Frodo резко перехватил руку администратора, телом оттеснив его на всякий случай от системного блока.
– Ты что, осатанел?! – заорал я. – Это же софтовый15 выключатель, Диспетчер перехватит его и самоуничтожится!
Frodo выдернул кабель питания из розетки.
– Finita la comedia!
– Надеюсь, ты не против, что мы вытащим из него винчестер? – злобно спросил я админа.
Спросил так, чисто для проформы. Попробовал бы он быть против!
– Frodo, смотри, какой любопытный шнурочек связывает этот системный блок с соседним! Dark, что это за компьютер?
– Судя по названию, рабочее место с выходом в Интернет.
– Вот и разгадка всех чудес, эта гнида соединила банковскую сеть с публичной, и влезли именно здесь. Теперь понятно, почему в DMZ не было никаких следов!
– Совершенно очевидно, что хмырь завязан в деле, и Диспетчер не случайно облюбовал его компьютер, – заметил Frodo. – Пошли, думаю, Chuck будет очень доволен.
– Кстати, нужно вытащить винт16 и из этого интернет-компа.
Мы, не торопясь, пешочком, спустились на первый этаж и вернулись в переговорную №3. Все-таки жизнь прекрасна и удивительна! Мастерство не пропьешь, как ни старайся. Всего за шесть часов мы выполнили программу-максимум. Неплохо, совсем неплохо, надо будет сейчас же позвонить шефу.
Mick по-прежнему сидел за банковским компьютером, Chuck в углу висел на своем спецтелефоне, а Troll, по-моему, так и не двинулся за все это время с места.
– Mick, надеюсь, шампанское и девочки за счет банка? – весело спросил я.
Chuck обернулся на звук моего голоса, лицо у него выглядело несколько растерянным.
– Владелец компьютера U-000646 найден в своей квартире убитым, – сказал он.
Глава 7
Рубят концы, как и следовало ожидать. Теперь вся надежда на то, что удастся найти в Диспетчере какие-то выходы на хозяина. Хотя что-то мне подсказывает – не выйдет из этого ни черта.
Когда противник достойный, я всегда ставлю себя на его место, чтобы предсказать, какие действия тот предпримет. Получается почти всегда. Итак, что бы я сделал на месте Диспетчера? Потеряв связь с хозяином, а по этому признаку можно предположить, что за мной началась охота, я бы сразу уничтожил следы, ведущие к боссу, и перешел на пассивный режим работы. Если хозяин захочет (и сможет) – сам со мной свяжется. Значит, на этот случай нам нужно организовать засаду: на место Диспетчера заслать своего казачка. Кроме того, хозяин и Диспетчер должны как-то опознать друг друга, для этого последний хранит у себя некий секретный элемент типа криптографического ключа. Вот этот самый ключ нам и необходимо каким-то образом выудить.
Но вначале нужно освободить сегмент пользователей.
– Dark, мы приступаем к зачистке последнего участка, на тебе лежит большая ответственность. Во-первых, нужно еще раз убедиться, что абсолютно все компьютеры пользователей включены, во-вторых, уничтожить все резервные копии, с которых можно будет эти самые компьютеры восстановить. В противном случае банк неизбежно нарвется на рецидивы. Первое необходимо сделать немедленно, второе – после зачистки, если не будет никаких сюрпризов.
Админ молча кивнул.
– Ну что, пленных не берем? – спросил Frodo.
– Да, запускай Терминаторов.
Терминатор обучен действовать очень жестко. Вламываясь в компьютер, он начинает гасить без разбора все процессы, оставляя только те, без которых не может работать операционная система. Затем рубит хуки и коллбэки, которые может установить противник, чтобы сохранить контроль над компом. И последним шагом Терминатор вычищает из полуживой операционки все подозрительные объекты автозапуска.
К сожалению, не обходится порой без последствий. Часть пользователей, которые придут завтра на работу, обнаружат глюки в драйверах и приложениях. Ничего не поделаешь, как говорится, лес рубят – щепки летят. Собирать эти щепки будет Dark с коллегами – ничего, за недельку справятся. Зато нам с Frodo сейчас значительно проще, ломать – не строить.
Теперь можно приступать к вскрытию подобранных на поле боя тел павших воинов. Не самая легкая и приятная часть нашей деятельности, но ничего не поделаешь – служба есть служба. А вот в плохом кино непременно сказали бы: «Люблю я эту работу!»
Вот они, голубчики, лежат рядком, любо-дорого смотреть, вся банда в сборе – Диспетчер, Исполнитель, Диверсант, Киллер и Сниффер с Антисниффером. В принципе, интересуют нас только первые трое, остальные – стандартные кибербойцы. Да и Диверсант – постольку поскольку, просто интересно посмотреть, как он ухитрился залезть в наши ноутбуки, преодолев нехилую эшелонированную оборону. Так сказать, удовлетворить собственное любопытство за казенный счет.
Самое интересное – в Диспетчере, его мы будем исследовать на предмет выхода на хозяина и в целях организации засады. А Исполнитель расскажет нам, каким образом удалось внедриться в банковскую систему и провести платежи.
Так же как хирург раскладывает перед операцией сверкающие никелем инструменты, разложим свои и мы. «Как патологоанатом» – скажет кто-то и будет категорически неправ. Ведь нам ничего не стоит воскресить наши «трупы», только мы этого делать, естественно, не будем – потом хлопот не оберешься. А в случае с Диспетчером мы, в точности как настоящие хирурги, прооперируем его: что-то вырежем, кое-что вставим, и станет он у нас теперь не шпионом, а разведчиком. Под наркозом, конечно, мы же не звери.
А вообще, сравнение с хирургией совсем не случайно, ведь боевая киберсистема устроена почти так же, как человеческий организм. Диспетчер – его мозг, Исполнитель, Диверсант и Киллер – конечности, Сниффер – органы чувств, нервная система – TCP/IP-соединения. Есть даже детородные функции, хорошо еще, что для размножения не требуется партнер, представляете, какой был бы киберсекс! Так и стоит перед глазами эта картинка – вы написали программу, поручили ей обработать какие-то данные и спокойно отлучились, потом приходите, а она, бросив все, свалила, оказывается, на цифровую гулянку. Ну и что будете делать, как прикажете воспитывать это детище? Вот смех-то!
Ну-с, шутки в сторону, приступим к операции.
Вот они, наши любимые инструменты – декомпиляторы, отладчики, эмуляторы, двоичные редакторы, различные трассировщики и прочие штучки-дрючки.
Главный инструмент – это, конечно же, отладчик, практически он объединяет в себе скальпель и зажим. Но в отличие от хирургов, мы сначала ставим зажимы, точки останова, и только потом режем – Go! Ну, спирт и огурец, естественно, абсолютно те же самые.
Вы спросите, а почему бы просто не дизассемблировать17 этого Диспетчера и изучить спокойно его текст, не прибегая к операции? Да, вы правы, декомпилятор у нас заменяет все эти УЗИ, рентгены и томографы. Только, как и в реале, диагностика помогает лишь в самых простых и типичных случаях.
У дизассемблера ведь, как обычно, две беды: фон Нейман (хотя он был далеко не дурак) и шифратор (вот этот имеет-таки к кибердороге самое прямое отношение).
– При чем здесь эти люди? – спросите вы. А вот при чем.
Джон (он же Йоганн, он же Янош Лайош) фон Нейман – американский (он же немецкий, он же венгерский) математик, известен как отец традиционной компьютерной архитектуры, в которой программы и данные хранятся в одной памяти.
Фон Нейман был прирожденным аналитиком, рассказывают, что в детстве, в отличие от обычных ботаников, он брал в туалет не одну, а сразу две книги в расчете на то, что первой может в случае каких-то затруднений не хватить.
На самом деле архитектура фон Неймана была творением достаточно большой группы исследователей, работающих над проектом компьютера EDVAC. В эту группу входили очень известные люди, в частности, разработчики первой электронной вычислительной машины ENIAC Джон Мочли и Преспер Эккерт. Джон фон Нейман был консультантом проекта, он же подготовил предварительный отчет под названием «First Draft of a Report on the EDVAC», который стал первой широко известной работой по компьютерам.
Несмотря на то, что архитектура EDVAC сформировалась в результате обсуждений внутри группы еще до того, как фон Нейман подключился к проекту, армейский куратор Герман Голдстайн, напечатавший отчет, поставил на обложке только его имя.
Кстати говоря, почему этот отчет стал широко известен, тоже очень большой вопрос. Дело в том, что EDVAC, так же как и большинство компьютерных проектов того времени, разрабатывался в интересах вооруженных сил и был строго засекречен. С какой стати тот же самый Голдстайн разослал копии документа в университеты США и Великобритании, совершенно непонятно.
Так что о том, кого персонально нужно «благодарить» за изобретение архитектуры, с которой мучились потом многие поколения инженеров и программистов, история умалчивает, но уж точно не фон Неймана.
Так вот, поскольку программы и данные находятся в одной памяти и в принципе ничем не отличаются друг от друга, дизассемблер не может их разделить и переводит в исходный текст любую белиберду, попавшуюся ему на пути.
Чтобы еще больше осложнить дело, создатели боевых киберпрограмм обычно шифруют их код, причем шифруют многократно. То есть Диспетчер в начале своей работы, скорее всего, расшифровывает какой-то фрагмент программного кода, который, в свою очередь, расшифровывает следующий блок, и так далее до посинения. Поэтому без хирургического вмешательства нам никак не обойтись.
В принципе, исследование боевого робота отладчиком сильно напоминает эндоскопию с той лишь разницей, что ты заранее не знаешь, куда этот самый эндоскоп вставлен. Приходится ориентироваться на месте.
Стало быть, помещаем Диспетчера в своего рода песочницу – программную среду, которая полностью контролирует его работу. Это необходимо, чтобы блокировать всякие зловредные действия, ну и просто для ориентировки. Затем с помощью отладчика устанавливаем остановы в различных критических точках и ныряем в код. Как только какое-либо событие срабатывает, выныриваем в отладчик, осматриваемся (привет эндоскопу) и разбираемся, что творит Диспетчер. И так до тех пор, пока не изучим в подробностях все его принципиальные части.
Затем нам придется ампутировать те органы Диспетчера, которые отвечают за взаимодействие с боевыми роботами, они нам совершенно ни к чему. А вот модули, работающие с хозяином и Исполнителем, подвергнутся только косметической коррекции: нам нужно просто контролировать эти контакты.
И в заключение помещаем перевербованного Диспетчера на компьютер U-000646, откуда он был ранее так безжалостно изъят.
Теперь дело за коллегами Frodo, они будут неусыпно пасти Диспетчера в расчете на то, что хозяин с ним свяжется. Если это произойдет, попытаются вычислить, где последний находится. Хакер будет, естественно, прыгать с сервера на сервер, из страны в страну, но ребята из Управления «К» тоже не лыком шиты. Подключат провайдеров, Интерпол и, скорее всего, найдут. Здесь важно продержаться как можно дольше, пока хозяин не заподозрит, что он под колпаком.
А может, наши смежники будут действовать по-другому, просто позволят снять очередную сумму, проведут платеж под своим контролем через многочисленные промежуточные операции и возьмут паразитов тепленькими при снятии денег. Хотя есть риск – здесь работа идет с реальными деньгами, никакая «кукла» не прокатит. Такой вот парадокс, электронные деньги иногда бывают гораздо вещественнее купюр, хотя и не пометишь их никак, и даже номеров не перепишешь. В общем, им, операм, виднее.
Теперь можно взяться и за Исполнителя, нужно разобраться, наконец, что и как он натворил. Вставляем ему наш «эндоскоп» и погнали. Через какое-то время картина проясняется – всего планировалось провести шесть платежей, значит, два у нас еще в перспективе. Это хорошо – увеличиваются шансы, что хозяин вернется. Да и нам неплохо – все-таки удалось сэкономить банку немного деньжат. Правда, похищенные на данный момент суммы вполне потянут на годовой бюджет небольшого государства, но здесь уж ничего не попишешь.
Остается один мелкий вопрос: как Исполнителю удалось залезть в банковскую систему и выдать себя за операционистов? Ничего особенного, эксплуатация очередной уязвимости в широко распространенной операционной системе одной хорошо и печально известной компании. Получив таким образом права суперпользователя18, он перехватил пароль администратора баз данных и просто добавил нужные записи в главную бухгалтерскую книгу.
Кстати, подавляющее количество взломов компьютерных систем является прямым следствием той самой фон Неймановской архитектуры, ведь самая распространенная техника проникновения – тривиальное переполнение буфера. Допустим, программист зарезервировал под принимаемые данные один килобайт памяти, этого должно хватить для любого осмысленного запроса. Если он забудет проконтролировать размер помещаемых в буфер данных, хакер впендюрит туда несколько больше, затерев таким образом либо исполняемый код, либо, чаще всего, адрес возврата (так называемая технология срыва стека). В переданных данных располагается на самом деле программа, которая и выполняет необходимые хакеру действия.
Так что в кибернетическом беспределе, творящемся сегодня в Интернете, на самом деле виновата прежде всего злополучная команда EDVAC.
В общем, пора подводить черту. Расследование завершено, Управление «К» работой загружено, остается только ждать и молиться.
А меня вот сильно занимает совсем другой вопрос: как насчет рецидивов? Нет, не в «Омеге», здесь враг больше не пройдет. Но злоумышленник такого уровня вполне может проявиться в других местах и с такими же последствиями. Ждать ли очередной атаки?
С одной стороны, получив баснословные деньги, самая правильная тактика – затаиться, а может и вообще отойти от дел, хватит ведь всем участникам налета и на всю оставшуюся жизнь. С другой стороны – чем черт не шутит.
А что, если это разборки на межгосударственном уровне, уж больно сумма неимоверная. А что, если это начало третьей мировой войны?
Интересно, кто сформировал общественное мнение о том, что третья мировая – это термоядерные бомбы и баллистические ракеты? Наверное, генералы, а генералы, как известно, всегда готовятся к прошедшей войне. Из этого делаем очевидное логическое заключение – той войны, к которой готовятся генералы, уже никогда не будет.
Поэтому заканчивайте копать бункеры на дачах и запасаться противогазами вместе со средствами дезактивации. Хотя нет, как раз противогаз вам вполне может пригодиться, особенно если вам посчастливилось жить на двадцать втором этаже, а пожарные лестницы в Москве достают максимум до семнадцатого.
Одна беда: противогазы-то бывают разные, и как раз наиболее распространенные, предназначенные для защиты от оружия массового поражения, крайне неэффективны при пожаре. Самое главное – они не поглощают угарный газ, не говоря уже о том, что требуют наличия в воздухе кислорода, который как раз сгорает в первую очередь. Поэтому, я вас умоляю, если уж озаботились приобретением противогазов – не тащите их из соседней школы, не пожидитесь, купите так называемые самоспасатели, это самый простой и надежный вариант. Не дай бог, конечно. Но пусть они лучше будут и никогда вам не понадобятся.
Никто не знает сейчас, какой будет третья мировая, даже гениальный Эйнштейн не знал этого. Тем более что она может пройти достаточно незаметно.
Вот взять, к примеру, холодную войну. Наверное, на третью мировую она не потянет, а вот на двухсполовинную – вполне. Судите сами – «коммунистическая угроза» ликвидирована, Советский Союз развален, а Россия из империи победившего социализма превратилась в страну развивающегося капитализма и практически перестала быть стратегическим противником США. Нет, не в смысле ядерного противостояния, а по степени влияния на мировую политику и экономику. Дело сделано, цель достигнута, ну и какая разница, что без шума и гама, без жертв и разрушений? И что для этого потребовалось? Да, в общем-то, практически ничего, сущие копейки: организовать маленькую непобедоносную войну, усилить естественные центробежные устремления, выделить несколько Нобелевских премий.