.

В качестве специальных эффектов были использованы цвета и форма подачи материалов в виде «облака тегов». Цвета выбраны следующие:

— белый — число новостных сообщений находится в заданных (естественных) границах;

— желтый — число новостных сообщений выходит за пределы границы (верх);

— зеленый — число новостных сообщений выходит за пределы границы (вниз);

— красный — число новостных сообщений значительно нарастает (VJ(xi)1 и Vj(xi)2 больше установленных значений).

В том случае, если появляются сообщения с предупреждающей окраской, оператор всегда может перейти к детальному исследованию новостного процесса.

По вертикальной оси — число новостных сообщений, по горизонтальной — время в выбранном масштабе, в данном случае — день-месяц. По нажатию соответствующей кнопки оператору представляются ссылки на все новости данного дня:

На вышеприведенном экране макета оператор может непосредственно по ссылке перейти на сайт, где размещена новость, а также посмотреть информацию об источнике (специальная красная кнопка «Информация об источнике»). При нажатии на эту кнопку в правой нижней части экрана высветится следующая информация:

• наименование ресурса;

• географическое расположение;

• адрес (IP-адрес (для интернет-ресурса), E-mail, почта, телефоны, скайп и т. п.);

• адреса расположения филиалов (копий) ресурса;

• владелец;

• наименование хостинг-провайдера для интернет-ресурса;

• ключевые фразы для поисковика, выводящие ресурс в топ-10;

• посещаемость/читаемость;

• темы ресурса, ключевые слова ресурса;

• принадлежность ресурса к собственным/враждебным/нейтральным силам и средствам (перечень дружественных и враждебных ресурсов (ссылки);

• динамика изменения общественного мнения ресурса.

Все эти данные пригодятся для детального анализа источников подобного рода сообщений, их связей друг с другом и возможностей влияния на них и их хозяев. Кроме того, данная информация может быть использована в качестве исходных данных для планирования собственных ответных операций.

Полученные с помощью макета материалы имеют довольно широкий спектр применения — они позволяют изучать процесс протекания информационной операции. Приведем пример. Понятно, что нагнетание угрозы по поводу применения Сирией, имеющей нормальное военное вооружение, включая авиацию, химического оружия против зарубежных наемников является чисто информационной операцией, направленной на перепрограммирование мирового общественного мнения. В условиях, когда никто не возражает, данная позиция становится доминирующей. Подобное на наших глазах происходило применительно к Ливии, когда все, включая Россию, поддержали введение бесполетной зоны над суверенным государством.

Исследуем развитие информационной операции по убеждению мирового общественного мнения в применении сирийскими военными химического оружия.

На следующем скриншоте показан график новостных сообщений по теме «химическое оружие Сирия». Сообщения выбраны по дате 28 июня. На этот день их было 26.

29 июня В.В. Путин заявляет: «У нас нет доказательств фактов применения химоружия властями Сирии».

После этого заявления число новостных сообщений по данной тематике стало резко уменьшаться. Но авторы информационной операции не успокоились. Заявление В.В. Путина и последующие заявления российского МИДа снизили общий рост новостных сообщений и способствовали увеличению времени проведения данной информационной операции. 10 июля РФ привела доказательства использования сирийскими «повстанцами» зарина в Алеппо, что опять вызвало всплеск новостных сообщений. Но уже 12 июля США обвинили Россию в блокировании расследования применения химоружия в Сирии. Наблюдаем полное игнорирование результатов работы российских экспертов, в силу того, что оно противоречит создаваемой агрессором модели. После этого российская точка зрения практически покидает новостное информационное пространство. Опять продолжает исполняться «старая песня». На другие мнения ведущие мировые СМИ не обращают внимание. Таким образом, организаторы информационной операции не позволяют «затухнуть» данной теме.

Тема раскручена, и для ее поддержания в дело уже идут самодельные, но настоящие ракеты, начиненные зарином, которые и выпускаются по населению. В результате мировое внимание к данной теме с одновременным осуждением всех, придерживается противоположной точки зрения, усиливается.

Обывательская логика проста:

А. Ранее общественности было доказано, что руководство Сирии и, в частности, ее президент — злодеи. Доказывали долго и интенсивно.

Б. Произошло злодейское событие — применение химического оружия по мирному населению.

Вывод № 1: Химическое оружие применено по указанию президента Сирии.

Следствие № 1: Все те, которые поддерживают законное злодейское правительство Сирии, включая Россию и Китай, — такие же злодеи.

 

ГЛАВА 3

Проведение специальных действий в ходе осуществления информационных операций

 

Прежде чем приступить к раскрытию содержания данной главы, определимся с применением термина «специальный» в отношении действия. Согласно Толковому словарю Ушакова, «специальный»:

1. Особый, отдельный, не общий, исключительно для чего-н. предназначенный. 2. Связанный с отдельной, обособленной отраслью общественной жизни (науки, техники и т. п.), присущий той или иной специальности (отличие от общего). Действия, проводимые в ходе информационных операций, названы «специальными» по той причине, что они, действительно, имеют существенное отличие от «обычных» — их проведение осуществляется с соблюдением анонимности, в телекоммуникационной среде, а не на открытом поле реального боя, например, и эти особенности должны также учитываться при планировании и моделировании информационной операции.

 

3.1. Исполнители

 

В большинстве случаев, говоря об информационных операциях в Сети, мы подразумеваем проведение специальных действий в условиях анонимности. Субъект, как инициирующий информационную операцию, так и осуществляющий ее, выступает как некий актор. Согласно Глоссарию конфликтологических терминов М. Устиновой, актор (лат. actor — деятель) — индивид, общественная группа, институт или другой субъект, осуществляющий конкретные действия; сторона, участвующая в конфликте. Таким образом, в рамках ролевых концепций исход информационной операции является результатом реализации различных ролевых предписаний задействованных акторов. Исполнителями действий являются не только люди; способностью к исполнению целенаправленного действия наделяются виртуальные субъекты, например, программные [ро]боты и даже вирусы. В программировании актор — программная сущность заданной структуры и механизмов взаимодействия; содержит данные и процедуры, обладает инкапсуляцией, отношениями, наследованием и может порождать сообщения [там же]. Акторы так же, как в театре, «играют роли» на информационной арене (сцене) Интернета по сценариям или спонтанно.

Рассмотрим акторов информационных операций, взяв за основу их поведенческие особенности, проявляющиеся в ходе воздействия на объекты технической и гуманитарной (социальной) сферы.

 

3.1.1. Акторы технической сферы

Достижение информационного превосходства путем уничтожения, искажения или хищения информационных массивов, преодоления систем защиты, обеспечения допуска незаконных пользователей, дезорганизации работы технических средств и компьютерных систем ориентируется на высокоточные и максимально скрытые, анонимные способы воздействия масштабного разрушения. Акторами выступают:

• компьютерные вирусы, способные внедряться в программное обеспечение информационных систем, размножаться, передаваясь по линиям связи, сетям передачи данных, выводить из строя системы управления и т. п.;

• логические бомбы — программные закладки, которые заблаговременно внедряют в информационно-управляющие части системы, чтобы по команде или в назначенное время привести их в действие;

• средства нейтрализации тестовых программ;

• преднамеренные ошибки, вводимые противником в программное обеспечение объекта воздействия.

Приведем пример средства воздействия на программный ресурс электронных управляющих модулей, которое обеспечивает вывод их из строя и изменение алгоритма их функционирования с использованием специальных программных средств. Это известный вирус Sturnet, представляющий собой специализированную разработку (2010 год) спецслужб Израиля и США, направленную против ядерного проекта Ирана. Уже позже данную гипотезу подтвердил Эдвард Сноуден. Экс-сотрудник ЦРУ, находясь в транзитной зоне московского аэропорта Шереметьево, заявил в интервью немецкому журналу Spiegel, что компьютерный вирус Stuxnet, поразивший ядерные центрифуги Ирана, создан и запущен Израилем в сотрудничестве с США.

Примечательно, что «масштаб заражения иранских систем можно описать как фатальный, вирус проник по многим заводами активно вмешиваясь в системы управления. Если судить по блогам, то по оценкам иранских граждан, знакомых с проблемой, заражено до 60 % процентов всего оборудования в Иране. В то же время иранские СМИ лишь кратко описывают ситуацию и утверждают, что Агентство по атомной энергии Ирана успешно справилось с проблемой и занимается зачисткой остатков». Так иранские СМИ стали акторами социальной сферы, влияющими на формирование общественного мнения.

Таким образом, акторы технической сферы, представляя собой информационное оружие на основе программного кода, «ответственны» за проведение следующих специальных действий в ходе осуществления информационных операций в телекоммуникационной среде:

• проникновение в информационную систему противника;

• преодоление систем защиты;

• собственная маскировка и анонимность;

• сбор данных, циркулирующих в информационной системе противника;

• доставка и внедрение определенных команд или информационных материалов в конкретное место информационной системы (интернет-ресурса);

• создание или модификация виртуальной реальности (имитация голосов, создание видеоизображений конкретных людей и т. п.);

• модификация информации, хранимой в базах данных информационных систем противника или отображаемой на его интернетресурсах;

• скрытое изменение алгоритма функционирования программного обеспечения в заданный момент времени или при наступлении определенного события в системе и др.

Перечисленные акторы технической сферы — компьютерные вирусы и закладки, средства нейтрализации тестовых программ, преднамеренные ошибки программного обеспечения — подробно описаны в технической литературе. Не будем повторяться и в данной книге остановимся на приемах применения информационного оружия виртуальными специалистами (раздел 3.2. «Практикум «воина сети Интернет»).

 

3.1.2. Акторы гуманитарной (социальной) сферы

Общей предпосылкой проведения информационной операции в социальной сфере является тот факт, что, когда человек вынужден ориентироваться в условиях недостатка информации либо ее избытка, повышается вероятность принятия ошибочных решений с последующим накоплением ошибок на различных уровнях управляемого процесса. Поэтому в ходе информационной операции, в частности, должна решаться задача уменьшения или увеличения информационных сообщений, размещаемых на доверенных и раскрученных в Сети информационных ресурсах (новостных сайтах и лентах, в социальных сетях, в комментариях, где имеет место выражение отношения к проблеме). При этом все более распространенными становятся явление астротерфинга и явление зомбирования (социального программирования) мемами. Неодушевленными акторами социальной сферы в этих явлениях выступают медиавирусы в случае социального программирования, тролли и [ро]боты в случае астротерфинга.

Медиавирусы

Явление медиаактивизма и применения медиавирусов описано впервые американским специалистом в области средств массовой информации Дугласом Рашкоффом. Он ввел понятие медиавируса для обозначения медиасобытий, вызывающих прямо или косвенно определенные изменения общественного мнения. Часто употребляемыми в контексте информационных операций и взаимосвязанными понятиями становятся «мемы», «вирусы сознания», «вирусы СМИ». Медиавирусы представляются распространяющимися по инфосфере мемами и мемокомплексами, изменяющими восприятие локальных и глобальных событий.

«Мем — это единица информации в сознании, чье существование влияет на события так, что большое число ее копий возникает в других сознаниях… Заразные информационные паттерны, которые воспроизводятся паразитически, инфицируя сознания людей и видоизменяя их поведение, заставляя их распространять этот паттерн. Отдельные слоганы, лозунги, музыкальные мелодии, визуальные изображения. — типичные мемы. Шутки поддерживают инфицирование тем, что они смешные, мелодии тем, что вызывают разнообразные эмоции, лозунги через выразительность и многократное повторение… Идея или информационный паттерн не является мемом до тех пор, пока не заставит носителя реплицировать ее, повторить ее в ком-то еще. Вирус сознания — что-то во внешнем мире, что инфицирует людей с мемами. Те мемы, наоборот, влияют на поведение инфицированных людей так, что они помогают увековечивать и распространять вирус. Вирусы СМИ — тип вирусов сознания. Они используют сообщения СМИ. Есть три типа вирусов СМИ: 1) умышленные вирусы СМИ: реклама, агитация, действия СМИ, направленные на распространение идеологии или продукта; 2) захваченные вирусы СМИ: их намеренно не выпускали, но ими быстро начинают пользоваться группы людей, которые надеются с их помощью продвинуть свои собственные цели; 3) самозарождающиеся вирусы СМИ: плодятся, благодаря случайным событиям, которые выявляют объективные интересы, и распространяются добровольно потому, что они попадают прямо в слабости общества и идеологический вакуум» [там же].

Большую часть книги Рашкоффа занимают примеры различных медиавирусов. Это скандальные происшествия, сплетни о политиках и поп-звездах и т. п. — события с негативной или провокационной подоплекой, освещаемые в среде Интернет с помощью специально подготовленных медиаматериалов (текст, аудио, видео) и вызывающие заметные для общества последствия. К медиавирусам, например, относят сексуальный скандал вокруг бывшего, а тогда действующего президента США Билла Клинтона и Моники Левински, использованный республиканцами и способствовавший ослаблению позиций демократов в этой стране.

Акторы астротерфинга

Астротерфинг — создание искусственного общественного мнения с помощью специальных программ и технологий на базе среды Интернет.

Почему подобное стало возможным? И насколько оно опасно?

Возможно, потому что важнейшей характеристикой современной эпохи стало появление технических средств между человеком и человеком. И тот, кто владеет этими техническими средствами, тот и управляет людьми.

Опасно, потому что Интернет — это не только СМИ, это не только взаимодействующие технические системы. Интернет — это среда, в которой одновременно обитают как люди, так и программные модули, которые мало чем отличаются от людей. В литературе они называются по-разному: боты, аватары, программные роботы. В силу того, что эти программные роботы в части диалогового интерфейса мало чем отличаются от людей, а порой даже их превосходят по ряду коммуникационных параметров, возникает вопрос, кого будут слушать люди? Чьи тексты будут читать посетители, открывая огромную книгу по имени Интернет? К чьему мнению прислушиваться? Если к мнению большинства, то это мнение легко формируется хозяином соответствующих технических средств, соответствующих программных роботов.

Воздействие на общественное мнение, как и защита его — одна из наиболее актуальных современных задач, относящихся к обеспечению информационной безопасности. При этом речь идет уже не о безопасности отдельно взятой страны, а об обеспечении информационной безопасности всего человечества. События в Ливии и Сирии показывают, что сегодня идет мощнейшая атака на систему отношений людей друг к другу и к миру, независимо от того, где они проживают и какие ценности исповедуют.

Вопрос: «Насколько защищены подобные технологии, чтобы они имели право на существование? Не начнет ли формироваться у определенной части человечества модель мира, неадекватная этому миру? Что само по себе уже опасно! Не подкладывается ли сегодня мина под фундамент человеческого знания о мире и самом себе. А если подкладывается, то как от этого защититься? И возможна ли вообще защита?

Вернемся в лоно строгих определений и алгоритмов. Общественное мнение на базе ресурсов Интернет представляет собой совокупность взаимосвязанных индивидуальных мнений по конкретному вопросу, затрагивающему группу людей. Эти мнения зафиксированы в виде мультимедийных материалов на ресурсах сети Интернет. Например, в виде комментариев к какой-либо новости. Новость является тем узлом, который собирает эти мнения вокруг себя.

Грамотный выбор потока новостей влияет и на множество комментариев, но это отдельная тема. Здесь мы рассмотрим только ту часть проблемы, которая относится к возможности комментирования.

А теперь подойдем к главному вопросу: как формируется эта совокупность индивидуальных мнений? Что надо для того, чтобы оставить комментарий?

Все множество новостных сайтов, как показал анализ на предмет возможности комментирования сообщений, может быть разбито на несколько классов:

• сайты, где любой посетитель имеет право комментировать любую новость;

• сайты, на которых, чтобы оставить комментарий, посетителю необходимо зарегистрироваться (ввести логин и пароль);

• сайты, где необходимо не только зарегистрироваться, но и при каждой авторизации преодолевать различные капчи;

• сайты, где при регистрации используется номер сотового телефона посетителя, пароль посетителю передается через смс;

• сайты, где комментарии могут оставлять только «свои», т. е. права доступа получаются не при регистрации, а выдаются заранее по принципу «лично известен». Например, банки и другие подобные структуры.

Принципиально важно, что посетитель приходит на тот или иной ресурс не непосредственно сам, а опосредованно, через соответствующее ПО — браузер. Браузер — обычная компьютерная программа, и ей все равно, кто ее запускает — человек или другая компьютерная программа. Кроме того, другая, специально созданная компьютерная программа может выходить в Интернет самостоятельно с заданными настройками, например, под видом любого браузера. Сегодня написать подобный код достаточно легко. Для этого существуют специальные пакеты, например, Curl.

Вот так выглядит на php обращение к сайту от имени посетителя, который вошел в Интернет, якобы, с браузера: «Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0;.NET CLR 1.1.4322)».

После этого обращения все содержимое сайта будет загружено в переменную $output. При этом система контроля сайта отметит, что на сайт заходил посетитель с браузера «Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0;.NET CLR 1.1.4322)», на котором установлены следующие языковые предпочтения: ru,en-us;q=0.7,en;q=0.3, используемая кодировка — utf-8 и utf-8, т. е. именно с того браузера, который был указан при обращении.

Обработка полученного в переменной $output содержимого — это уже применение классического набора алгоритмов на базе стандартных библиотечных функций, по выделению интересующих полей, например, логин и пароль, заполнению их необходимыми данными, а после авторизации — поиск формы, используемой для выдачи комментариев, заполнение их и отправка требуемого комментария. Кстати, для всех перечисленных задач также существуют уже готовые продукты.

Теоретически робот способен самостоятельно зарегистрироваться, так как процесс регистрации хорошо алгоритмизирован.

Теоретически робот читает смс и «знает», что с ними можно делать. Для этого достаточно только наличие доступа к памяти телефона.

Теоретически робот способен распознать капчу и преодолеть ее, затратив серьезные вычислительные ресурсы.

Но на практике все гораздо проще [24]Обратите внимание, эта фраза, «инфицировавшая» аудиторию научнопрактической конференции, превратилась в мем (пример из практики авторов). Участники стали многократно повторять ее (реплицировать), распространяя этот информационный паттерн.
— для решения задач, сложных для робота, существует человек, который способен помочь сотням роботов, тем самым значительно упростив их разработку:

• специально обученный человек на сотнях различных интернет-ресурсах самостоятельно регистрирует роботов;

• специально обученный человек ставит задачу роботам в виде множества текстов комментариев, на базе которых роботы должны формировать «похожие» и размещать их на заданных ресурсах;

• специально обученные и организованные люди по заданию роботов распознают капчи и выдают результат. Сегодня эта платная услуга широко представлена в Интернете. При столкновении с капчей робот обращается за помощью на соответствующий платный ресурс, демонстрирует людям капчу, получает ответ, отвечает и идет дальше.

Вывод: теоретически люди могли бы поставить заслон роботам, но роботам, которым помогают такие же люди, поставить заслон практически невозможно.

Остается один не доступный (пока!) для роботов вид ресурсов — сайты, где комментарии могут оставлять только «свои», только те, кто имеет личные атрибуты доступа к содержимому (логин и пароль). Однако и здесь есть свои уязвимости:

• порядочность людей, которые осуществляют регистрацию;

• защищенность компьютеров, где хранятся регистрационные данные (как-то уж так получается, что все серьезные БД регулярно появляются в открытом доступе);

• расплывчатость такого понятия, как «живой» человек. Например:

МОСКВА, 22 февраля — РИА Новости. Приложение LivesOn, способное самостоятельно продолжить Twitter-микроблог пользователя после его смерти, будет запущено в марте текущего года, сообщает газета The Guardian.

«Когда твое сердце остановится, ты продолжишь твитить» (When your heart stops beating, you'll keep tweeting), — гласит слоган приложения. Сервис основан на алгоритмах, которые анализируют онлайн-поведение пользователя — интересующие его темы, часто употребляемые слова, особенности речи.

В случае смерти сервис продолжит генерировать записи от имени пользователя и даже публиковать ретвиты сообщений со страниц, которые он наиболее часто цитировал. Однако при регистрации в LivesOn пользователь все равно должен назначить человека, который получит контроль над его аккаунтом после смерти.

По нашим оценкам на сегодня до 10 процентов почтовых ящиков принадлежат умершим.

И вот здесь опять появляется бессмертный Чичиков:

—  Вы спрашиваете, для каких причин? причины вот какие: я хотел бы купить крестьян…  — сказал Чичиков, заикнулся и не кончил речи.

—  Но позвольте спросить вас,  — сказал Манилов,  — как желаете вы купить крестьян: с землею или просто на вывод, то есть без земли?

—  Нет, я не то чтобы совершенно крестьян, — сказал Чичиков,  — я желаю иметь мертвых…

—  Как-с? извините … я несколько туг на ухо, мне послышалось престранное слово…

—  Я полагаю приобресть мертвых, которые, впрочем, значились бы по ревизии как живые,  — сказал Чичиков.

В некотором смысле в приложении к задаче астротерфинга получается, что кому принадлежат мертвые души, тому и принадлежит общественное мнение живых! Но при этом мертвых с каждым годом становится все больше и больше. И если им помогут роботы, то за ними вполне может быть будущее Интернета!

Возвращаясь к ответу на поставленные вопросы о возможности надежной защиты процесса формирования общественного мнения в сети Интернет, констатируем, что на сегодняшний день таких технологий нет и, более того, как было показано, и быть-то не может. Поэтому все попытки введения подобного вида законодательных инициатив — это проведение в жизнь дополнительных новых механизмов целенаправленного скрытого манипулирования общественным мнением. Серьезно к этому мнению относиться нельзя. Так, получается, что по нашему законодательству, человек, имеющий 100 тыс. роботов, легко может инициировать любую законодательную инициативу.

Таким образом, важнейшей задачей в данном случае является объяснение пользователям Интернета того печального факта, что настало время, когда ко всему, что происходит в Интернете, в части формирования общественного мнения, надо относиться с определенной долей недоверия.

Но в то же время не надо забывать, что в случае ограничения деятельности роботов Интернет теряет многие свои преимущества в части автоматизации многих поисковых процессов. Сайт, который активно борется с роботами, теряет посетителей за счет того, что:

• отсеиваются многие поисковики, и в результате сайт становится менее известным;

• отсеиваются люди, не способные распознать капчу;

• отсеиваются полезные в определенном смысле этого слова роботы, которые по заданию пользователя проводят предварительную разведку для своего хозяина на предмет: а стоит ли человеку посещать этот сайт.

 

3.1.3. Лаборатория виртуальных специалистов

Понятно, что все-таки люди больше доверяют людям, способным, в отличие от робота, принимать решения в нестандартных ситуациях и оперативно действовать согласно им. Чтобы создать интеллектуального робота, требуется время и другие затраты на его подготовку для проведения специальных действий в ходе информационной операции. Поэтому надежными исполнителями по-прежнему остаются специально нанятые посетители, которые за определенную плату или по идейным соображениям периодически заходят на заданное множество сайтов и выполняют оговоренные с заказчиком действия. Они регистрируются под несколькими никами и массово продвигают определенную идею.

В Сети рекрутинговые интернет-ресурсы для троллей содержат типовые объявления:

«На постоянную работу требуется специалист по работе в социальных медиа (фейсбук, вконтакте, твиттер, ЖЖ и др. блоги). График работы гибкий/свобод-ный. Оформление по ТК. Обязанности: работа в комментариях — требуется оперативная реакция на изменяющуюся ситуацию в блогах, способность поддержания дискуссии и перенаправление ее в требуемое русло; создание виртуалов, написание постов от их имени, раскрутка; мониторинг социальных медиа. Требования: опыт использования социальных сетей и блогов как продвижение чего-либо, понимание механизма их работы и психологии пользователей. Знание популярных блогеров, их основных позиций приветствуется».

Интересно, что такой способ используется даже на государственном уровне. Он хорош тем, что позволяет довольно быстро собрать эффективно действующую армию информационных бойцов.

Например, в 2010 году Израиль объявил призыв добровольцев в своеобразную «армию блоггеров», которой предстоит выйти на поля интернет-сражений для борьбы с антисионизмом. Руководит проектом министерство абсорбции Израиля. Согласно опубликованному министерством объявлению, оно приглашает израильтян, владеющих каким-либо иностранным языком, представлять Израиль в антисионистских блогах на английском, французском, испанском и немецком языках. Также представляют интерес блоггеры, пишущие на русском и португальском.

Более того, «Всемирный совет еврейского студенчества (World Union of Jewish Students, WUJS) нашел способ организовать эффективную борьбу за мировое общественное мнение в Интернете. В начале войны с «Хезболлой», когда Израиль, как всегда в таких случаях, начал проигрывать информационную войну, WUJS выступил с новой инициативой: создать в интернете активное произраильское сообщество, которое могло бы в режиме реального времени реагировать на появляющиеся в сети антиизраильские материалы. Инициативу поддержал отдел по связям с общественностью израильского МИД, а техническое средство реализации идеи обеспечила израильская компания по разработке программного обеспечения: была создана программа под названием «Интернет-мегафон», позволяющая быстро оповестить всех желающих о появляющихся в сети онлайновых опросах, статьях и форумах, связанных с Израилем. Добровольцы WUJS ежедневно ведут мониторинг и сообщают обо всех интернет-публикациях, которые, по их мнению, требуют реакции израильской публики. Отныне внести свой вклад в информационную войну за интересы Израиля может любой желающий ».

Соединенные Штаты в ноябре 2009 года сформировали аналогичное интернет-подразделение — «Команда по цифровым внешним контактам». Данное подразделение предназначено для противодействия антиамериканской дезинформации в Интернете за рубежом. В ее задачу входит присутствовать в Интернете — в чатах, на популярных интернет-сайтах и в блогах, рассказывая об американской политике, исправлять ошибки, которые имеют место, а также отсылать людей «к правильным документам».

Так все же, какие специальные мероприятия в контексте перечисленных в разделе 1.1 типовых задач способны выполнять люди, выступающие акторами информационной операции в телекоммуникационной среде, а какие задания — виртуальные специалисты-[ро]боты? Сравним:

Множество действий, доступных виртуальному специалисту, — это также:

— рассылка сообщений-напоминаний, аудио, видеоматериалов в рамках утвержденного графика работ;

— регулярный сбор материалов с заданных источников в сети Интернет, обработка (реферирование), хранение;

— сбор аудио-, видеоинформации с WEB-камер и других технических средств;

— ведение новостной ленты (кто и когда включил/выключил компьютер, отправил сообщение, сколько раз обратился к той или иной базе данных и т. п.);

— контроль технологических процессов;

— ведение журналов аудита;

— разработка предсказаний; предупреждение о возможной опасности;

— акцентирование внимания руководства на нетипичных ситуациях;

— ответы на вопросы с использованием всего спектра разнородной информации (текст, аудио, видео), обсуждение сформулированной человеком проблемы; при этом диалог может вестись как в виде текстовых сообщений, так и голосом и на уровне видеореплик (так, например, браузер Google Chrome позволяет вводить запросы и реплики голосом с высоким качеством распознавания).

Одним из перспективных направлений для решения перечисленных выше функциональных задач является применение специального программного обеспечения, интерфейс которого идентичен поведению реального пользователя сети. Понимаем, что виртуальный специалист — это программный модуль, написанный на языке web-программирования, например, php. Модуль исполняется на сервере и способен использовать любые доступные ему как программному модулю ресурсы. Особенностью модуля является наличие всех тех механизмов, которые пожелает встроить в него разработчик.

Благодаря перечисленным особенностям и функциональным возможностям, виртуальные специалисты становятся все более востребованными. Создание виртуальных специалистов возможно практически в любой предметной области. Им находится место и в качестве бойцов на информационном поле боя. Таким путем идут в США, например, в 2011 году контракт стоимостью 2,76 млн. долл. достался зарегистрированной в Лос-Анджелесе компании Ntrepid. Цель контракта — разработать специальное программное обеспечение (ПО) для проведения проамериканской пропаганды через различные социальные сети и блоги. «По словам представителя Centcom Билла Спикса, данная технология позволит вести секретную блогерскую деятельность на зарубежных сайтах. В частности, такое ПО поможет противодействовать распространению пропаганды за пределами США, кампаниям по дезинформации или хакерским атакам… в рамках этой программы будут создаваться вымышленные виртуальные личности в Twitter, Facebook и других соцсетях, которые по всем внешним признакам должны казаться обычными пользователями из разных стран и иметь убедительную легенду. Под контролем одного военного будет до десяти онлайн-персонажей. Единый пункт управления расположится на базе ВВС США Макдилл близ Тампы (Флорида) и будет функционировать в круглосуточном режиме. Работать в нем будет до 50 операторов. Также предусмотрена система защиты от разоблачения. Отличить бот от настоящего пользователя будет еще более затруднительно, поскольку фэйловым аккаунтам замаскируют IP-адрес. Это позволит создать видимость того, что посты отправляются реально существующими пользователями из разных стран». По словам Билла Спикса, пресс-секретаря Центрального командования ВС США, данная система будет использоваться для общения на арабском, фарси, урду, пушту и других языках. Данный проект позволит американской армии не только получать оперативную информацию от пользователей о текущем состоянии в регионе, но и добиться «эффекта ложного единодушия» в онлайн-дискуссиях.

Для виртуального специалиста вполне реально сформулировать цели, задачи и правила поведения — это, в первую очередь, постоянное расширение знания в той предметной области, за которую он отвечает, а во вторую — набор правил, согласно которым он функционирует, зафиксированные в его функциональных обязанностях. Виртуальный специалист должен постоянно актуализировать данные, информацию, знание. Он обязан активно обучаться в части решения классической задачи по распределению ресурсов и заданий.

Рассмотрим возможности виртуальных специалистов по обучению и переобучению. При этом будем помнить о том, что, поскольку виртуальные специалисты работают в условиях анонимности, то желательно, чтобы они как можно больше походили на людей, но превосходя их в точности, скорости и масштабности действий.

Обучение виртуального специалиста предполагает организацию работ по двум направлениям:

— обучение материалам, которые, согласно оперативному сценарию, должны быть доставлены на интернет-ресурсы;

— обучение общему поведению и такому языковому интерфейсу, которые бы способствовали повышению веры посетителей ресурсов в источник сообщения.

Доверие со стороны объекта управления к источнику мультимедийного контента, в данном случае к виртуальному специалисту, во многом определяется возможностью его причисления к категории «своих». Исследуем направления работ по обучению и переобучению виртуального специалиста в направлении повышения к нему доверия со стороны других субъектов. Основой любого доверия всегда является понимание одного субъекта другим, которое, в свою очередь, строится на базе созданного информационного образа. Создать информационный образ любого субъекта — значит воссоздать его систему отношений, т. е. проявить его опыт на данный момент. Если же известны правила, по которым данный субъект осуществляет познание мира, то появляется возможность создания устойчивого информационного образа, способного к обучению, к самостоятельному познанию мира. В том случае, если измерение отношения осуществляется не однозначно и не двузначно, а многозначно, то система отношений превращается в систему предпочтений. Часть предпочтений задаётся на этапе создания виртуального специалиста, другие формируются в ходе проведения информационной операции.

Система предпочтений, правила познания, индивидуальная манера поведения в совокупности образуют основу любого информационного образа, в частности информационного образа виртуального специалиста. К этому образу можно добавить биографию, имя, наиболее характерные истории из жизни, чтобы он выглядел более реалистично. Чтобы информационный электронный образ был похож на «живой», он должен состоять из элементов, способных к взаимозависимой деятельности. Он должен содержать в себе своё алгоритмическое самоподобие в виде множества интегрированных компонент, способных к различным видам взаимозависимой деятельности.

Введение понятия «алгоритмическое самоподобие» влечет за собой переход к процессам, протекающим по структурам, образованным на базе отношений. Именно процессы определяют, какие сиюминутные информационные образы будут проявлены, а какие нет. Но сами процессы, в свою очередь, также поддаются классификации, и каждый процесс имеет свою структуру, т. к. сам по себе состоит из последовательности различных операций. Например, в объектно-ориентированном программировании элементарными составляющими процесса являются методы. В нашем исследовании к методам можно отнести возможности:

— изменения размеров;

— изменения месторасположения;

— изменения компонент объекта;

— добавление новых компонент;

— удаление компонент;

— порождение дополнительного образа объекта, освещающего (описывающего) данный объект под другим углом зрения.

Перечисленные методы связаны с перемещением объекта в пространстве и времени и с изменением компонент самого объекта.

Информационный образ виртуального специалиста проявляется через естественный язык, который понимают пользователи Интернет, а также искусственные языки среды Интернет, в частности язык разметки гипертекстов html, который они обязаны понимать, когда попадают на тот или иной интернет-ресурс. Язык среды используется для создания текстов.

Среда, в которой функционирует виртуальный специалист, структурируется наличием:

— ключевых слов для текстов, циркулирующих в этой среде;

— связей между ними;

— эмоциональной окраской, как всех текстов, так и отдельных предложений и даже слов;

— наличием определенной комбинации тегов языка разметки гипертекстов. С помощью тегов указывается значимость того или иного слова для данного текста. Подобного рода значимые слова выделяются в тексте с помощью т. н. тега и тегов разметки текста типа создания заголовков разного уровня, подчеркивания, включения жирного шрифта, гиперссылок. Виртуальному специалисту достаточно «взглянуть» на содержимое названных тегов, и он уже «понимает», о чем идет речь.

Итак, задача виртуального специалиста при общении с человеком или с сайтом заключается в переводе полученных текстов на свой внутренний язык, причем перевод этот должен начинаться с оценки эмоциональной окраски и удаления избыточности. То, что останется, и будет языковой средой.

Индивидуальная манера поведения виртуального специалиста формируется на основе множества его бесед с пользователями ресурсов сети Интернет. Беседы строятся на предпочтениях. В беседах, как правило, присутствуют любимые слова и выражения и отсутствуют нелюбимые. Беседы с теми, к кому хорошо относятся, проходят совсем не так, как с тем, кого опасаются, — другой сценарий беседы. Если в основе первого сценария лежит выбор такого сообщения, которое заинтересует и позволит увеличить продолжительность беседы, то во втором случае сообщения выбираются так, чтобы время беседы сокращалось, а сама беседа ограничилась получением только нового знания о возможных опасностях.

Правила познания. В данном случае рассматриваются способности виртуального специалиста правильно решать те или иные задачи независимо от способности к т. н. познанию. Если задача того или иного уровня решается информационной системой (виртуальным специалистом), значит, система (виртуальный специалист) соответствует этому уровню познания.

Предлагается выделить следующие семь уровней познания:

На первом уровне система способна давать ответы на вопросы только на основе содержания имеющегося у нее текста. Если, например, системе известен текст: «Началась война!», то система должна уметь отвечать правильно на вопрос типа: «Что началось?» Существуют различные алгоритмы решения данной задачи. Например:

— на базе фрейма, содержащего все места, которые посещает субъект, с перечнем его возможных действий;

— поиск в хранящихся текстах предложений, содержащих в себе вопрос или большую часть вопроса, и объединение их в текст ответа с учетом синтаксиса языка. В данном случае системе совсем необязательно уметь анализировать текст и понимать, что такое «война», и знать, что она началась, — это должен знать тот, кто задал вопрос. Главное, чтобы субъект, задающий вопрос, был удовлетворен ответом. На данном уровне важнейшей задачей является задача определения расстояния не только между различными текстами (в этой части достаточно существующих решений), но и между неизвестным вопросом и известным ответом, который и должен быть поставлен в соответствие этому вопросу.

Для определения индивидуального стиля поведения (разговора) виртуальному специалисту вполне подойдут адаптированные к текстам естественного языка алгоритмы самообучения на базе гибели и рождения элементов. В магистерской диссертации Р.С. Токарева (МФТИ, 2009 г.) было показано, что для решения данной задачи вполне достаточно всего четырех видов элементов с такими базовыми операциями, как удалить слово, добавить слово, заменить слово, переставить слова.

На втором уровне у системы имеются правила пополнения текстов и правила исключения отдельных фрагментов текста. Здесь возможны два пути модификации исходных текстов:

— их действительная модификация (включение/исключение);

— расширение (сужение) для информационной системы возможностей по доступу к текстам, принадлежащим другим информационным системам.

Наличие подобных правил может стать основой механизма самообучения, т. к. при определенных условиях эти правила задают направление развития информационной системы. Все ответы готовятся на базе различных текстов. Неоднократная отрицательная оценка ответа различными собеседниками является достаточным основанием для удаления текста, понижения его статуса. Положительная оценка приводит к повышению статуса текста, что, в итоге, способствует его выбору в случае наличия конкуренции среди текстов, претендующих на роль генератора ответа.

На третьем уровне при ответе на вопрос система должна уметь оперировать историей вопросов-ответов. Например, отвечая на вопрос «Согласны?», система должна уметь посмотреть историю диалога и расширить вопрос текстами о том, с чем предполагается согласиться. Как глубоко уходить в историю, на сколько шагов, определяется собеседником. В случае рядовой беседы людей друг с другом ими обычно учитываются от 3 до 7 последних высказываний.

Повышению эффективности функционирования системы на третьем уровне может способствовать карта взаимосвязи текстов, страниц сайтов, состоящая из матрицы следования текстов (вопросов/ответов друг за другом) и матрицы расстояний между текстами.

На четвертом уровне система должна иметь не только тексты, на базе которых строится ответ, но и информацию о конкретном субъекте, являющемся источником вопросов-сообщений, о цели и правилах общения. Четвертый уровень предполагает возможность интимного общения, опирающегося на знания о собеседнике. Четвертый уровень хотя бы без частичного знания системы предпочтений собеседника невозможен. Знания о собеседнике могут быть собраны информационной системой (виртуальным специалистом) в процессе регулярных бесед с собеседником. Эти знания представляются в виде соответствующей модели, которая позволяет рассчитывать такие характеристики, как:

— отношение собеседника к данному виртуальному специалисту. Отношение можно попытаться оценить через время беседы, через число положительных оценок, выставленных собеседником виртуальному специалисту за беседу, через число непосредственных обращений;

— интересы собеседника. Интересы формируются на базе частотного словаря употребления ключевых слов — это и есть интересуемые проблемы;

— отношение к интересующим проблемам. Это отношение формируется путем сбора данных об эмоциональной окраске речи собеседника применительно к интересующим проблемам;

— адекватность собеседника, в том числе истинность или ложность его текстов. Подобное возможно, если собирать оценки других посетителей на высказывания виртуального специалиста, которым его научил конкретный собеседник.

На пятом уровне система должна уметь оценивать истинность или ложность того или иного сообщения, в том числе с учетом того, кто автор этого сообщения. Умение оценивать истинность или ложность предполагает наличие памяти о происходящем, о том, чем закончилось то или иное высказывание.

На шестом уровне система должна уметь самостоятельно достигать целей, ради которых она существует. Изначально цели должны быть сформулированы создателем конкретного виртуального специалиста.

Цели могут быть самыми разными: от максимально возможного продления времени существования себя в беседе до получения конкретного результата от собеседника. Выдача и получение соответствующих текстов становятся возможными только тогда, когда данные тексты есть у виртуального специалиста, и для него возможен сценарий беседы, приводящий к требуемому результату.

В общем виде достижение целей предполагается путем модификации правил, в соответствии с которыми осуществляется изменение статуса отдельных текстов. При этом процессы, направленные на достижение целей, должны протекать не только во время беседы, но и в «спящем» режиме. Суть этих процессов заключается, во-первых, в установлении связей между имеющимися текстами на предмет достижения поставленных целей, а во-вторых, в повышении структурированности текстов за счет внесения в текст гиперссылок, раскрывающих смыслы как отдельных слов, так и предложений.

Для седьмого уровня одного текста на естественном языке недостаточно. Здесь речь уже идет о распознавании изображений, голосов и т. п.

Уровни познания расположены в порядке расширения возможностей познания. С одной стороны, они следуют друг из друга, позволяя последовательно возводить здания искусственной жизни, получая на каждом этапе определенный практический результат. С другой стороны, многие задачи (логический вывод, построение трехмерных образов, синтаксический анализ, теория перевода, механизмы самообучения и т. п.) в рамках названных уровней познания уже решены до вполне приемлемых результатов.

Исследуя уровни познания, мы показали одно из направлений совершенствования виртуальных специалистов. Второе не менее важное направление — это повышение привлекательности виртуального специалиста. Это важнейшее направление, так как привлекательность напрямую связана с верой в передаваемое информационное сообщение.

Введем функцию определения мощности множества — μ. Обозначим через μ(Tj) мощность множества Тj. Через tn — множество истин, ставших известными субъекту i в ходе беседы с некоторым не представившимся субъектом j, которого надо узнать в ходе беседы. Тогда для субъекта i вероятность, что он беседует именно с субъектом j, могла бы быть оценена по формуле:

P = Ој(tО—)/ Ој(Tj).

Но реально субъект i не всегда может знать все множество истин Tj. Это множество истин (в случае человека) может быть вообще не перечислимым, т. е. не всегда возможно даже посчитать мощность множества Tj, а значит, наверняка узнать собеседника. Так, предлагаемая формула верна только для случая, когда речь идет об узнавании такого виртуального специалиста, все тексты которого известны субъекту i.

Любой субъект может реализовывать операцию узнавания только на базе тех данных, что у него есть. Пусть субъект i ранее в ходе бесед с субъектом j накопил определенные знания о субъекте j в виде множества истин t3. Тогда вероятность, что в данный момент он беседует с j, можно оценить так:

P = Ој(tО— О© t3)/ Ој(t3).

Признаем, что узнавание собеседника (робота или человека) идет не по глубине мысли, а по набору присущих субъекту любимых слов и словосочетаний. Причем таких слов и словосочетаний, именно любимых, не так уж и много. Поэтому можно усилить последнюю формулу, заменив в ней tз на t3`, где t3` — множество любимых слов и словосочетаний.

Привлекательность для виртуального собеседника — это умение притягивать к себе посетителей. Повышать привлекательность — значит повышать умение привлекать к себе внимание. Виртуальный специалист делает это целенаправленно и алгоритмически обоснованно. И он обязан это делать регулярно, чтобы оставаться востребованным.

Если измерять качество общения строго формально, то на первый план выходит именно оригинальность и новизна сказанного и желание человека слушать данного конкретного виртуального специалиста. Как только собеседники «перелили» друг другу свое содержание (доступное для понимания друг другом) и вышли на соответствующий баланс, как в их отношения вкладывается однообразие, которое затем приводит к раздражению, и на этом взаимодействие заканчивается. Психологи подобное состояние называют информационной опустошенностью.

На основании изложенного выдвинем следующие требования к оценке привлекательности:

1. Привлекательность тем выше, чем меньше пустых диалоговых квантов в каждый фиксированный временной интервал общения.

2. Привлекательность тем ниже, чем меньше пересечение диалоговых квантов каждого фиксированного временного интервала общения с базой знаний посетителя.

С одной стороны, виртуальному специалисту надо что-то говорить, а с другой — нельзя говорить то, что неинтересно посетителю. Важно правильно найти точку равновесия. Кроме того, для виртуального специалиста непростой задачей является понимание того, в чем заключаются интересы посетителя, о чем целесообразно с ним разговаривать?

Перейдем к формальной постановке задачи.

Обозначим через Ki(t) — множество диалоговых квантов, в которых виртуальный специалист а принимал участие вместе с i-м посетителем до момента времени t;

Ki(t) — множество диалоговых квантов, в которых принимал участие i-й посетитель (эти кванты могут быть из бесед данного посетителя с любыми другими посетителями, в том числе другими виртуальными специалистами-роботами) до момента времени t;

Δt — фиксированный временной интервал. Предлагается считать, что вся беседа состоит из последовательности таких интервалов {Δtj}.

Тогда, оценку привлекательности попробуем собрать из вероятности, что виртуальный специалист попадет в тему посетителя, и вероятности, что очередной фиксированный временной интервал беседы не будет пуст.

 — оценка вероятности попадания в тему посетителя;

 — оценка вероятности, что новая последовательность квантов будет «лучше» предыдущей.

Итого:

Р РїСЂРёРІ = Р 1 В· P2.

Данная формула очень важна для функционирования виртуального специалиста, она указывает цель в его самообучении, тем самым делая его существование целесообразным, а его самого — привлекательным для посетителей интернет-ресурсов.

В ходе любой беседы, используя эту формулу, виртуальный специалист первоначально подготовит несколько реплик, но прежде чем сказать, просчитает все подготовленные реплики на предмет собственной привлекательности, выберет лучшую и только потом выдаст ответ.

Обосновав основные направления самообучения, которые на уровне моделей должны быть встроены в процессы, ответственные за обучение и переобучение, перейдем к основным компонентам данной подсистемы.

Данная подсистема должна включать в себя следующие блоки (рис. 3.1.3.1):

• обучение диалогу в виде множества взаимозависимых реплик, которые позволяют настроиться собеседникам друг на друга;

• обучение историям, которые может рассказать виртуальный специалист о себе или о других (например, собственная биография, истории из жизни);

• обучение «любимым» фразам и индивидуальной манере подачи материала. Под любимыми фразами в данном случае понимаются выражения (диалоговые реплики, отдельные фразы, слова и словосочетания, придающие индивидуальность — по этим фразам конкретный виртуальный специалист всегда может быть идентифицирован);

• обучение заданиям. Под заданиями понимаются действия виртуального специалиста в виде размещения соответствующего материала в заданной форме на указанных интернет-ресурсах;

• хранение всех реплик диалогового взаимодействия;

• корректировка диалоговых форм и реплик с целью исправления ошибок, допущенных виртуальным специалистом в ходе информационного взаимодействия с посетителями сайтов и процесса обучения.

В ходе информационного взаимодействия виртуальный специалист может использовать все перечисленные блоки, т. е. любую входную реплику любого посетителя он должен проанализировать и активизировать соответствующие блоки. При активизации возможны ошибки следующего характера:

• активизирован не тот блок, который является более правильным в качестве выходного ответа;

• блок выбран правильно, но внутри выбранного блока выбор ответа оказался неверным.

РИСУНОК 3.1.3.1, Общая функционально-структурная схема подсистемы обучения и переобучения

База данных словарей и заданий виртуального специалиста должна состоять из взаимоувязанных таблиц, содержащих словарь виртуального специалиста, словарь синонимов, множество взаимоувязанных реплик по типу вопрос/ответ, множество взаимоувязанных историй, множество характерных фраз, определяющих индивидуальную манеру поведения виртуального специалиста, множество выданных ему заданий.

 

3.2. Практикум «воина сети Интернет»

 

3.2.1. DDoS атаки

Начнем с текущих новостей:

«Второго июня 2013 года было сообщено, что телеканал Russia Today первым из новостных ТВ мира преодолел отметку в 1 миллиард просмотров на YouTube. Сразу же на следующие сутки сайт телеканала Russia Today RT.com подвергся DDoS-атаке. Хакерской атаке подверглись также другие сайты Russia Today, в том числе actualidad.rt.com, arabic.rt.com и russian.rt.com. Представители телеканала заверили, что атака не повлияла на передачу новостей о ходе судебного процесса над информатором сайта Wikileaks Брэдли Мэннингом, а также об акциях протеста в Турции. Ответственность за атаку взяли на себя представители анонимной хакерской группировки AntiLeaks, которая и ранее предпринимала DDoS-атаки на сайт Russia Today».

«В ночь с 13 на 14 августа была организована DDoS-атака на официальный сайт партии» Справедливая Россия» — . Злоумышленники использовали методы мощного HTTP-флуда и параллельного SYN-флуда. Атака велась с тысяч различных IP-адресов. При попытке блокирования IP-адресов, с которых происходили обращения к серверу, DDoS-атака тут же возобновлялась с новых. Специализированное защитное оборудование (CISCO) дата-центра, в котором размещен сервер «Справедливой России», не справилось с атакой. Итогом стало полное выведение сервера из доступа. В настоящее время DDoS-атака продолжается. Сайт партии не работает».

«Китайский сегмент интернета 25.08.2013 столкнулся с мощной DDoS-атакой, направленной на доменные серверы, обслуживающие доменную зону. cn. Как сообщил китайский интернет-центр CNNIC (China Internet Network Information Center), атака была крупнейшей в истории чайнета и сказалась на работе множества сайтов, даже из числа тех, против которых никаких хакерских действий не было предпринято.

Согласно данным мониторинга, атака стартовала примерно в полночь по пекинскому времени 25.08.2013 и к 4 часам утра она достигла своего пика. На протяжении 5–6 часов многие китайские сайты оказались недоступны, так как пользовательские компьютеры не смогли получить данные о местоположении серверов по доменам. Мощность атаки значительно снизилась к 10 часам утра по местному времени».

Приведенные примеры DDoS-атак — это то, что мы видим на поверхности информационного поля боя. На рисунке ниже представлен график частоты упоминания в новостях термина DDoS атака.

Почему мы начали описание специальных действий именно с DDoS-атак? В Интернете для любых ресурсов немало и других угроз. Сайт могут взломать, деньги с банковских счетов отправить по другому неизвестному хозяину направлению, вирусная атака поставит сайт на контроль, да еще не только сайт, но и пользователей, которые его посещают. Угроз в сети немало. Но есть угрозы, как бы, ручной работы, а есть угрозы — поставленные на промышленную основу. Жулик, потративший год, на проникновение к базам данных какого-либо банка с целью наживы, остается просто жуликом, а не участником информационной операции.

Информационная операция — это совокупность взаимосвязанных действий, производство которых поставлено на конвейер. Например, вирус Stuxnet — это оружие промышленного изготовления, на сегодняшний день имеющее уже десяток модификаций. DDoS-атаки — это такое же оружие. Но, как и любое оружие, DDoS-атаки бывают разные. Есть примитивное оружие, когда злоумышленник запускает у себя конкретную программу, которая в цикле осуществляет доступ по заданному IP-адресу и блокирует его, забивая своими обращениями. Подобный злоумышленник ловится по собственному IP и блокируется, а его адрес попадает еще и в черный список адресов Интернета.

Есть более изощренный злоумышленник, который, осуществляя атаку со своего компьютера, проводит ее через анонимайзеры и соответствующие вебсервера. Большого количества адресов на долгое время таким образом тоже не собрать.

Здесь мы говорим о специально подготовленном механизме для DDoS-атак. Это ботсети. Классическим примером информационного оружия в технической сфере являются именно ботсети (ботнеты). Ботнет (англ. botnet, произошло от слов robot и network) — компьютерная сеть, состоящая из хостов и компьютеров пользователей с установленным на ней специальным программным обеспечением (бот), управление которым осуществляется с хостов.

Масштабы и возможности.

В октябре 2010 г. издание Вебпланета () сообщило, что голландская полиция захватила 30-миллионный ботнет. Только за один месяц скрытого наблюдения за его активностью сеть пополнилась тремя миллионами заражённых машин. Ботнет является частью сети Bredolab.

Bredolab — это крупное семейство троянских программ, проникающих на компьютеры пользователей через вредоносные приложения к почтовым сообщениям или заражённые сайты. Получив контроль над компьютером, Bredolab загружает на него другие вредоносные программы. Хорошо известно о связи Bredolab со спамерскими рассылками и лже-антивирусами. В ходе расследования были выявлены 143 контролирующих сервера. В ходе уничтожения ботнета контролирующие сервера были отключены от Сети. Пользователям зараженных компьютеров при очередном входе в систему автоматически были выданы сообщения с информацией о том, каким образом они могут очистить свои машины.

Структура ботнета.

Ботсеть включает в себя центр управления, из которого поступают команды, и множество зараженных компьютеров. Понятно, что если центр выявлен, то сеть ставится под контроль и либо используется противником, либо уничтожается.

Боты (зараженные компьютеры) получают из центра команды для выполнения. Команда состоит из перечня действий и времени выполнения, типа:

— зайти на сайт Z (время: от T1 до T2);

— послать письмо по адресу X (время: от T1 до T2);

— снимать информацию из папки P, с клавиатуры и т. п. и помещать в хранилище M (время: от T1 до T2);

— отправить собранные данные в хранилище М по адресу X (время: от T1 до T2);

— внедрить зараженный код Dk по заданным адресам {Xi} (время: от T1 до T2);

— получить данные D (например, Dk) по адресу Х и хранить в месте М (время: от T1 до T2);

— сменить адреса центра управления {Xi} на адреса {Yi} (время: от T1 до T2);

— сменить ключ шифрования (время: от T1 до T2);

— доложить о выполнении команды (время: от T1 до T2);

— «уснуть» (на время: от T1 до T2);

— самоуничтожиться (время: от T1 до T2) и т. п.

Команды при передаче ботам шифруются криптографическим алгоритмом с открытым ключом RSA. Открытый ключ имеется у каждого бота, закрытый только в центре управления. Таким образом осуществляется защита ботов от захвата потенциальными противниками.

Существуют ботнеты с фиксированным центром управления и с динамически меняемым центром. Динамически изменяемый центр управления создается самими ботами, которые путем генерации случайной последовательности, например, применяя отечественный ГОСТ или американский DES к некоторому тексту, вырабатывают последовательность адресов {Хi}, на которых пытаются разместить центр управления в виде команд D. В случае удачного заражения компьютера, боты в дальнейшем используют его для связи с владельцем сети. Владелец ботнета, зная правила генерации случайной последовательности и выставляемый признак заражения, всегда может связываться с ботами через любой из компьютеров центра управления, которые постоянно меняются. Причины изменения:

• выявление зараженного компьютера антивирусом;

• выявление зараженного компьютера из-за попадания в руки потенциального противника бота с адресами;

• заражение новых компьютеров.

Еще раз заострим внимание: ботнеты — это атакующие резервы, обладающие множеством «незасвеченных» IP-адресов. Это IP-адреса потенциальных посетителей из различных стран мира. Закрыться от них системой защиты — значит выключить себя из сети.

А теперь самый важный момент информационной борьбы за ресурсы: сегодня практически каждый программный продукт, установленный на компьютере пользователя, а особенно лицензионный, постоянно связывается со своими разработчиками. Разработчики всегда способны переориентировать этот продукт на решение любых других актуальных для текущего момента задач, подгрузив ему блок соответствующих команд. Образно говоря, владельцы лицензионного Windows образуют официальный хорошо организованный «ботнет» под руководством единого управляющего Центра. То же самое можно сказать и про любое другое программное обеспечение. Так что в случае информационной баталии компьютер каждого пользователя Интернет потенциально может стать местом сражения перенастроенного установленного на нем программного обеспечения различных производителей.

 

3.2.2. Промышленная генерация информационных материалов

Классическая система управления любым объектом, кроме подсистемы мониторинга состояния объекта, всегда предусматривает наличие подсистем, отвечающих за решение таких задач, как подготовка соответствующих управляющих воздействий. В данном случае, это мультимедийный контент по заданной проблематике и доставка этого контента до объекта воздействия. В данном разделе рассмотрим основные принципы и варианты подготовки мультимедийного контента в сети Интернет по заданной проблематике.

В качестве основных принципов предлагаются следующие:

— подготовка мультимедийного контента в режиме «реального времени» на базе имеющихся типовых заготовок;

— контент может иметь как текстовую (форматы txt, doc, docx, pdf), так и видео- (форматы: mp4, flv) и аудио- (форматы: mp3) форму.

Исходя из типовых задач информационной операции, перечисленных в главе 1, при подготовке мультимедийного контента необходимо соблюдать следующие требования:

Требование Т1 — возможность формирования текстовых материалов в заданном стиле, по образцу текстов конкретного автора;

Требование А1 — возможность формирования аудиоматериалов на заданном аудиофоне (шум моря, аэропорт, улица, помещение с людьми, помещение без людей и т. п.);

Требование А2 — возможность формирования аудиоматериалов с заданными базовыми голосовыми характеристиками (мужской голос, женский голос, голос молодого человека, голос человека среднего возраста, голос пожилого человека) на основе исходного аудиоматериала;

Требование А3 — возможность формирования аудиоматериалов с заданными голосовыми характеристиками конкретного человека на основе исходного аудиоматериала;

Требование В1 — возможность формирования видеоматериала на заданном видеофоне (улицы конкретных городов в различное время суток, различные помещения: музеи, театры, диппредставительства и т. п.);

Требование В2 — возможность формирования видеоматериалов с заданными базовыми видеохарактеристиками для главных действующих лиц (пол, возраст, национальность);

Требование В3 — возможность формирования видео материалов с видеохарактеристиками, позволяющими зрителям опознать в действующих лицах конкретных людей.

Подготовка текстовых материалов

Теоретическая возможность формирования текстовых материалов заданной направленности объясняется избыточностью естественного языка, большим разнообразием форм подачи одного и того же содержания. При этом избыточность языка позволяет любое сообщение транслировать в соответствующей эмоциональной интерпретации, определяя тем самым свое отношение к этому сообщению, что очень важно при формировании общественного мнения.

Например, новость: «Появляется все больше свидетельств тому, что сирийские повстанцы сбили истребитель ВВС Сирии».

Возможные перестроение заданной направленности путем использования синонимического словаря:

1. «Распространяется все больше слухов тому, что сирийские бандиты повредили самолет ВВС Сирии».

2. «Приводится все больше подтверждений тому, что сирийские освободители уничтожили истребитель ВВС Сирии».

Два варианта одной и той же новости, полученные путем применения синонимического словаря. Оба эти варианта имеют совершенно разную эмоциональную направленность. Первый вариант явно принадлежит перу официальных служб ВВС Сирии, второй — сирийским повстанцам.

Исследование направления автоматической генерации текстов в заданном стиле и существующих реализаций позволило сделать следующие выводы:

1. Наиболее распространенными программами являются программы, которые позволяют видоизменять текст — синонимайзеры, а не создавать его с нуля.

Имеют место два вида синонимайзеров, предоставляющих соответственно возможность:

1) автоматической генерации текстов со встроенной базой синонимов; программа автоматически находит в тексте слова-синонимы и хаотично заменяет их словами из своей базы;

2) генерации текстов по заданному шаблону; при генерации статьи задается шаблон, в котором пользователь программы указывает, где заменить слова-синонимы или словосочетания; при таком подходе из одной статьи можно сделать несколько других.

На выходе второго вида программ получаются более читабельные тексты.

Синонимайзеры могут быть оформлены в виде сайта в Интернете или скрипта.

Подготовка аудиоматериалов

В данной работе будем опираться на следующие понятия:

Аудио — общий термин, относящийся к звуковым технологиям. Зачастую под термином аудио понимают звук, записанный на звуковом носителе; реже под аудио подразумевается запись и воспроизведение звука, звукозаписывающая и звуковоспроизводящая аппаратура. Аудиоаппаратура работает с сигналами, включающими частоты до 20 кГц, поскольку звук большей частоты не воспринимается слухом. Как и любая волна, звук характеризуется амплитудой и частотой. Считается, что человек слышит звуки в диапазоне частот от 20 Гц до 20 000 Гц. Среди слышимых звуков следует также особо выделить фонетические, речевые звуки и фонемы, из которых состоит устная речь, и музыкальные звуки, из которых состоит музыка.

Звукозапись — процесс сохранения воздушных колебаний в диапазоне 20–20 000 Гц (музыки, речи или иных звуков) на каком-либо носителе. Необходимое оборудование: прибор для преобразования звуковых колебаний в электрические (микрофон) или генератор тона (например, звуковой синтезатор, семплер), устройство для преобразования электрических колебаний в последовательность цифр (в цифровой записи), устройство для сохранения (магнитофон, жесткий диск компьютера или иное устройство для сохранения полученной информации на носитель) .

Монтаж (фр. montage) или— процесс переработки или реструктурирования изначального материала, в результате чего получается иной целевой материал.

Наиболее полный глоссарий терминов, связанных с аудио, размещен на сайте Википедии по адресу Liste_von_Audio-Fachbegriffen.

Под аудиоматериалом будем понимать звук, записанный в виде устной речи (голос), звуковых эффектов разной тематики, музыки и их сочетаний и оформленный в виде аудиофайла, пригодного для размещения в сети Интернет на контролируемых ресурсах.

Существует два основных источника звуковых эффектов для аудиофона:

1) Записанные естественные звуки; подбираются из профессиональной фонотеки.

2) Электронные; создаются на специальных аппаратах (ревербераторы).

Для аудиофона профессиональные фонотеки формируются двумя способами:

• запись естественных звуков высокого качества без посторонних шумов; например, специально записанные при сборе звуковых эффектов звук взрывающегося вдалеке снаряда, звук толпы разного эмоционального настроя, бытовые звуки и т. п.; запись производится с использованием средств записи звука, поддерживающих современные распространенные аудиоформаты; отсутствие шума на аудиофоне достигается последующей обработкой записи с использованием аудиоредакторов, делающих звук чистым, либо использованием профессиональных цифровых диктофонов;

• вычленение звуков фона из произвольной записи — создание так называемых «минусовок»; достигается использованием специально предназначенных для этого аудиоредакторов.

Для того чтобы формировать аудиоматериалы на заданном аудиофоне необходимо:

• иметь фонотеку (коллекцию аудиофонов);

• программное обеспечение (ПО) для формирования аудиоматериалов (аудиоредакторы, ПО для звукомонтажа).

При выборе программного обеспечения для формирования итоговых аудиоматериалов учитывается тот факт, что для подготовки мультимедийного контента целесообразно выбрать профессиональный инструмент, который бы обладал необходимым функционалом звукомонтажа не только для формирования аудиоматериалов на заданном аудио фоне, но и для формирования аудиоматериалов с заданными базовыми характеристиками и с заданными характеристиками конкретного человека одновременно.

Базовыми характеристиками будем считать пол (женский/мужс-кой голос), возраст (например, детский, голос пожилого человека и т. п.), национальность (с акцентом, с иностранным акцентом). Звукозаписи голосов с заданными базовыми характеристиками получают двумя способами:

• озвучивание текста голосами профессиональных дикторов (ссылки на услуги подобного рода широко представлены в сети);

• используя эффекты программного обеспечения «компаратор голоса» (предустановленные голоса и эффекты). На сегодня уже существуют вполне приличные программные продукты для имитации голосов людей после сравнения и подстройки. Существуют готовые пакеты для имитации голосов знаменитостей, в том числе президентов отдельных стран.

Технология «клонирование голоса» позволяет моделировать персональные характеристики речи человека с достаточно полным совпадением с оригиналом, называемым «мишенью копирования». Технология клонирования речи базируется на известных алгорит- мах математической обработки сигнала-носителя голоса. Реализуется в режиме как реального времени, так и в отложенном пакетном режиме. Синтез измененной речи на основе сигнала-носителя, то есть получившийся «клонированный голос», реализует возможность максимального сохранения персональных акустических характеристик копируемого исходного голоса: фонетических особенностей произношения, акцента и даже артефактов такого рода, как заикание.

Подготовка видеоматериалов

Под видеоматериалом будем понимать аудиовизуальный материал, записанный в виде видеофайла в формате, пригодном для размещения в сети Интернет на контролируемых ресурсах.

Под видеофоном будем понимать футаж — видеофайл, содержащий видеофрагменты небольшой длительности разной тематики; используется для монтажа, повышая зрелищность, эффектность видеоматериала, а также его реалистичность, в качестве фона, на котором происходит основное действие.

Расширение компьютерных видеофайлов:

3gp, flv, avi, mpg, mov, swf, asf, mp4, wmv, mts, mkv — более подробную информацию о каждом из них можно получить в электронной библиотеке по адресу .

Футажи делятся на две категории:

• футажи с альфа-каналом (прозрачная основа): анимированные фоны, анимированные титры, оверлейные маски, МД элементы (анимированные элементы), частицы;

• «хромокеевские» футажи: могут использоваться как подложка-фон для основной композиции, титров или снятое изображение (движение людей, природа и т. п.).

Футажи с альфа-каналом первоначально создавались для редактора Pinnacle Studio, но их можно применять и в других редакторах (метод и способ использования футажа с альфа-каналом в разных видеоредакторах разный). Футажи с альфа-каналом состоят из двух частей (двух файлов: файл с расширением. alp и файл. dif).

Для добавления футажа внеобходимо открыть и вставить на видеодорожку файл. dif (.alp — это вспомогательный файл и он «найдет свое применение» автоматически).

«Хромокеевские» футажи — это видеофрагменты, снятые на зеленом, синем или (реже) на черном фоне. При добавлении такого фута-жа в свой ролик (в видеоредакторе) к нему необходимо применить соответствующий хромокеевский фильтр, для того чтобы фон (синий или зеленый) сделать прозрачным. Для футажей, снятых на черном фоне, технология другая: к ним применяется фильтр цветности, и путем изменения цветового баланса необходимо добиться того, чтобы черный фон футажа не менял общей цветовой картины основного ролика и не влиял на яркостный канал. Хромокеевские футажи применяются практически во всех видеоредакторах.

Во всех видеоредакторах футаж редактируется так же, как любой видеофрагмент: обрезка, применение к нему фильтров, переходов, трансформация, копирование и выставление в ряд несколько копий (для увеличения продолжительности футажа) и т. д.

Таким образом, формирование видеоматериалов на заданном видеофоне предполагает наличие:

• коллекции футажей;

• программного обеспечения (ПО) для формирования видеоматериалов (видеоредакторы, ПО для видеомонтажа) с заданными базовыми и конкретными характеристиками одновременно.

К базовыми характеристикам будем относить пол, возраст, национальность главных действующих лиц или массовок, возможно, в разных ситуациях и с разным эмоциональным настроем.

Видеозаписи с заданными базовыми характеристиками получают двумя способами:

• привлекая непрофессиональных актеров-массовщиков для специально организованной постановочной съемки сюжетов; в сети Интернет много предложений и выбор действующих лиц с заданными базовыми характеристиками из существующих баз данных;

• используя эффекты программ для оживления (анимации) статичных изображений (фото) людей с заданными базовыми характеристиками, животных и даже предметов. Преимущество данного способа в том, что можно оперативно из любых фотографий, удовлетворяющих требованиям «базовых характеристик», создавать видеофрагменты. Недостаток — недостаточная для естественного видеосюжета реалистичность выходного видеоматериала.

При создании видео материала с видеохарактеристиками, позволяющими зрителям узнать в действующих лицах конкретных людей, проблема заключается в получении видеозаписи конкретных людей и видеомонтажа итогового материала в течение времени, не превышающего значение «реального времени». Пути ее решения на сегодня следующие:

— для видеомонтажа используют заранее подготовленные видеофрагменты:

вариант а) — специально снятые с участием конкретных людей, в том числе двойников или с использованием грима;

вариант б) — футажи с конкретными людьми (лицами);

вариант в) — анимированные фотоизображения конкретных персонажей, для которых фотографии можно найти в открытом доступе.

Варианты а) — в) перечислены по степени уменьшения реалистичности и, следовательно, доверия субъектов воздействия к видеоматериалу и по степени увеличения оперативности их получения.

После того как проведены мероприятия по подготовке мультимедийного контента, необходимо разместить материалы на заранее определенных интернет-ресурсах. Однако при этом могут встретиться препятствия, способы преодоления которых приведем далее.

 

3.2.3. Автоматическое преодоление защиты от роботов

Виртуальные специалисты-[ро]боты, кроме языка людей, нескольких естественных национальных языков, на которых ими собирается информация, должны хорошо знать язык разметки гипертекста html. Ибо поле битвы для них — это не только люди, которых надо кормить спамом, но и сайты, которые надо изучить, проиндексировать, забанить, заблокировать, скачать. Робот должен знать, кто перед ним: пользователь, за которого идет сражение, или такой же робот, который принес спам или пришел скачать сайт, чтобы в дальнейшем увести вслед за собой и сегодняшних посетителей.

Любой сайт, написанный на языке программирования, например, на php, сам является роботом, способным анализировать и классифицировать своих посетителей. По IP-адресн понимает, из какой части планеты пришел посетитель, по языковым настройкам браузера он узнает о естественных национальных языках, которые предпочитает данный посетитель, по адресу перехода — откуда, с какого сайта пришел, гость.

Робот-сайт не только классифицирует своих посетителей, но и управляет ими. К примеру, несколько сайтов-роботов, договорившись, легко могут выставить в неприглядном свете целую страну. Им достаточно обращения всех своих посетителей, имеющих IP этой страны, одним потоком переключить на сайт-мишень. Пусть потом хозяин сайта-мишени разбирается, из-за чего на него вдруг такой наезд из Лилипутии. Скорее всего, реакция будет однозначной — закрыть вход на сайт-мишень жителям Лилипутии, идентифицируя их по IP-адресу. И в результате ни в чем не виновные граждане и их слуги-роботы никогда не попадут туда за интересовавшей их информацией. Подобный прием — составная часть информационной операции.

А сколько уже сегодня существует сайтов с чужим «лицом» и в чем-то похожим именем? Простаки, ошибившиеся в одном символе, попадают по виду туда, куда они, вроде бы, и планировали, но на самом деле они попадают в ловушку, где из них будут выжимать знания о почтовых адресах, паролях, счетах. Даже в таком простом имени, как rambler, обычный пользователь ошибается не менее одного процента, в основном за счет нажатия близких букв на клавиатуре или из-за того, что клавиатура не переключена на нужный язык. Посетителей у rambler’a немало. Скупив близкие по начертанию доменные имена, можно легко построить хорошо раскрученный за чужой счет сайт и при этом не нарушить ни одного пункта законодательства, да еще и собирать долго-долго чужие почтовые адреса, которые потом оптом поставлять любителям спама.

Заметать свои следы от профессиональных поисковых машин и приманивать поисковые машины на приманку-обманку — сегодня одни из самых простых приемов. Суть их в следующем:

1. Провести распознавание посетителя.

2. Если посетитель — поисковая машина, то подсунуть этой машине такой html, в котором просто бессмысленный набор популярных слов и выражений, используемых людьми для поиска в Интернет. В результате рейтинг сайта значительно вырастет.

3. Если посетитель — человек, предложить ему настоящее содержимое, порой не имеющее ничего общего с тем, которое прописали в себя поисковики.

Как видно, одной из главных задач для робота является получение ответа на вопрос: «Кто есть кто?»

Эта задача актуальна для людей, и она не менее актуальна для роботов.

Защита от роботов подразумевает защиту от специальных компьютерных программ, выполняющих автоматически и/или по заданному сценарию какие-либо действия через те же интерфейсы, что и обычный пользователь сети Интернет.

На сегодняшний день многие ресурсы в сети Интернет имеют защиту от роботов. Защита, как правило, построена на решении задачи из класса задач по распознаванию образов, которая легко решается человеком, но сложна для робота. На сегодняшний день используются следующие варианты:

• распознавание числа или слова, написанного различными шрифтами;

• распознавание числа или слова, написанного различными шрифтами на сложном фоне;

• распознавание изображения;

• решение математической задачи, типа: Сколько будет 2+3?

• ответ на вопрос, который хорошо известен любому человеку, например, «Который сейчас час?», «Который сегодня день недели?» и т. п.

В основе построения защиты ресурсов от компьютерных программ лежит использование captcha-фильтров.

CAPTCHA ( от англ. Completely Automated Public Turingtest-to-tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей. Основная идея теста: предложить пользователю такую задачу, которую с легкостью может решить человек, но которую несоизмеримо сложнее решить компьютерной программе.

Примеры изображений, используемых в CAPTCHA см. ниже.

Могут также применяться другие, плохо алгоритмизируемые задачи, основанные на логике мышления человека, например: капчи, где необходимо выставить картинки в определенной последовательности, собрать пазл, выбрать один из предложенных вариантов решения задачи, добавить недостающий элемент в картинку, а также капчи, основанные на распознавании речи и движении мыши по определенному маршруту.

Преодоление подобного рода защиты строится на решении задачи распознавания образов и состоит из нескольких этапов:

1. В силу того, что сама защита — задача по распознаванию образов, расположена на сайте, она оформлена в соответствии с правилами оформления на языке разметки html. Поэтому первым действием необходимо считать содержимое сайта, выделить часть кода, ответственную за защиту, и проанализировать его, на предмет решения поставленной задачи, т. е. речь идет о применении классического парсинга и создании для этого парсера.

Любой парсер состоит из трех частей, которые отвечают за три отдельных процесса парсинга:

• получение контента в исходном виде. Под получением контента чаще всего подразумевается скачивание кода веб-страницы, из которой необходимо извлечь данные или контент. Одним из самых развитых решений для получения кода требуемой страницы является библиотека cURL для языка PHP;

• извлечение и преобразование данных. В этой фазе происходит извлечение требуемых данных из полученного на первом этапе кода страницы. Чаще всего для извлечения используют регулярные выражения. Также на этом этапе происходит преобразование извлеченных данных к нужному формату, если это требуется. В случае преодоления капча-фильтра, после того как данные получены, осуществляется решение задачи распознавания образа;

• генерация результата. Завершающий этап парсинга. На нем происходит вывод или запись полученных на втором этапе данных в требуемый формат и передача результата.

2. В случае удачного решения, т. е. выявления скрытого изображения и нахождения ответа, необходимо выделить часть текста, ответственного за передачу результата на сервер, и полученный результат передать через форму непосредственно на сервер, где расположена база данных с ответами. В случае правильного ответа сервер сменит страницу сайта и пропустит программу-посетителя дальше. 

Распознавание каждого образа — это создание специального алгоритма распознавания, который базируется на выявленных слабостях конкретной капчи. Ниже приведем пример построения подобного рода алгоритма.

Например, ():

Довольно слабая CAPTHA: фиксированный шрифт, символы легко отделяются от фона из-за хорошего контраста. Для гарантированного получения только тех пикселей, которые принадлежат надписи, достаточно выбирать пиксели темнее некоторого порога.

увеличиваем контраст и определяем границы массивов черных точек — это и есть знакоместа.

Также слабой стороной является то, что высота расположения символа задана в шрифте, т. е. одинаковые символы будут на одной высоте (правда, при написании алгоритма распознавания это не учитывалось).