Вторжение
В комнате осталось шесть человек. Одного я знаю очень хорошо, это Frodo, эксперт по компьютерной безопасности из Управления «К». Четверо других держатся парочками (не подумайте чего плохого), двое у окна – явно местные, а в дальнем углу, возле диспенсера и кофемашины, расположились, скорее всего, ребята из ФСБ, военные гораздо лучше гражданских ориентируются в пространстве.
Один из ФСБ‑шников, наверное, оперативник; взгляд у него немного отсутствующий, но это только видимость: думаю, просто привычка контролировать сразу все помещение. Другой, здоровенный мужик в черной спортивной майке, похоже, из подразделения «тяжелых». Не припомню, чтобы таких головорезов включали когда‑либо в группу технического расследования, видно дело и впрямь табак.
Почему бы инициативу в такой ситуации не взять на себя хозяевам? Так и есть – один из банкиров оторвался от подоконника и улыбнулся.
– Меня зовут Mick, я координатор работ от банка, по всем организационным вопросам обращайтесь ко мне.
Ба, еще один организатор‑координатор! Ладно, шучу. Куда мы от них, менеджеров, денемся?
– Это наш системный администратор Dark, он зарегистрирует вас в системе и предоставит необходимые права доступа.
Интересно, а не тот ли это сисадмин, про которого рассказывал Max? Опять шучу, их сейчас развелось как собак нерезаных, правда, далеко не все достойны так называться. Посмотрим – увидим.
– Я Frodo, Управление «К» МВД России, – сказал Frodo.
– Arthur, компьютерный детектив, – легонько помахал ручкой я.
– Chuck, я и Troll будем осуществлять силовую поддержку, – скромно отозвался «оперативник».
Откуда они – все, видимо, сами должны догадаться; понятное дело – чекисты.
Ну вот и познакомились, пора брать быка за рога. В рулевые, как водится, никто не рвется, придется опять мне.
– Mick, расскажи в двух словах о краже: как это произошло, сколько взяли.
– Величину ущерба мы пока точно сами не знаем, сейчас известно о четырех эпизодах, но могут быть и другие. И поверьте, речь идет об ОЧЕНЬ большой сумме. Все платежки оформлены разными операционистами, причем те утверждают, что этих документов не готовили. Деньги ушли через SWIFT[1], мы пытались отозвать, но ничего не получилось, их сняли буквально в течение часа. Сейчас в банке идет выверка по полной программе, результаты планируем получить завтра утром.
– С этими операционистками уже работают, – внес свою лепту Chuck, сделав акцент на букву «к».
– А как организована сеть банка? – это уже к Dark.
– Достаточно традиционно, внутрибанковская сеть разбита на два сегмента – пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты[2], а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с интернет‑компьютерами, но он не связан с корпоративной сетью.
– В DMZ[3] установлена система обнаружения атак?
– Да, но никаких следов проникновения или даже разведки не обнаружено.
– Может быть, все аккуратно подчищено?
– Вряд ли, логи хранятся на специальном сервере, который отделен от DMZ своим файрволом[4] и принимает только онлайн запросы на сохранение записей. Демон[5] чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Файрвол, так же как и сам сервер аудита, управляются сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.
– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?
– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.
– Антивирус ничего не даст, в нападениях такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на распространенных эвристических анализаторах[6].
– У нас стоит система, не пропускающая внутрь любой активный контент. Все исполняемые модули, скрипты[7] и даже неопознанные компоненты блокируются, в корпоративную сеть проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.
– Так все гладко излагаешь, аж противно. Проверьте как следует еще раз на предмет исключений. Может, какому‑нибудь администратору разрешено принимать все что угодно? Или было разрешено когда‑то? Аудит действий администраторов проводится?
– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, подделать их невозможно, поскольку доступ всем пользователям, в том числе администраторам, предоставляется только на чтение.
– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.
– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие‑то зацепки, чтобы сузить круг.
– Будем искать зацепки. Надо, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от внешних сетей?
– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.
– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.
[1] SWIFT (Society for Worldwide Interbank Financial Telecommunications) – международная межбанковская система передачи финансовых данных
[2] Хост (host) – сервер, предоставляющий какие‑либо сервисы; в широком смысле – любой сетевой компьютер
[3] DMZ (Demilitarized Zone, демилитаризованная зона) – сегмент, отделяющий корпоративную сеть от Интернет
[4] Файрвол (firewall, межсетевой экран) – устройство или программа, контролирующие сетевые взаимодействия
[5] Демон (daemon) – программа, работающая в фоновом режиме без непосредственного взаимодействия с пользователем
[6] Эвристический анализатор – компонента антивируса, позволяющая выявлять неизвестные вредоносные программы
[7] Скрипт (script) – программа на языке сценариев, исполняемая обычно в исходном виде без перевода в машинный код
