Эксклюзивный материал о цифровом следе, который оставили преследователи Голунова. Вы узнаете, что ключи к дальнейшему расследованию лежат на серверах Яндекса, meduza.io и шести других сайтах, просто ожидая, пока их заберут. Статья раскрывает способ, которым вы можете проверить, пробивал ли вас кто-то.
Почти всегда сбор информации о человеке начинается с поисковой системы. Так делают не только гражданские лица, но и работники силовых ведомств. Это самый простой и быстрый способ оперативной разработки, причём нередко используются личные мобильники из-за ограничения интернета на рабочих компьютерах, но это зависит от должности, например, почти все оперативники используют именно мобильные устройства.
Запрос к поисковой системе (ПС) даёт не только общую картину, но и просто является удобным способом выйти на социальные системы, где обычно ищут фотографии и другую информацию. Таким образом, это является типичным этапом оперативной работы.
Никаких средств скрытия IP-адреса никто обычно не использует при простом сёрфинге, да и зачем!?
И действительно, ведь мало кто знает, что у Яндекса существует сервис для просмотра статистики поисковых запросов под названием Wordstat, да и даже если есть какой-то там сервис, что с того?
И хотя сервис не показывает историю запросов за предыдущие периоды и содержит только обезличенные данные, мы все равно можем посмотреть статистику с количеством запросов, которые содержат введённые слова (там могут быть ещё какие-то другие слова, и так просто мы о них не узнаем, но точно узнаем все запросы с введёнными словами). Нам нужна статистика по запросам, которая проявила бы специфический интерес к персоне. Попробуем ввести запрос «Иван Голунов», который, впрочем, не даст ничего, кроме информационного шума, так как запросов достаточно много и они есть во все периоды:
Интересующие нас люди могли дискредитировать себя только уточняющим запросом. Например, если бы пробивали Голунова с отчеством, что кажется даже логичным. До этой шумихи это отчество было известно не такому широкому круг лиц, как сейчас, и дало бы более чистые результаты. И да, именно так они и сделали:
В таблице мы видим данные, что было 8 запросов с упоминанием ФИО журналиста в период с 15 по 21 апреля 2019 года. Это намного раньше любых упоминаний о том, что по Голунову велась какая-либо оперативная работа, и совпадает с воспоминаниями самого журналиста, что его друзья заметили за ним слежку в апреле (примерно 16 числа).
Я проверил публикации за весну, убедившись, что не было громких событий связанных с Голуновым и что не всплывало его отчество. С октября 2017-го (когда кто-то основательно копал под Голунова), вообще никто ни разу не пробивал его ФИО. Таким образом, этот интерес не был связан с публичным событием. Даже отчество получено не из официальных источников, потому что количество запросов за неделю, содержащих «Иван Голунов» (8) = «Иван Голунов Валентинович» (8), т.е. на той неделе отсутствуют запросы без отчества совсем. Это доказывает, что рассматриваемые пользователи обращались к поисковой системе, уже зная отчество, а не получили его из предыдущих запросов, как, например, делал я для этого расследования.
Важный момент: никто не пробивал ФИО Голунова с 2017 года до периода 03.06.2019-09.06.2019. Журналиста задержали 06.06.2019, а это значит, что разработку вели именно в апреле или в период, не превышающий трёх дней до задержания, который, увы, слился с общим ажиотажем, т.к. в сервисе нет общедоступной статистики по дням. Третий вариант: его не пробивали вообще, а значит, задержание было случайным. Не пробивать его могли только в третьем случае, т.к. мы с вами уже узнали, что наведение справок по ФИО в интернете является типичным этапом оперативной работы (подозреваю, у вас появится сейчас желание пробить собственные ФИО в Wordstat).
Можно было бы принять версию, что задержание было случайным, если бы не всплеск 03.06.2019-09.06.2019.
На основе предыдущей таблицы, вероятность того, что эти запросы в апреле с ФИО могли возникнуть случайно в пределах одной недели =100%/49 недель=2.04%. Шансы того, что его могли задать сразу несколько пользователей одновременно в данный период, ещё меньше 2.04%/(8*8)=0.03% (не претендую на научность, предлагайте свои способы расчёта).
Что интересно, в апреле было 52 запроса без отчества, что даже не является максимальным за 19-й год (73) и меньше среднестатистических 54.4 запросов в месяц (при среднем 13.6 в неделю). Запросы с отчеством заданы в период спада общего интереса к ФИ без отчества до и после всплеска, что говорит об отсутствии общественного интереса к журналисту до такой степени, что, как уже было сказано выше, запросов без отчества на той неделе в апреле не было совсем, только эти ФИО!
Стоит отметить, что в июне было всего 267 запросов с отчеством журналиста, хотя теперь оно есть даже в Википедии. И все равно это всего 1 ФИО на 2567 ФИ в июне.
Обезличено, да не дообезличено
Wordstat позволяет получить нам не только количество запросов с детализацией по неделям, но и более подробные сведения, а именно, регион и тип устройства.
Таким образом, извлечена следующая информация по 8 запросам: в период с 3 по 9 апреля было 7 запросов из Москвы: 5 с компьютеров или ноутбуков и 2 с мобильных телефонов, a также 1 запрос с компьютера или ноутбука в Твери.
Сейчас вся необходимая информация хранится в Яндекс и просто ждёт, пока кто-нибудь за ней придёт. Те, кто засветились, засветились по полной. За этими цифрами хранятся IP-адреса, информация об устройстве и данные для таргетинга, включая другие запросы к ПС, их время и многое другое. Физический адрес из таких данных следователь по делу о фальсификации дела может получить за два запроса в течение 1-2 недель. Было бы желание или возможность (мнение общества расходится, чего там не хватает). Эти данные хранятся на серверах связанных с сервисом Wordstat по запросу «Голунов Иван Валентинович» за 15.04.2019 - 21.04.2019.
К слову, если вы знаете кого-то сознательного, кто работает в этом подразделении Яндекса, призываю вас прислать ему ссылку на статью, пусть почитают!
Если у вас самих есть интересная информация об этой восьмёрке, вы можете анонимно поделиться ей со мной по ссылке https://t.me/svyat_alekseev. Я уверен, что вот без конкретно вашей помощи нам не узнать правды.
Часть 2. Окольными путями
Конечно, данные Wordstat, свалившиеся с неба, стали бы настоящим спасением для расследования, но есть и другой, титанический способ получить все или часть необходимых IP-адресов.
Зная запрос, который, высоковероятно, выглядел как «Голунов Иван Валентинович», мы можем воспроизвести вид выдачи, сделав фильтр по страницам, появившимся до 24 апреля, и узнать, какие страницы увидел бы пользователь по запросу.
Таким нехитрым способом стало понятно, на какие сайты и их страницы заходили эти люди в апреле. А это значит, что их IP-адреса были записаны в журнал пользовательского доступа сервера (файл access.log).
На основе статистических исследований мы можем вычислить вероятность наличия в журнале хотя бы одного из 8 интересующих IP-адресов (Данные основаны на чистой среднестатистической вероятности клика по сниппету (CTR)*8 в выдаче образца апреля 2019 года):
- 100% vk.com/профиль
- 100% https://www.facebook.com/профиль
- 96 % https://www.instagram.com/профиль
- 64 % https://meduza.io/feature/2017/12/25/u-nas-narod-izobretatelnyy
- 48 % https://snob.ru/profile/29183
- 40 % https://whoiswhopersona.info/archives/96131
- 32 % https://echo.msk.ru/programs/rikoshet/2407629-echo/
Таким образом, с вероятностью 64% даже сайт издания meduza.io, где работает Голунов, хранит в себе, по крайней мере, один из восьми IP-адресов.
Если у вас в знакомых есть работники этих сайтов:
vk.com, meduza.io, snob.ru, whoiswhopersona.info, echo.msk
пришлите им ссылку, чтобы они могли ознакомиться с этим материалом, проведите с ними воспитательную беседу о важности активной общественной деятельности – хотя бы в виде активного чтения статьи. Если знакомых нет, но очень хочется продолжения, скиньте им ссылки на эту статью где-нибудь в обсуждениях, очень сложно достучаться до нужных людей.
Если у вас есть неизвестная информация по теме, вы можете поделиться ей прямо в комментариях под статьёй или в Телеграмме по ссылке https://t.me/svyat_alekseev.
Техническая информация по извлечению данных на meduza.io, snob.ru, whoiswhopersona.info, echo.msk:
Необходимая информация за 15-21 апреля всё ещё может содержаться в файле access.log – журнале пользовательского доступа, который обычно расположен на сервере в папке /logs или var/log. Если он уже затёрся, тогда эта информация хранится в резервной копии сайта - бэкапе (администратор сервера предоставит по первому запросу). Существует также оптимистичная вероятность, что архивная копия файла access.log сжата в архив всё в той же папке.
Если не хотите присылать весь журнал:
Это будет первый визит с того IP-адреса за пару часов на сайт и так можно отсечь внутренние переходы, оставив только переходы из внешних источников на один из указанных выше адресов страницы без UTM-метки. Общедоступные сервисы примерного определения местоположения отнесут нужные IP-адреса к Москве или Твери. Если логи удалены, то в самой CMS могут быть внутренние счётчики, там тоже часто хранятся IP-адреса.