Меня зовут Иоганн Бек. Я сотрудник службы собственной безопасности таможенной службы империи. Сейчас я обучаюсь в аспирантуре Академии таможенной службы на кафедре защиты информации. Именно поэтому я и попал в данную историю.
Все началось в один солнечный осенний день. Я только что пришел на службу, включил компьютер, разложил на столе документы. И вдруг...
— Иоганн, срочно, бросай все к черту! Тебя вызывает начальник! Срочно! — закричал дежурный.
— Сейчас, я только документы уберу.
— Какие к черту документы! Он сказал срочно и бегом!
— Ладно-ладно, пошел.
В кабинет начальника я вошел с опаской. Он был известен своим дурным характером и буйным нравом, обожал орать на всех.
Начальник встретил меня необычайно вежливо и вид у него был несколько испуганный. Вместе с ним в кабинете стоял еще один человек в форме таможенной службы, но я его не знал.
— Иоганн Бек? Предъявите удостоверение! — громко сказал неизвестный. Затем он взял его в руки, что-то внимательно рассматривая.
— Вам пакет, распишитесь, укажите дату и время получения, — сказал он, протянув мне пакет.
Я расписался и удивленно посмотрел. Ничего себе, пакет из канцелярии руководителя службы собственной безопасности.
Неизвестный вышел из кабинета, заметив, что нам с руководителем есть что обсудить.
В пакете лежал приказ об откомандировании меня в составе группы сотрудников собственной безопасности для проведения расследования в город А.
В тот же вечер я убыл поездом в маленький город А, стоящий на границе.
Как мне рассказали утром оперативники из нашей группы, в таможне города А было совершено должностное преступление, в котором обвинили нашего сотрудника из отдела СБ. Якобы с его компьютера был совершен вход в центральную базу данных и закрыта декларация, по которой груз без растаможки убыл через границу обратно. Однако, как оказалось позже, никакой груз границу не пересекал, а декларация была закрыта незаконно и ущерб составил почти 900 000 имперских реалов.
Нашей задачей было выяснить, действительно ли виноват наш сотрудник и вообще, как стало возможным такое преступление.
На вопрос как мы смогли найти ответ уже утром. Оказалось, что декларация была закрыта от имени сотрудника, который уволился на предшествующей неделе, а так как перерегистрация сотрудников проводилась раз в неделю (централизованно), то его логин и пароль были еще действительны. Другой ошибкой было централизованное выделение логинов и паролей, которые приходили на таможню в секретный отдел в открытом виде. Выдавал их пользователям сотрудник секретного отдела, который фактически имел доступ ко всем логинам и паролям данной таможни в центральную базу данных.
Надеюсь, у вас все пароли пользователи выбирают себе сами? Или все же их до сих пор генерирует кто-то и выдает на руки? Такая ситуация встречалась мне вживую, увы.
Таким образом стало понятно, что утечка пароля могла быть как со стороны уволившегося сотрудника, так и со стороны секретчика.
Теперь настала очередь анализа логов сервера, а был ли вообще сотрудник СБ на службе в тот день?
Как оказалось, в момент совершения преступления сотрудник СБ официально числился на больничном, но, к сожалению, в таможне нередкой была ситуация, когда сотрудников с больничного вызывали на работу. Естественно, для того чтобы избежать ответственности, это нигде не фиксировалось.
Я предложил, чтобы один из нас проанализировал логи на сервере, а второй — проанализировал временные файлы Интернета, ведь доступ в центральную базу осуществлялся через браузер.
Через два часа выяснилось, что сотрудник СБ ни в этот день, ни в предыдущий на службе не был, а так как был зарегистрирован вход именно через служебный IP, следовательно, он тут был ни причем.
Еще через день нам удалось найти компьютер, на котором, единственном, никаких временных файлов и логов не было вообще. Они были просто вытерты. Таким образом компьютер-то мы нашли, а вот кто именно за ним сидел?
Доступ к нему имели три человека и тут уже дело продолжили оперативники из нашей группы. Злоумышленник был найден, а сотрудник СБ, которого подозревали, вышел на свободу.
К чему все это? На самом деле сотрудникам СБ, да и пользователям, нужно понимать, что анонимности в Интернете — нет. Практически почти всегда мы можем обнаружить устройство, за которым работал злоумышленник. Гораздо сложнее доказать, кто же именно за ним работал. Поэтому получается, что с одной стороны анонимности в Интернет нет, а с другой — весьма сложно узнать кто же именно преступник.