скачать книгу бесплатно
Наконец я, кажется, догадался, почему и в Москве, и в Париже дорожки посыпают всякой гадостью. А в Москве еще и поливают, благо зимой нередок гололед. Мировой заговор обувной мафии налицо. Ну, хорошо, пусть будет европейский.
– Все собрались, наконец, можем подвести итог.
Руководитель оперативного штаба – невысокий худой генерал ФСБ, с ним меня уже неоднократно сводила судьба. Удивительное дело, обычно генералы очень крупные мужчины, кроме этого я встречал только одного в районе метра шестидесяти, правда, по весу тот не уступал остальным.
– В общем, для проведения технического расследования сформирована зондер-команда, старшего не назначаю, все вы специалисты в своих областях и должны работать в теснейшем контакте. Меряться, кто главнее, некогда. Задача минимум – прекратить подложные платежи, задача максимум – разобраться, что произошло, и выйти на исполнителей. Дальше уже моя забота. Срок – сутки. Вопросы есть – вопросов нет. Знакомьтесь и приступайте.
Вот это по-нашему, по-армейски, четко и ясно. Вопрос о том, что будет, «если не», дипломатично подвешен. И главное, этот генерал свободно умеет обходиться без ненормативной лексики. Определенно, он мне нравится. Я много раз видел, как высокие военные чины, волею случая поставленные в непривычные для себя условия запрета использования специфических связующих слов, выглядели такими же неуклюжими, как бегун со связанными руками. Речь с трудом лилась из их уст, путались предлоги и падежи. И только когда запрет снимался, все становилось на свои места.
Начальство, довольное тем, что его часть работы – постановка задачи – уже выполнена, потянулось к выходу. Шефа удалось ухватить за рукав чуть ли не в коридоре.
– Я надеюсь, наши орудия труда уже привезли?
– Да, лежат в серверной. Что-нибудь еще нужно? Короче, звони, мне надо быть в курсе.
***
В комнате осталось шесть человек. Одного я знаю очень хорошо, это Frodo, эксперт по компьютерной безопасности из Управления «К». Четверо других держатся парочками (не подумайте чего плохого), двое у окна – явно местные, а в дальнем углу, возле диспенсера и кофемашины, расположились, скорее всего, ребята из ФСБ, военные гораздо лучше гражданских ориентируются в пространстве.
Один из ФСБ-шников, наверное, оперативник; взгляд у него немного отсутствующий, но это только видимость: думаю, просто привычка контролировать сразу все помещение. Другой, здоровенный мужик в черной спортивной майке, похоже, из подразделения «тяжелых». Не припомню, чтобы таких головорезов включали когда-либо в группу технического расследования, видно дело и впрямь табак.
Почему бы инициативу в такой ситуации не взять на себя хозяевам? Так и есть – один из банкиров оторвался от подоконника и улыбнулся.
– Меня зовут Mick, я координатор работ от банка, по всем организационным вопросам обращайтесь ко мне.
Ба, еще один организатор-координатор! Ладно, шучу. Куда мы от них, менеджеров, денемся?
– Это наш системный администратор Dark, он зарегистрирует вас в системе и предоставит необходимые права доступа.
Интересно, а не тот ли это сисадмин, про которого рассказывал Max? Опять шучу, их сейчас развелось как собак нерезаных, правда, далеко не все достойны так называться. Посмотрим – увидим.
– Я Frodo, Управление «К» МВД России, – сказал Frodo.
– Arthur, компьютерный детектив, – легонько помахал ручкой я.
– Chuck, я и Troll будем осуществлять силовую поддержку, – скромно отозвался «оперативник».
Откуда они – все, видимо, сами должны догадаться; понятное дело – чекисты.
Ну вот и познакомились, пора брать быка за рога. В рулевые, как водится, никто не рвется, придется опять мне.
– Mick, расскажи в двух словах о краже: как это произошло, сколько взяли.
– Величину ущерба мы пока точно сами не знаем, сейчас известно о четырех эпизодах, но могут быть и другие. И поверьте, речь идет об ОЧЕНЬ большой сумме. Все платежки оформлены разными операционистами, причем те утверждают, что этих документов не готовили. Деньги ушли через SWIFT[4 - SWIFT (Society for Worldwide Interbank Financial Telecommunications) – международная межбанковская система передачи финансовых данных], мы пытались отозвать, но ничего не получилось, их сняли буквально в течение часа. Сейчас в банке идет выверка по полной программе, результаты планируем получить завтра утром.
– С этими операционистками уже работают, – внес свою лепту Chuck, сделав акцент на букву «к».
– А как организована сеть банка? – это уже к Dark.
– Достаточно традиционно, внутрибанковская сеть разбита на два сегмента – пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты[5 - Хост (host) – сервер, предоставляющий какие-либо сервисы; в широком смысле – любой сетевой компьютер], а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с интернет-компьютерами, но он не связан с корпоративной сетью.
– В DMZ[6 - DMZ (Demilitarized Zone, демилитаризованная зона) – сегмент, отделяющий корпоративную сеть от Интернет] установлена система обнаружения атак?
– Да, но никаких следов проникновения или даже разведки не обнаружено.
– Может быть, все аккуратно подчищено?
– Вряд ли, логи хранятся на специальном сервере, который отделен от DMZ своим файрволом[7 - Файрвол (firewall, межсетевой экран) – устройство или программа, контролирующие сетевые взаимодействия] и принимает только онлайн запросы на сохранение записей. Демон[8 - Демон (daemon) – программа, работающая в фоновом режиме без непосредственного взаимодействия с пользователем] чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Файрвол, так же как и сам сервер аудита, управляются сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.
– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?
– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.
– Антивирус ничего не даст, в нападениях такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на распространенных эвристических анализаторах[9 - Эвристический анализатор – компонента антивируса, позволяющая выявлять неизвестные вредоносные программы].
– У нас стоит система, не пропускающая внутрь любой активный контент. Все исполняемые модули, скрипты[10 - Скрипт (script) – программа на языке сценариев, исполняемая обычно в исходном виде без перевода в машинный код] и даже неопознанные компоненты блокируются, в корпоративную сеть проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.
– Так все гладко излагаешь, аж противно. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?
– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, подделать их невозможно, поскольку доступ всем пользователям, в том числе администраторам, предоставляется только на чтение.
– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.
– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие-то зацепки, чтобы сузить круг.
– Будем искать зацепки. Надо, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от внешних сетей?
– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.
– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.
– Да, конечно, вся документация имеется и будет вам предоставлена.
Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот случай, такие суммы и сантименты несовместимы. Неужели нелепая случайность – лезли развлечься и не удержались, увидев колоссальные деньги? Сомнительно – чтобы провести платежи подобных размеров, необходимо хорошо разбираться в банковских технологиях, да еще и момент улучить, когда на корсчете имеются нужные средства. Скорее всего, все-таки брали свои.
– Где мы можем расположиться? В серверной не хотелось бы, за бортом под сорок, а у вас там, поди, градусов восемнадцать-двадцать. Боюсь, через сутки, отведенные генералом, спрашивать работу будет просто не с кого.
– В этой переговорной есть все необходимые коммуникации, можете работать прямо здесь.
– Хорошо. Ну, Frodo, теперь наш с тобой выход.
Глава 5
На столе переговорной №3 стопкой стояли перенесенные из серверной мои «орудия труда» – пять тюнингованных ноутбуков, набитых программами на все случаи жизни. Тюнинг, собственно, заключался в замене стандартных винчестеров заказными максимальной емкости. Да, и еще модернизирована система охлаждения: терпеть не могу, когда из приятной дремы тебя выводит рев внезапно проснувшегося вентилятора.
– Почему у одного ноутбука красная крышка? – интересуется Dark. – Это случайность или что-то означает?
– Так маркируется эталонный компьютер, он никогда не участвует в работе, а служит для восстановления боевых в случае чего.
– Ясно.
– Что, Frodo, как обычно, ты обследуешь DMZ, а я внутреннюю сеть? – спрашиваю.
Frodo кивает, у нас с ним принято именно такое распределение обязанностей, когда мы работаем вместе, поскольку я чуть лучше разбираюсь в банковской бухгалтерии.
Я подключаю ноутбук и, разложив перед собой схемы серверного сегмента, углубляюсь в их изучение. Так, начнем с обследования сервера под названием ABS. Нет, никакого отношения к антиблокировочной системе тормозов автомобиля он не имеет. Это так называемая автоматизированная банковская система – ядро информационной среды учреждения. По-любому, несанкционированные платежи должны быть отражены здесь для бухгалтерской отчетности, иначе их поймают раньше, чем те покинут банк. Существует сложная и многоуровневая система квитовок как раз для предотвращения подлогов.
Конечно, любую систему, созданную одними людьми, другие люди могут обмануть. Только в данном случае так почти никогда не делают. Во-первых, это очень сложно, вряд ли даже внутри банка найдется человек, который в тонкостях знает всю систему целиком. Во-вторых, это и не нужно, гораздо проще замаскировать нелегальный платеж под обычный. Будем пока исходить из того, что нарушитель был человеком разумным и не искал лишних приключений на свою задницу.
Дальше стоит сервер расчетной системы SETTL, следом за ним – хост международной системы передачи финансовых транзакций, который так и именуется – SWIFT. Вот по этой цепочке мы сейчас потихоньку и двинемся.
Для начала забросим на ABS Разведчика – программу, производящую поиск подозрительных процессов и объектов автозапуска операционной системы. Если на сервере есть враждебные модули – должны ведь они как-то стартовать после перезагрузки компьютера.
– Dark, придвигайся поближе, потребуется твоя помощь. Рассказывай, каковы отклонения настроек этого хоста от умолчания?
Ответить администратор не успел. Трудолюбивый Разведчик, едва начав свою работу, тут же вылетел, не успев выдать каких-либо сообщений.
– Frodo, ну-ка дуй сюда, у меня потеплело. Похоже, моего Разведчика загасили – видимо, на сервере ABS окопался Киллер.
Глаза Frodo лихорадочно заблестели, наши шансы на успех существенно возрастали.
– Dark, необходимо срочно сделать резервные копии всех компьютеров этого сегмента. Нам сейчас придется немного повоевать, вполне возможны жертвы среди мирного серверного населения.
– Все бэкапы[11 - Бэкап (backup copy, резервное копирование) – процесс создания копии данных на внешнем носителе для восстановления в случае их разрушения] уже сделаны сразу после закрытия операционного дня, воюйте на здоровье.
Вот это молодцы, здешние сисадмины способны, оказывается, не только окучивать наивных блондинок.
Frodo пересел поближе ко мне.
– Так, внедряй на нулевой ринг[12 - Нулевой ринг (ring 0) – режим работы процессора с максимальными привилегиями] Снайпера.
Снайпер – это небольшая программа, предназначенная для уничтожения Киллеров. Собственно, найти и обезвредить Киллера Снайпер не может, вместо этого он незаметно встраивается в операционную систему и ждет. Как только Киллер активизируется и пытается кого-нибудь ухлопать, Снайпер это обнаруживает и тут же снимает его.
– Готово.
– Теперь запускай Разведчика, а я сразу забью серверу трафик, чтобы Киллер не смог ни с кем связаться. Глубину сканирования поставь по максимуму, нам торопиться некуда.
Постановкой помех занимается отдельный ноутбук, и теперь мы сами не видим, что происходит на сервере ABS. Третий ноутбук занимается сниффингом сети – просто фиксирует все проходящие по ней пакеты, это может потребоваться в дальнейшем для «разбора полетов». Четвертый ноутбук пока находится в резерве.
Через пять минут я снимаю помехи и опять вхожу на ABS. Все нормально, Киллер уничтожен, Разведчик закончил свою работу и выдал нам все объекты, хоть в малейшей степени отличающиеся от стандартных.
Все чисто, прицепиться абсолютно не к чему.
– Интересно, кого же он охранял? – разочарованно спросил Frodo.
Действительно, какой дурак будет ставить Киллера просто так? Либо его забыли снять по ошибке, либо главные действующие лица улизнули буквально у нас перед носом.
Тело Киллера никакого интереса не представляет – обычная программа-убийца, какими забит весь Интернет. А нам нужны Диспетчер и Исполнитель несанкционированных платежей, их код[13 - Код – совокупность команд, составляющих программу] может рассказать о многом. Особенно интересен Диспетчер – ведь только он способен связываться с организатором атаки.
Ладно, делать нечего, пойдем по цепочке дальше. Но сначала нужно занять место. Для этого используется Сторож, достаточно примитивная, но очень полезная программа. Она устанавливается на компьютере и фиксирует все происходящие на нем изменения, поэтому всегда можно определить, что за время нашего отсутствия здесь не побывали непрошеные гости.
– Frodo, давай теперь разделимся. Я пойду по внешней цепочке к серверу SWIFT, а ты по внутренней – через пользовательский портал на компьютеры операционистов.
– О’кей.
На серверах SETTL и SWIFT картина оказалась идентичной – после уничтожения Киллера никого больше обнаружено не было. Похоже, Исполнителя мы потеряли. Зато у Frodo дела обстоят гораздо живее.
– Arthur, они долбят из сегмента пользователей через файрвол, я потерял уже трех Разведчиков, а их достать не могу.
– Разрешить вам проход в сегмент пользователей? – спросил Dark.
– Нет, не надо, лучше выключи файрвол совсем. Будем ловить злодея, как программисты ловят льва в пустыне.
– Это как?
– Делят пустыню забором пополам; потом ту часть, где находится лев, еще раз пополам и так далее. В конечном итоге царь зверей оказывается плотно зажатым с четырех сторон между досками.
– Разделяй и властвуй?
– Что-то вроде того.
– Frodo, давай завершим с серверным сегментом. Запускай Разведчиков и вслед за ними Сторожей, а я тем временем проконтролирую сеть на всякий случай.
Через час Frodo занял последний сервер. Сопротивление было оказано только на одном компьютере, впрочем, подавить его не составило труда. Общий доклад Сторожей подвел черту – серверный сегмент зачищен.
– Как-то подозрительно быстро они капитулировали, – вздохнул я. – Непонятно, зачем вообще было все это затевать. Может, просто тянут время? Связи с хозяином-то нет, Интернет ведь отключен, вот Диспетчер и не может принять какого-то определенного решения.
– Не говори гоп… – сказал Frodo. – Посмотрим, что будет в сегменте пользователей.
– Кстати, ты закончил с DMZ?
– Не знаю, я только успел запустить полное сканирование. Сейчас, наверное, оно уже завершилось.
Frodo забарабанил по клавиатуре ноутбука, как будто пытался ее сломать. Чудак, разве так можно с боевыми друзьями? Через несколько минут он вскочил.
– Чистяк! Все, не могу больше, объявляется пятиминутный кофе-брейк, – и он выжидательно уставился на нашего организатора-координатора.
Mick кивнул: мол, не волнуйтесь, все схвачено.
Подкрепившись кофе с заботливо приготовленными в буфете банка бутербродами, мы приступили к завершающей стадии работы.
Полчаса разведки – и ничего; все это очень странно, лез ведь кто-то из-за файрвола. С другой стороны, Диспетчеру находиться в сегменте пользователей как-то не с руки – этот участок сети ведь не связан с Интернетом, как выходить на хозяина? Неужели Диспетчера мы тоже потеряли? Или его вообще не было, и все эти Киллеры – просто пыль в глаза? Тогда Исполнителя запустил кто-то из своих, Chuck нам спасибо не скажет, зацепок ведь нет никаких.
Вдруг в центре экрана появилась маленькая черная точка, из нее по часовой стрелке начала стремительно раскручиваться спираль, стирая на своем пути окна и иконки рабочего стола. Через три секунды все было кончено – ноутбук не подавал признаков жизни.
– Frodo, осторожно, я, кажется, словил Диверсанта.
– Я, кажется, тоже, – отозвался тот.
