Вторжение

Ба, еще один организатор-координатор! Ладно, шучу. Куда мы от них, менеджеров, денемся?
— Это наш системный администратор Serg, он зарегистрирует вас в системе и предоставит необходимые права доступа.
Интересно, а не тот ли это сисадмин, про которого рассказывал Max? Опять шучу, сейчас этих сисадминов развелось, как собак нерезаных, правда, далеко не все из них достойны так называться. Посмотрим — увидим.
— Я Frodo, Управление «К» МВД России, — сказал Frodo.
— Я Arthur, компьютерный детектив, — легонько помахал ручкой я.
— Chuck, мы с Troll будем осуществлять силовую поддержку, — скромно отозвался «оперативник».
Откуда они — все, видимо, сами должны догадаться; понятное дело — чекисты.
Ну вот и познакомились, пора брать быка за рога.
— Mick, расскажи в двух словах о краже, как это произошло, сколько взяли.
— Величину ущерба мы пока точно сами не знаем, сейчас известно о четырех платежках, но могут быть и другие. Но поверьте, речь идет об ОЧЕНЬ большой сумме. Все платежки оформлены разными операционистами, причем те утверждают, что этих документов не готовили. Деньги ушли через SWIFT , мы пытались отозвать, но ничего не получилось, их сняли буквально в течение часа. Сейчас в банке идет выверка по полной программе, результаты планируем получить завтра утром.
— С этими операционистками уже работают, — внес свою лепту Chuck, сделав акцент на букву «к».
— А как организована сеть банка? — это уже к Serg.
— Достаточно традиционно, внутрибанковская сеть разбита на два сегмента — пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты, а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с Интернет-компьютерами, но он не связан с корпоративной сетью.
— В DMZ установлена система обнаружения атак?
— Да, но никаких следов проникновения или даже разведки не обнаружено.
— Может быть, все аккуратно подчищено?
— Вряд ли, все логи хранятся на специальном сервере, который отделен от DMZ своим файерволом и принимает только on-line запросы на сохранение записей. Демон чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Этот файервол, так же как и сам сервер аудита, администрируются только сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.
— Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?
— Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.
— Антивирус ничего не даст, во взломах такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на всех эвристических анализаторах.
— У нас стоит система, которая не пропускает внутрь любой активный контент. Все исполняемые модули, скрипты и даже неопознанные компоненты блокируются, внутрь проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.
— Так все гладко излагаешь, что даже скулы сводит. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все, что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?
— Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, доступ к логам у администраторов только на чтение.
— Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.
— Тотальная проверка всех сотрудников банка нереальна в такие сроки, — возразил Chuck. — Нам нужны хоть какие-то зацепки, чтобы сузить круг.
— Будем искать зацепки. Нам нужно, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от всех внешних сетей?
— Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, — сказал Mick.
— Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.
— Да, конечно, вся документация имеется и будет вам предоставлена.
Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот случай, такие суммы и сантименты несовместимы. Неужели нелепая случайность — лезли развлечься и не удержались, увидев колоссальные деньги? Сомнительно — чтобы провести платежи подобных размеров, необходимо хорошо разбираться в банковских технологиях; да еще и момент улучить, когда на корсчете имеются нужные средства. Скорее всего, все-таки брали свои.