UAEN
Как распознать бота в Twitter — интервью с экспертом
9 октября, 2017
0bd0c3f5f3043b656
Член «Атлантического совета» информационной обороны Бен Ниммо (справа) на международной конференции «360/OS Open Source Summit» Фото: DFRLab

Мэтью Купфер

Бен Ниммо — член «Атлантического совета» информационной обороны. Вместе с коллегами он занимается исследованиями в области кибербезопасности. Недавно они обнаружили российскую «армию ботов», которая вмешивалась в американский дискурс — и смогли остановить ее. Громадскому Бен рассказал, как распознать ботов в социальных сетях, чем они опасны и какую роль играет в этом Россия.
Вас и ваших коллег атаковали в Интернете те, кого можно назвать «армией роботов». Итак, главный вопрос: что такой бот? И что такое бот-сеть?

В этом контексте бот — это аккаунт в Twitter, который управляется компьютерной программой, а не человеком. Поэтому публикует материалы сам — никому не надо нажимать клавиши. Это немного напоминает самолет на автопилоте.

Бот-сеть, или ботнет — сеть сотен, тысяч или десятков тысяч учетных записей, которые могут быть запрограммированы выполнять одно и то же одновременно.

Поскольку все эти микроблоги подписаны только на других ботов, их ретвиты обычный пользователь не увидит. Что происходит с постом, который ретвитят? К примеру, целью стал я. Только я написал пост, мои оповещения в Twitter затапливают буквально сотни новых ретвитов.

Соответственно, я не могу использовать оповещения так, как обычно это делаю. Итак, это форма преследования с помощью очень больших сетей автоматических учетных записей, чтобы заспамить конкретных людей.

Ранее вы обнаружили, как пророссийские боты и ботнеты реагируют на протесты и теракты в Шарлоттсвиле, штат Вирджиния. Что именно вы увидели?

Был определенный нарратив, который использовался ультраправыми комментаторами и правыми ботнетами в США. Главной линией было обвинение американских политиков в том, что они осуждают неонацистов в Шарлоттсвилле одновременно цитирую, «поддерживают неонацистов в Киеве».

Было странно слышать подобное от правых в США. Зато именно это с марта 2014 транслирует Кремль. Поэтому мы начали наблюдать, как рассказ об украинских и американских нацистах распространялся из Кремля на крайних правых в Соединенных Штатах.

Мы обнаружили несколько фейковых аккаунтов — ботов, которые распространяли это сообщение. Наш отчет подхватило американское издание ProPublica.

Тогда это издание в Twitter атаковал большой ботнет. Именно потому, что они цитировали наше исследование. Редакторы связались с нами и попросили выяснить что-то об этом ботнете.

Мы обнаружили, это — тот самый ботнет, который использовался в конце июля против журналистки Джулии Дэвис, которая писала об обстреле Украины российскими войсками. Так мы определили, что это была сеть, которую ранее использовали для атаки на тех, кто писал о России.

Член «Атлантического совета» информационной обороны Бен Ниммо (справа) на международной конференции «360/OS Open Source Summit» Фото: DFRLab

Какова была цель этих ботов? Насколько эффективными они были для достижения этой цели?

Похоже, целью было запугивание. Если вы - владелец микроблога в Twitter, на который происходит атака, то неожиданно видите, что ваши собственные оповещения буквально бесятся. Ежесекундно вы получаете сообщение, что очередные 200 пользователей ретвитнули вас.

Когда такое случается с вами впервые, это потрясает. Это также мешает работать, ведь оповещения поступают слишком быстро. Это выглядит как запугивание.

Бот-сети как-будто кричат: «Посмотрите, сколько нас. Посмотрите, насколько мы сильны». Именно это, кстати, часто говорят люди, которые управляют такой сетью. Впрочем, атаки не были слишком эффективными. Просматривая все твиты, мы обнаружили в них ключевые слова. Если ввести определенную комбинацию слов, это приведет к запуску этой бот-сети, и она начнет вас ретвитить.

Тогда мы написали другой пост с этими же ключевым словам, но со ссылкой на команду поддержки Twitter - и бот-сети начали ретвитить этот твит.

Итак, практически каждый аккаунт, который распространил сообщение, также отметил себя в сети техподдержки Twitter. Поэтому мы обнаружили и удалили более 50 тысяч ботов.

Во время атак на вас и «Атлантический совет» произошли некоторые очень яркие, я бы сказал, события. Могли бы вы рассказать о них?

Кто-то создал несколько фейковых аккаунтов в Twitter. Один из них похитил изображение с моего микроблога, при этом не пытался выдать себя за меня, а смеялся, утверждал, что мне якобы платит ФСБ, а я работаю на Кремль. Это было глупо, несерьезно, как будто кто-то просто играл.

Но тогда они создали аккаунт, который был точной копией микроблога моего босса, и начали распространять сообщения, что якобы я умер. Это было уже не так смешно.

Поскольку это был фейковый аккаунт, он просуществовал не очень долго.

Вы и «Атлантический совет» не единственные, кто пишет о дезинформации в Интернете, и точно не единственные, кто пишет о ботах — почему именно ваша организация стала целью?

Похоже, что это стало ответом на сообщения ProPublica о Шарлотсвилле, а также на нашу первую статью о бот-сети. Сейчас о том, что произошло, можно сделать только промежуточные выводы.

Мы поняли, что ботнет, нацеленный на ProPublica, был тем самым ботнетом, который ранее атаковал журналистку Джулию Дэвис. В обоих случаях мы разоблачили, как они работали, и обнаружили их мотивы.

Сравнив эти случаи, мы определили, что это — единая бот-сеть. Мы прошли все этапы идентификации, и теперь можем сказать: вероятно, ее руководители — пророссийские. Но бот-сеть идентифицирована, разоблачена, и ее выключат.

Не исключено, что они будут пытаться нанести ответный удар. Но в действительности это позволит нам загрузить больше данных об их сети, а затем закрыть больше фейковых микроблогов.

Член «Атлантического совета» информационной обороны Бен Ниммо (справа) на международной конференции «360/OS Open Source Summit» Фото: DFRLab

Вы говорили, что атака не была эффективной, поскольку позволила больше узнать о ботах и удалить их. Какие еще выводы вы сделали?

Мы обнаружили масштаб некоторых бот-сетей. Похоже, существует целый ряд сетей с различными стилями, которые работают вместе. Один коллективный аккаунт имел сотни, если не тысячи ботов. Профили были достаточно тщательно сделаны, например, у каждого было вполне реальное имя. В целом они имели несколько тысяч учетных записей, но только сотню фото. Поэтому много разных микроблогов были с одинаковыми фотографиями, что нечаянно их разоблачило.

В некоторых микроблогах публикуются ретвиты на английском, русском, арабском, малайском, индонезийском, французском, испанском и турецком языках — вряд ли это делал человек. Можно быть абсолютно уверенным, что это фальшивка.

Мы демонстрируем, сколько различных методов идентификации ботов и идентификации фейковых аккаунтов.

Поэтому, по сути, любой пользователь Twitter, обладая этой информацией, может обнаружить ботов?

Именно так. Не все боты имеют один и тот же стиль, некоторые маскируются лучше других. Но, используя наши подсказки, любой пользователь Twitter сможет выявить бота.

К примеру, я выделяю три классических показателя: активность, анонимность и усиление месседжа. Все, что нужно сделать — посмотреть на дату создания профиля и количество опубликованных твитов. Так можно определить, как часто происходят публикации. Есть боты, которые твитят 800 или тысячу раз в день. Это просто нечеловеческая модель поведения.

Обратите внимание, сколько у них постов и ретвитов. Есть боты, которые постят тысячи сообщений в день, но все это - ретвиты. Если с учетной записи постят так часто, при этом не дают никакой личной информации — это бот.

Член «Атлантического совета» информационной обороны Бен Ниммо (справа) на международной конференции «360/OS Open Source Summit» Фото: DFRLab