Сказки о безопасности: Расследование на таможне

Сказки о безопасности: Расследование на таможне

Меня зовут Иоганн Бек. Я сотрудник службы собственной безопасности таможенной службы империи. Сейчас я обучаюсь в аспирантуре Академии таможенной службы на кафедре защиты информации. Именно поэтому я и попал в данную историю.

Все началось в один солнечный осенний день. Я только что пришел на службу, включил компьютер, разложил на столе документы. И вдруг…

— Иоганн, срочно, бросай все к черту! Тебя вызывает начальник! Срочно! — закричал дежурный.

— Сейчас, я только документы уберу.

— Какие к черту документы! Он сказал срочно и бегом!

— Ладно-ладно, пошел.

В кабинет начальника я вошел с опаской. Он был известен своим дурным характером и буйным нравом, обожал орать на всех.

Начальник встретил меня необычайно вежливо и вид у него был несколько испуганный. Вместе с ним в кабинете стоял еще один человек в форме таможенной службы, но я его не знал.

— Иоганн Бек? Предъявите удостоверение! — громко сказал неизвестный. Затем он взял его в руки, что-то внимательно рассматривая.

— Вам пакет, распишитесь, укажите дату и время получения, — сказал он, протянув мне пакет.

Я расписался и удивленно посмотрел. Ничего себе, пакет из канцелярии руководителя службы собственной безопасности.

Неизвестный вышел из кабинета, заметив, что нам с руководителем есть что обсудить.

В пакете лежал приказ об откомандировании меня в составе группы сотрудников собственной безопасности для проведения расследования в город А.

В тот же вечер я убыл поездом в маленький город А, стоящий на границе.

Как мне рассказали утром оперативники из нашей группы, в таможне города А было совершено должностное преступление, в котором обвинили нашего сотрудника из отдела СБ. Якобы с его компьютера был совершен вход в центральную базу данных и закрыта декларация, по которой груз без растаможки убыл через границу обратно. Однако, как оказалось позже, никакой груз границу не пересекал, а декларация была закрыта незаконно и ущерб составил почти 900 000 имперских реалов.

Нашей задачей было выяснить, действительно ли виноват наш сотрудник и вообще, как стало возможным такое преступление.

На вопрос как мы смогли найти ответ уже утром. Оказалось, что декларация была закрыта от имени сотрудника, который уволился на предшествующей неделе, а так как перерегистрация сотрудников проводилась раз в неделю (централизованно), то его логин и пароль были еще действительны. Другой ошибкой было централизованное выделение логинов и паролей, которые приходили на таможню в секретный отдел в открытом виде. Выдавал их пользователям сотрудник секретного отдела, который фактически имел доступ ко всем логинам и паролям данной таможни в центральную базу данных.

Надеюсь, у вас все пароли пользователи выбирают себе сами? Или все же их до сих пор генерирует кто-то и выдает на руки? Такая ситуация встречалась мне вживую, увы.

Таким образом стало понятно, что утечка пароля могла быть как со стороны уволившегося сотрудника, так и со стороны секретчика.

Теперь настала очередь анализа логов сервера, а был ли вообще сотрудник СБ на службе в тот день?

Как оказалось, в момент совершения преступления сотрудник СБ официально числился на больничном, но, к сожалению, в таможне нередкой была ситуация, когда сотрудников с больничного вызывали на работу. Естественно, для того чтобы избежать ответственности, это нигде не фиксировалось.

Я предложил, чтобы один из нас проанализировал логи на сервере, а второй — проанализировал временные файлы Интернета, ведь доступ в центральную базу осуществлялся через браузер.

Через два часа выяснилось, что сотрудник СБ ни в этот день, ни в предыдущий на службе не был, а так как был зарегистрирован вход именно через служебный IP, следовательно, он тут был ни причем.

Еще через день нам удалось найти компьютер, на котором, единственном, никаких временных файлов и логов не было вообще. Они были просто вытерты. Таким образом компьютер-то мы нашли, а вот кто именно за ним сидел?

Доступ к нему имели три человека и тут уже дело продолжили оперативники из нашей группы. Злоумышленник был найден, а сотрудник СБ, которого подозревали, вышел на свободу.

К чему все это? На самом деле сотрудникам СБ, да и пользователям, нужно понимать, что анонимности в Интернете — нет. Практически почти всегда мы можем обнаружить устройство, за которым работал злоумышленник. Гораздо сложнее доказать, кто же именно за ним работал. Поэтому получается, что с одной стороны анонимности в Интернет нет, а с другой — весьма сложно узнать кто же именно преступник.

Мысли вслух Разное Сказки для безопасников Статьи
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Владимир Безмалый

О безопасности и не только