Вторжение - Николай Боевкин

– С этими операционистками уже работают, – внес свою лепту Chuck, сделав акцент на букву «к».

– А как организована сеть банка? – это уже к Dark.

– Достаточно традиционно, внутрибанковская сеть разбита на два сегмента – пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты4, а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с интернет-компьютерами, но он не связан с корпоративной сетью.

– В DMZ5 установлена система обнаружения атак?

– Да, но никаких следов проникновения или даже разведки не обнаружено.

– Может быть, все аккуратно подчищено?

– Вряд ли, логи хранятся на специальном сервере, который отделен от DMZ своим файрволом6 и принимает только on-line запросы на сохранение записей. Демон7 чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Файрвол, так же как и сам сервер аудита, управляются сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.

– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?

– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.

– Антивирус ничего не даст, в нападениях такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на распространенных эвристических анализаторах8.

– У нас стоит система, не пропускающая внутрь любой активный контент. Все исполняемые модули, скрипты9 и даже неопознанные компоненты блокируются, в корпоративную сеть проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.

– Так все гладко излагаешь, что даже скулы сводит. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?

– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, подделать их невозможно, поскольку доступ всем пользователям, в том числе администраторам, предоставляется только на чтение.

– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.

– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие-то зацепки, чтобы сузить круг.

– Будем искать зацепки. Надо, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от внешних сетей?

– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.

– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.

– Да, конечно, вся документация имеется и будет вам предоставлена.

Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот случай, такие суммы и сантименты несовместимы. Неужели нелепая случайность – лезли развлечься и не удержались, увидев колоссальные деньги? Сомнительно – чтобы провести платежи подобных размеров, необходимо хорошо разбираться в банковских технологиях; да еще и момент улучить, когда на корсчете имеются нужные средства. Скорее всего, все-таки брали свои.

– Где мы можем расположиться? В серверной не хотелось бы, за бортом под сорок, а у вас там, поди, градусов восемнадцать-двадцать. Боюсь, через сутки, отведенные генералом, спрашивать работу будет просто не с кого.

– В этой переговорной есть все необходимые коммуникации, можете работать прямо здесь.

– Хорошо. Ну, Frodo, теперь наш с тобой выход.

Глава 5

На столе Переговорной №3 стопкой стояли перенесенные из серверной мои «орудия труда» – пять тюнингованных ноутбуков, набитых программами на все случаи жизни. Тюнинг, собственно, заключался в замене стандартных винчестеров заказными максимальной емкости. Да, и еще модернизирована система охлаждения: терпеть не могу, когда из приятной дремы тебя выводит рев внезапно проснувшегося вентилятора.

– Почему у одного ноутбука красная крышка? – интересуется Dark. – Это случайность или что-то означает?

– Так маркируется эталонный компьютер, он никогда не участвует в работе, а служит для восстановления боевых в случае чего.

– Ясно.

– Что, Frodo, как обычно, ты обследуешь DMZ, а я внутреннюю сеть? – спрашиваю.

Frodo кивает, у нас с ним принято именно такое распределение обязанностей, когда мы работаем вместе, поскольку я чуть лучше разбираюсь в банковской бухгалтерии.

Я подключаю ноутбук и, разложив перед собой схемы серверного сегмента, углубляюсь в их изучение. Так, начнем с обследования сервера ABS. Нет, никакого отношения к антиблокировочной системе тормозов автомобиля он не имеет. Это так называемая автоматизированная банковская система – ядро информационной среды учреждения. По-любому, несанкционированные платежи должны быть отражены здесь для бухгалтерской отчетности, иначе их поймают раньше, чем те покинут банк. Существует сложная и многоуровневая система квитовок как раз для предотвращения подлогов.

Конечно, любую систему, созданную одними людьми, другие люди могут обмануть. Только в данном случае так почти никогда не делают. Во-первых, это очень сложно, вряд ли даже внутри банка найдется человек, который в тонкостях знает всю систему целиком. Во-вторых, это и не нужно, гораздо проще замаскировать нелегальный платеж под обычный. Будем пока исходить из того, что нарушитель был человеком разумным и не искал лишних приключений на свою задницу.

Дальше стоит сервер расчетной системы SETTL, следом за ним – хост международной системы передачи финансовых транзакций SWIFT; вот по этой цепочке мы сейчас и двинемся.

Для начала забросим на ABS Разведчика – программу, производящую поиск подозрительных процессов и объектов автозапуска операционной системы. Если на сервере есть враждебные модули – должны ведь они как-то стартовать после перезагрузки компьютера.

– Dark, придвигайся поближе, потребуется твоя помощь. Рассказывай, каковы отклонения настроек этого хоста от умолчания?

Ответить администратор не успел. Трудолюбивый Разведчик, едва начав свою работу, тут же вылетел, не успев выдать каких-либо сообщений.

– Frodo, дуй сюда, у меня потеплело. Похоже, моего Разведчика загасили, видимо на сервере ABS сидит Киллер.

Глаза Frodo лихорадочно заблестели, наши шансы на успех существенно возрастали.

– Dark, необходимо срочно сделать резервные копии всех компьютеров этого сегмента. Нам сейчас придется немного повоевать, вполне возможны жертвы среди мирного серверного населения.

– Все бэкапы10 уже сделаны сразу после закрытия операционного дня, воюйте на здоровье.

Вот это молодцы, здешние сисадмины способны, оказывается, не только на окучивание наивных блондинок.

Frodo пересел поближе ко мне.

– Так, внедряй на нулевой ринг Снайпера.

Снайпер – это небольшая программа, предназначенная для уничтожения Киллеров. Собственно, найти и обезвредить Киллера Снайпер не может, вместо этого он незаметно встраивается в операционную систему и ждет. Как только Киллер активизируется и пытается кого-нибудь ухлопать, Снайпер это обнаруживает и тут же «снимает» его.

– Готово.

– Теперь запускай Разведчика, а я сразу забью серверу трафик, чтобы Киллер не смог ни с кем связаться. Глубину сканирования поставь по максимуму, нам торопиться некуда.

Постановкой помех занимается отдельный ноутбук, и теперь мы сами не видим, что происходит на сервере ABS. Третий ноутбук занимается сниффингом сети – просто фиксирует все проходящие по ней пакеты, это может потребоваться в дальнейшем для «разбора полетов». Четвертый ноутбук пока находится в резерве.

Через пять минут я снимаю помехи и опять вхожу на ABS. Все нормально, Киллер уничтожен, Разведчик закончил свою работу и выдал нам все объекты, хоть в малейшей степени отличающиеся от стандартных.

Все чисто, прицепиться абсолютно не к чему.