Лига изучения киберугроз, Сара-Джейн Терп и невыносимо тупые училки, которых спустили с цепи для цензуры Интернета

Майкл Шелленбергер, Алекс Гутентаг и Мэтт Тайбби продолжили свою серию репортажей о «Цензурно-промышленном комплексе» новой статьей об одиозной организации под названием «Лига изучения киберугроз» (CTI). Их расследование приводит новые подробности ранней истории государственно-частного партнёрства с целью цензурирования Интернета, возникшего после президентских выборов 2016 года, и я должен сказать, что это одна из самых удивительных и причудливых историй, с которыми я когда-либо сталкивался.

Лига CTI, похоже, представляет собой организацию, собранную в 2020 году из двух основных фракций. Первая включала группу экспертов по компьютерной безопасности и подрядчиков оборонного комплекса и спецслужб, собранную (бывшим?) сотрудником израильской разведки по имени Охад Зайденберг в первые месяцы пандемии, первоначально (и предположительно) с целью защиты больничных компьютерных систем от угроз безопасности. Вскоре к ним присоединилась отдельная группа вокруг эксцентричного «британского оборонного исследователя» по имени Сара-Джейн Терп, которая считает, что кампании «дезинформации» в социальных сетях ответственны за избрание Трампа и что этим кампаниям нужно противостоять так же, как и угрозам в сфере кибербезопасности. Терп разработала ряд стратегий цензурирования, которые она назвала «Враждебные тактики и методы дезинформации и влияния» (AMITT). Впервые они были применены Лигой CTI и с тех пор были переименованы в «DISARM». В этой форме тактика Терп использовалась такими институтами, «как Европейский Союз, Организация Объединённых Наций и НАТО» для «защиты демократии, поддержки информационной кампании относительно пандемии и противодействия попыткам дезинформации по всему миру».

Да, твиттер НАФО, боты, рекламирующие локдауны, странная пропаганда вакцинаторов в социальных сетях и бог знает что ещё — все ниточки тянутся к Терп, AMITT и Лиге CTI.

Более того:

Эта система помогла создать новые учреждения, в том числе Центр когнитивной безопасности ISAO, Центр реагирования на компьютерные инциденты в Люксембурге и аналитическую программу OpenFacto, а также использовалась при обучении журналистов в Кении и Нигерии (привет, "канувшая в воду" британская империя, прим. пер.). Чтобы проиллюстрировать это еще одним конкретным примером, DISARM использовалась в операциях Всемирной организации здравоохранения для противодействия кампаниям против вакцинации по всей Европе. Использование рамочной методологии позволило координировать действия между командами и географическими регионами, а также, что особенно важно, на нескольких языках, устраняя необходимость перевода текста путем сопоставления действий с пронумерованными тактиками, методами и процедурами в рамках фреймворка.

Во время пандемии Лига CTI сотрудничала с Агентством кибербезопасности и информационной безопасности (CISA), подразделением Министерства внутренней безопасности США, для борьбы против вирусной паники. Затем CISA включила методы Терп в “Проект честных выборов”, чтобы обеспечить переизбрание Байдена в 2020 году. Как утверждают Шелленбергер, Гутентаг и Тайбби, деятельность Лиги CTI с 2020 года представляет собой попытку обойти защиту Первой поправки конституции США путем внедрения цензуры через частные организации, лишь неформально связанные с правительством США.

Обо всём этом можно много что сказать. Я снова задумывался, не написать ли мне о том, как инструменты ограничения государственной власти, такие как Конституция США, просто побуждают штаты принимать коварные обходные пути, которые, возможно, даже более расплывчаты и вредны, чем могло бы быть “Министерство правды”. Я подумывал написать о пустом мифе о «четвертой власти», который пресса так любит рассказывать о самой себе – даже несмотря на то, что она открыто сотрудничает с государственными деятелями и ни разу за последнее время не обратила внимание на расцвет цензуры после 2016 года, как это описывают Шелленбергер, Гутентаг и Тайбби. Случайные пользователи Twitter и Facebook стали гораздо большей угрозой для государственной власти, чем когда-либо была газета New York Times. Наконец, я задумался над изучением странной и необычной концепции цензоров «дезинформации» и поразительных конспиративных наклонностей этих убежденных противников теорий заговора.

Но потом я решил посмотреть на эту Терп и конкретно AMITT Framework и понял, что всё остальное может и подождать:

Очевидно, что коварные намерения и масштабы тактики Терп, а также явные нарушения ими Конституции Соединённых Штатов предосудительны. Но с другой стороны, необходимо также отметить абсолютный неуклюжий идиотизм AMITT и, вообще, всего подхода «MisinfoSec» к интернет-цензуре. Наши угнетатели — опасные, злобные и могущественные люди, которые не желают нам ничего хорошего, но они также являются одними из самых больших тупиц («так и удар пропустить можно». В. В. Путин, прим. пер.), которых только можно себе представить (не согласен с автором, рожа у мадам, конечно, тупа, но всё это делается по американскую душу, образование тут ни при чём, так что будем посмотреть. Прим. пер.).

То, что здесь произошло, довольно ясно: у американского и британского политического истэблишмента появился новый страх перед социальными сетями после огромной популистской реакции 2016 года. Внезапно им очень захотелось что-то сделать со всей этой злонамеренной дезинформацией, которая, по их мнению, распространялась в Facebook и Twitter. Целое племя насекомых-оппортунистов, подобных Терп, постаралось удовлетворить этот спрос, получить выгодные контракты и, возможно, даже (по словам информатора Шелленбергера/Гутентага/Тайбби) «стать частью федерального правительства». Для этого они запаслись кучей откровенно псевдонаучных графиков и диаграмм, перегруженных непонятным жаргоном, и, что удивительно, их не высмеяли «люди в зале». Вам просто нужно представить, что все участники этой сцены — тупицы, которые совершенно ничего не знают о том, как работают социальные сети. Мы, должно быть, говорим о домохозяйках и старичках, печатающих двумя пальцами, которые едва могут самостоятельно выйти в Facebook. Когда они видят острый интернет-мем с множеством ретвитов, их мысли сразу же обращаются к России, а когда в их ленту заглядывает скептик глобального потепления, они усердно отвечают ссылками на статьи в Википедии о научном консенсусе по изменению климата. Они никогда не могут понять, почему все всегда смеются над ними. Должно быть, это всё Путин, вот почему.

Всё, что вы прочтёте о Саре-Джейн Терп, либо глупо, либо совершенно невероятно. (Кто сказал, что это правда?, прим. пер.). В её абсурдном профиле Wired на самом деле сообщается, что у неё фиолетовые волосы, она описывается как «добросердечная женщина средних лет», которая «однажды провела презентацию под названием «Руководство по презентациям для интровертов» на хакерском съезде, где она рекомендовала принести с собой плюшевого мишку». После «работы в оборонных исследованиях для британского правительства», где она разработала «алгоритмы, которые сводили показания гидролокатора с океанографическими данными и человеческим интеллектом для обнаружения подводных лодок», теперь она стала «картографом кризисных ситуаций». Это означает «сбор и синтез данных из местных источников для создания целостной картины того, что происходило на самом деле». (Дурочка, работавшая на подводном флоте, так точно, они там все такие. Прим. пер.)

В 2018 году Терп объединился с командующим ВМС США Пабло Брейером и «экспертом по кибербезопасности» Марком Роджерсом, который позже помог основать Лигу CTI. Тогда эти трое жуликов все еще были очень расстроены выборами 2016 года, которые, по их мнению, были украдены с помощью «дезинформации». Известно, что эксперты по кибербезопасности собирают базы знаний о тактиках и методах, используемых хакерами для взлома компьютерных систем, так почему бы не создать аналогичную базу знаний для угроз «MisinfoSec», потому что, как мы все знаем, человеческое общество функционирует точно так же, как компьютер.

…Терп и Брейер быстро приступили к разработке плана защиты от дезинформации. Они исходили из того, что небольшие "закладки" — например, использование определенных шрифтов или намеренные орфографические ошибки в вирусных публикациях или структура особо громогласных профилей в Твиттере — могут раскрыть происхождение, масштаб и цель кампании. Эти «артефакты», как их называет Терп, представляют собой следы преступника, оставшиеся после нападения. По их мнению, наиболее эффективным подходом было бы предоставить сотрудникам безопасности возможность отслеживать эти тропинки…

Они полагали, что как только они научатся распознавать закономерности, то смогут нащупывать узкие места. В кибервойне существует концепция, называемая цепочкой убийств, заимствованная из военного дела. Составьте карту этапов атаки, говорит Брейер, и вы сможете предвидеть, что они собираются делать: «Если я смогу каким-то образом прервать эту цепочку, если я смогу где-то разорвать связь, атака потерпит неудачу».

Группа Misinfosec в конечном итоге разработала структуру для каталогизации методов дезинформации, основанную на ATT&CK Framework. В соответствии с профессиональной терпимостью к аббревиатурам, они назвали это AMITT (Состязательная дезинформация и тактика и методы влияния). На данный момент они определили более 60 методов и сопоставили их с этапами атаки. Техника 49 — это флуд, использование ботов или троллей для того, чтобы перехватить разговор, публикуя столько материала, что он заглушает другие идеи. Техника 18 — платная таргетированная реклама. Техника 54 — это усиление с помощью ботов Twitter. Но работа с базой данных только начинается.

AMITT — одна из тех вещей, которые настолько астрономически глупы, что их на самом деле трудно объяснить. Чтобы получить лучшее представление о том, как возникла эта идиотская ерунда, вы должны сначала рассмотреть ATT&CK Framework. Насколько я могу судить, это подборка различных способов, с помощью которых злоумышленники получают доступ к системам, обходят защиту и устанавливают контроль. Под каждым интрузивным действием — «первоначальный доступ», «уклонение от защиты», «командование и контроль» и т. д. — есть списки тактик и подтактик, которые, как известно, используют злоумышленники.

Наши лучшие эксперты MisinfoSec адаптировали этот подход для сферы социальных сетей, перечислив способы, которыми предполагаемые тролли «развивают интернет-персоны» и «сети», повышают «видимость», «овеществляются» и достигают «устойчивости». Этот слайд, который я взял из этой невероятно отупляющей презентации на YouTube, иллюстрирует структуру и содержание AMITT по состоянию на 2021 год.

Вот «содержание» некоторых раскрывающихся меню:

Как тролли создают проблемы в Интернете? Давайте дадим Терп пересчитать эти способы. Они могут изменять изображения в цифровом виде! Они могут реконтекстуализировать высказывания! Они могут выборочно редактировать заявления! Кого волнует, если это то же самое, что и реконтекстуализация утверждений! Если в их списках не будет много плохо определенных случайных вещей, никто не будет воспринимать воинов MisinfoSec Терп всерьез!

Профиль Wired пытается объяснить, как все это работает на практике, и это настолько нелепо, что я с трудом могу поверить, что это все всерьез. Мы читали, что, когда началась пандемия, родители Бойера в Аргентине прислали ему в Facebook видео, в котором утверждалось, что Covid-19 является биологическим оружием. И сразу же пригодится его новообретенный опыт MisinfoSec. Он начал «каталогизировать артефакты», в том числе тот факт, что «повествование велось на кастильском испанском языке» и что в нем были «номера патентов», которых «не существовало». Он обнаружил, что видео «распространялось фальшивыми аккаунтами в Facebook» и что оно было виновно в «нескольких методах дезинформации из базы данных AMITT». Например, он использовал технику №7: «Создание фейковых профилей в социальных сетях». Он также использовал «фальшивых экспертов для правдоподобия», что является техникой 9. Он размышлял про себя, может ли это также быть «посевным искажением» в соответствии с техникой 44. В любом случае, на основании этих и других подсказок, он решил, что след был « «вероятно, русский» и что возможной целью был «подрыв американской продовольственной безопасности». Помните, что это именно те люди, которые обвиняют нас в том, что мы сторонники теории заговора.

Каким бы абсурдным это ни было, профиль Wired представляет собой значительно очищенную версию зияющей тупизны AMITT. За более подробной информацией о его происхождении мы обратимся к самой Терп. Эта женщина написала очень длинный пост на Medium, полный опечаток, в котором рассказывает, как были заложены основы AMITT.

Через ее жаргон почти невозможно продраться, но потерпите, обещаю, оно того стоит:

24 мая 2019 года рабочая группа CredCo MisinfoSec встретилась в Центре Картера в рамках CredConX Atlanta. Целью дня было разработать рабочую структуру MisinfoSec, которая включала бы этапы и методы дезинформации, а также меры реагирования на нее. Мы придумали название для нашей структуры: AMITT (Adversarial Misformation and Influence Tactics and Techniques) обеспечивает структуру для понимания и реагирования на организованные атаки дезинформации на основе существующих принципов информационной безопасности.

«CredCo» — так Терп называет несуществующую организацию-предшественницу Лиги CTI, которую она назвала «Коалицией доверия», потому что для того чтобы звучать как супер мега слитный эксперт по кибербезопасности необходимо перестать писать полностью слова, когда в них есть больше одной буквы. «CredConX» — это то, что Терп называет собраниями «Коалиции доверия», потому что, когда вы добавляете «X» в конце, вы также звучите как мега сверхкрутой элитный эксперт по кибербезопасности. Для интернет-училки, обиженной на высмеивания в социальных сетях, такой маркетинг очень важен.

Встречи CredConX, конечно, не были ни элитными, ни мега суперкрутыми. Однако на них было много стикеров. Вот фотография с CredConX Cambridge, который состоялся за месяц до встречи в Атланте, на которой родился AMITT:

Сначала Терп рассказывает нам о проекте, которому посвятили себя наши воины CredCo MininfoSec:

Рабочая группа MisinfoSec Коалиции доверия («MisinfoSec WG») применяет принципы информационной безопасности (infosec) для борьбы с дезинформацией. Согласно уставу рабочей группы CredCo по дезинформации, наша цель — разработать структуру, основанную на тактике, методах и процедурах (TTP), которая даст исследователям дезинформации и специалистам по реагированию общий язык для обсуждения и предотвращения инцидентов, связанных с дезинформацией.

Целью, как объясняет Терп, является самореклама развитие «MisinfoSec как дисциплины». Она отмечает, что её усилия приносят плоды, «поскольку мы видим появление презентаций со слайдами, посвящёнными TTP, и людей, которые начинают говорить о создании ISAO (организаций по обмену и анализу информации) и ISAC (центров обмена информацией и анализа)». Людям с фиолетовыми волосами всегда приятно, когда другие люди начинают использовать их громоздкие модные словечки. Терп говорит, что их проект в Атланте заключался в том, чтобы «опираться на уже существующую работу нашей команды». 

К этому моменту они уже добились существенного прогресса. Например, они разработали такие вещи, как «пирамида дезинформации»…

… «сопоставление маркетинговых, психологических операций и новых сценарных моделей дезинформации против цепочки киберубийств», …

… что-то под названием «список техник Баучера», который, по-видимому, настолько смутил самого Баучера, что он удалил их из Интернета, …

… и «стратегии «5 Д» Бена Ниммо», которые, похоже, состоят только из 4 «Д».

Терп стремилась расширить эту сомнительную коллекцию лозунгов и бессмысленных диаграмм, «чтобы создать структуру дезинформации, этапов, методов и ответов». «Техники» — это то, что «продвинутые настойчивые манипуляторы» используют для взлома умов в социальных сетях, «этапы» — это процессы, с помощью которых они этого достигают, а «ответы» — это «успешные противодействия», которые Терп и остальные её воины MisinfoSec могут развернуть против них.

Они составили список «инцидентов» в социальных сетях. Они изучили их, чтобы узнать, какие «техники» использовали стоящие за ними продвинутые настойчивые манипуляторы, и записали эти методы на сотнях цветных стикеров. Техники инцидентов, связанных с Россией, были помещены на «синие» стикеры (на самом деле они мне кажутся бирюзовыми), а методы «нероссийской атрибуции» — на флуоресцентные желтые стикеры. Терп объясняет, что в тот день их комната была «похожа на их научную лабораторию», поэтому можно предположить, что, по её мнению, писать что-то на стикерах — это наука.

В продолжение научного исследования, команда Терп MisinfoSec прикрепила все эти листочки к стене...

… и добавила дополнительные розовые стикеры, чтобы отметить, к какому «этапу» атаки в социальных сетях относится каждый метод. Некоторые из этих заметок начали отваливаться, поэтому их пришлось прикреплять кусочками скотча:

На протяжении всего этого научного эксперимента Терп уверяет нас, что они «не забыли и о „бабахе“, который является „термином, заимствованным от военных и означающим момент перед взрывом бомбы“. Идея состоит в том, что, приняв тактический подход „слева от стрелы“, интернет-полиция может разрушить боеприпасы социальных сетей до того, как они „взорвутся“, приводя Дональдов Трампов в президентство, как в 2016-м. Вот они по буквам написали „бабах!“ на пяти жёлтых стикерах, чтобы не оставалось вообще никаких сомнений:

Между прочим, действительно полезно прочитать эти методы. Техника «0009» использует написание «эксперд» (на самом деле это портманто из слов эксперт и суперб, насколько я понимаю, неизвестно, насколько умышленное, прим. пер.) для обозначения экспертов. Он на синем стикере — значит, русский. Техника «0033» предполагает «сфабрикованные комментарии в социальных сетях», и она записана на жёлтом стикере, так что, я думаю, русские этим не занимаются. Техника «0006» — «создать хэштег», а техника 0017 — «кликбейт». Буквально каждый из этих методов идиотичен по-своему.

Итак, за всей этой ерундой стоит реальная идея, пусть и довольно невзрачная и непрезентабельная. И идея эта заключается в том, что контент социальных сетей, который не нравится Терп и её соратникам, должен быть результатом процессов, координируемых злоумышленниками, которые организуют «кампании» с вершины дезинформационной пирамиды. «Защитникам» MisinfoSec приходится взбираться от оскорбительных постов на самом днище до самих кампаний, чтобы иметь хоть какую-то надежду сорвать злостные планы. Люди вроде Терп, похоже, никогда не задумывались о том, что сообщения в социальных сетях могут распространяться органично и самостоятельно, без последовательной координации. В конце концов, она глупая женщина, которая разговаривает только с людьми, разделяющими её взгляды на вещи. (Автор опять принимает этот мусор за чистую монету. Всё выглядит значительно менее абсурдно, если представить, что целью Терп является не научить американцев, а заставить их лаять на пустой мусорный бак. Прим. пер.)

То, чего достигли Терп, Лига CTI и их различные филиалы, не является разработкой серьёзно опасной и эффективной тактики цензуры. Их успех вполне реален, но он полностью зависит от государственной власти, которую они собрали для своего проекта. Во всяком случае, AMITT и его преемник DISARM представляют собой неуклюжие и сверхсложные препятствия для манипулирования общественным дискурсом. Они представляют собой целую область псевдоэкспертизы, которую Терп и её коллеги разработали, чтобы реконструировать цензуру как подзадачу кибербезопасности. В этой нелепой новой структуре цензоры не только становятся добродетельными защитниками демократического порядка, они также должны быть обучены и, возможно, даже сертифицированы. Они могут проводить «исследования MisinfoSec», писать статьи, выступать с докладами и посещать конференции, и все это означает, что университеты и более широкий академический аппарат могут их принимать. И всё это так, так безнадёжно глупо.