Вторжение

Наконец я, кажется, догадался, почему и в Москве, и в Париже дорожки посыпают всякой гадостью. А в Москве еще и поливают, благо зимой нередок гололед. Мировой заговор обувной мафии налицо. Ну, хорошо, пусть будет европейский.

– Все собрались, наконец, можем подвести итог.

Руководитель оперативного штаба – невысокий худой генерал ФСБ, с ним меня уже неоднократно сводила судьба. Удивительное дело, обычно генералы очень крупные мужчины, кроме этого я встречал только одного в районе метра шестидесяти, правда, по весу тот не уступал остальным.

– В общем, для проведения технического расследования сформирована зондер-команда, старшего не назначаю, все вы специалисты в своих областях и должны работать в теснейшем контакте. Меряться, кто главнее, некогда. Задача минимум – прекратить подложные платежи, задача максимум – разобраться, что произошло и выйти на исполнителей. Дальше уже моя забота. Срок – сутки. Вопросы есть – вопросов нет. Знакомьтесь и приступайте.

Вот это по-нашему, по-армейски, четко и ясно. Вопрос о том, что будет, «если не», дипломатично подвешен. И главное, этот генерал свободно умеет обходиться без ненормативной лексики. Определенно, он мне нравится. Я много раз видел, как высокие военные чины, волею случая поставленные в непривычные для себя условия запрета использования специфических связующих слов, выглядели такими же неуклюжими, как бегун со связанными руками. Речь с трудом лилась из их уст, путались предлоги и падежи. И только когда запрет снимался, все становилось на свои места.

Начальство, довольное тем, что его часть работы – постановка задачи – уже выполнена, потянулось к выходу. Шефа удалось ухватить за рукав чуть ли не в коридоре.

– Я надеюсь, наши орудия труда уже привезли?

– Да, лежат в серверной. Что-нибудь еще нужно? Короче, звони, мне надо быть в курсе.

***

В комнате осталось шесть человек. Одного я знаю очень хорошо, это Frodo, эксперт по компьютерной безопасности из Управления «К». Четверо других держатся парочками (не подумайте чего плохого), двое у окна – явно местные, а в дальнем углу, возле диспенсера и кофемашины, расположились, скорее всего, ребята из ФСБ, военные гораздо лучше гражданских ориентируются в пространстве.

Один из ФСБ-шников – наверное, оперативник; взгляд у него немного отсутствующий, но это только видимость: думаю, просто привычка контролировать сразу все помещение. Другой, здоровенный мужик в черной спортивной майке, похоже, из подразделения «тяжелых». Не припомню, чтобы таких головорезов включали когда-либо в группу технического расследования, видно дело и впрямь табак.

Почему бы инициативу в такой ситуации не взять на себя хозяевам? Так и есть – один из банкиров оторвался от подоконника и улыбнулся.

– Меня зовут Mick, я координатор работ от банка, по всем организационным вопросам обращайтесь ко мне.

Ба, еще один организатор-координатор! Ладно, шучу. Куда мы от них, менеджеров, денемся?

– Это наш системный администратор Dark, он зарегистрирует вас в системе и предоставит необходимые права доступа.

Интересно, а не тот ли это сисадмин, про которого рассказывал Max? Опять шучу, их сейчас развелось как собак нерезаных, правда, далеко не все достойны так называться. Посмотрим – увидим.

– Я Frodo, Управление «К» МВД России, – сказал Frodo.

– Arthur, компьютерный детектив, – легонько помахал ручкой я.

– Chuck, я и Troll будем осуществлять силовую поддержку, – скромно отозвался «оперативник».

Откуда они – все, видимо, сами должны догадаться; понятное дело – чекисты.

Ну вот и познакомились, пора брать быка за рога. В рулевые, как водится, никто не рвется, придется опять мне.

– Mick, расскажи в двух словах о краже, как это произошло, сколько взяли.

– Величину ущерба мы пока точно сами не знаем, сейчас известно о четырех эпизодах, но могут быть и другие. И поверьте, речь идет об ОЧЕНЬ большой сумме. Все платежки оформлены разными операционистами, причем те утверждают, что этих документов не готовили. Деньги ушли через SWIFT[4 - SWIFT (Society for Worldwide Interbank Financial Telecommunications) – международная межбанковская система передачи финансовых данных], мы пытались отозвать, но ничего не получилось, их сняли буквально в течение часа. Сейчас в банке идет выверка по полной программе, результаты планируем получить завтра утром.

– С этими операционистками уже работают, – внес свою лепту Chuck, сделав акцент на букву «к».

– А как организована сеть банка? – это уже к Dark.

– Достаточно традиционно, внутрибанковская сеть разбита на два сегмента – пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты[5 - Хост (host) – сервер, предоставляющий какие-либо сервисы; в широком смысле – любой сетевой компьютер], а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с интернет-компьютерами, но он не связан с корпоративной сетью.

– В DMZ[6 - DMZ (Demilitarized Zone, демилитаризованная зона) – сегмент, отделяющий корпоративную сеть от Интернет] установлена система обнаружения атак?

– Да, но никаких следов проникновения или даже разведки не обнаружено.

– Может быть, все аккуратно подчищено?

– Вряд ли, логи хранятся на специальном сервере, который отделен от DMZ своим файрволом[7 - Файрвол (firewall, межсетевой экран) – устройство или программа, контролирующие сетевые взаимодействия] и принимает только онлайн запросы на сохранение записей. Демон[8 - Демон (daemon) – в терминологии UNIX программа, работающая в фоновом режиме без непосредственного взаимодействия с пользователем] чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Файрвол, так же как и сам сервер аудита, управляются сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.

– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?

– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.

– Антивирус ничего не даст, в нападениях такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на распространенных эвристических анализаторах[9 - Эвристический анализатор – компонента антивируса, позволяющая выявлять неизвестные вредоносные программы].

– У нас стоит система, не пропускающая внутрь любой активный контент. Все исполняемые модули, скрипты[10 - Скрипт (script) – программа на языке сценариев, исполняемая обычно в исходном виде без перевода в машинный код] и даже неопознанные компоненты блокируются, в корпоративную сеть проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.

– Так все гладко излагаешь, аж противно. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?

– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, подделать их невозможно, поскольку доступ всем пользователям, в том числе администраторам, предоставляется только на чтение.

– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.

– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие-то зацепки, чтобы сузить круг.

– Будем искать зацепки. Надо, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от внешних сетей?

– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.

– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.

– Да, конечно, вся документация имеется и будет вам предоставлена.

Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот случай, такие суммы и сантименты несовместимы. Неужели нелепая случайность – лезли развлечься и не удержались, увидев колоссальные деньги? Сомнительно – чтобы провести платежи подобных размеров, необходимо хорошо разбираться в банковских технологиях; да еще и момент улучить, когда на корсчете имеются нужные средства. Скорее всего, все-таки брали свои.

– Где мы можем расположиться? В серверной не хотелось бы, за бортом под сорок, а у вас там, поди, градусов восемнадцать-двадцать. Боюсь, через сутки, отведенные генералом, спрашивать работу будет просто не с кого.

– В этой переговорной есть все необходимые коммуникации, можете работать прямо здесь.

– Хорошо. Ну, Frodo, теперь наш с тобой выход.

Глава 5

На столе переговорной №3 стопкой стояли перенесенные из серверной мои «орудия труда» – пять тюнингованных ноутбуков, набитых программами на все случаи жизни. Тюнинг, собственно, заключался в замене стандартных винчестеров заказными максимальной емкости. Да, и еще модернизирована система охлаждения: терпеть не могу, когда из приятной дремы тебя выводит рев внезапно проснувшегося вентилятора.

– Почему у одного ноутбука красная крышка? – интересуется Dark. – Это случайность или что-то означает?

– Так маркируется эталонный компьютер, он никогда не участвует в работе, а служит для восстановления боевых в случае чего.