Вася и банкоматы

В некотором царстве, в некотором государстве жил-был Вася.

Поскольку сказочка у нас с налетом киберпанка, не обойдется и без Корпорации. Вернее, крупного банка, где Вася работал инженером по банкоматам -- открой-закрой-пинпад протри-винду переставь.

На самом деле, с Васей каждый из вас знаком -- он такой есть почти в каждой компании - невысокий, не очень молодой, нервный, постоянно находящийся в центре самых глупых историй, какие себе только можно представить. И ни в чём он, по большому счёту, был не виноват, но любой сказке нужен главный герой (а герои киберпанк-сказок все в чем-то Васи), а авторам ничто человеческое не чуждо, и удержаться от того, чтобы поставить Васю в центр этой истории, решительно невозможно.

Долго ли коротко ли, а приходит в информационную безопасность банка инцидент: подошли к банкомату в пятницу вечером два гражданина в низко надвинутых бейсболках, открыли ключом (который один на все банкоматы) корпус и стали внутри ковыряться. За этим делом их виртуально застал помощник оперативного дежурного СБ банка, который коротал вечер за тем, что медитативно листал направленные на банкоматы камеры. Застал и проделал единственное, что позволял ему наклеенный над монитором скрипт: произнёс в громкоговоритель "Уважаемый клиент, если у вас возникли проблемы с банкоматом, обратитесь пожалуйста в службу поддержки банка".

Граждане в бейсболках, если и испытали прилив нежности от проявленной заботы, никак это не проявили и, конечно, в службу поддержки не пошли, а продолжили сами ковыряться в недрах. Но на голос дёрнулись и на секунду показали лица и то, что в руке у одного из них, -- компакт-диск. Покопались они в банкомате, ушли. Потом вернулись, снова устройство открыли, ещё покопались. Ну и, наконец, ушли с концами.

А дальше инцидент отмечен закрытым, потому что приехал через пару дней туда инженер Василий. Банкомат открыл, к компьютеру клавиатурой подключился, Kaspersky virus removal tool с флешки запустил. А тот на банкомате вирус нашел и удалил. О чём Василий рапортует - скриншот прикладывает.

Немало в ИБ банка таким раскладам удивились. Инцидент открыли обратно, с департаментом платёжных систем связались, попросили достать жесткий диск из банкомата и для дальнейших разбирательств привезти. Пришлось преодолеть недопонимание "ну как же мы оттуда диск заберём, он же работать перестанет". И даже голос повысить пришлось.

Заполучив диск, начали первым делом смотреть дату и время, когда граждане в бейсболках копались в банкомате. И представьте себе -- ничего. Файлы не менялись, реестр не менялся, компьютер не перезагружался. Видать, сложный вредонос, вон как хорошо маскируется. А может, и не маскируется. А может, и нет никакого вредоноса. Глянем-ка на те файлики, которые Касперский, если верить Васиному скриншоту, удалял.

Ага. Вот Василий вставляет флешку Кингстон 32Гб... Вот появляются два файла... Вот Касперский их удаляет.

Про вирус, кстати, на вируслисте уже посмотрели. Никакого он отношения к банкоматам не имеет. Умеет воровать кошельки вебмани и пароли от VK.

А ну-ка, Вася, неси сюда свой Кингстон 32Гб. Не несёт. Это, говорит, флешка моя личная. Нет, Вася, ты не понял. Она уже не твоя, а банковская. А там, даст бог, и вещественным доказательством станет, к делу степлером подшита будет. А если ты её нам не принесёшь, то и тебя вместе с ней подошьют. За ухо.

Вася, как про степлер услышал, так флешку принёс. И даже пояснил, что никуда её лишний раз не вставляет, проблему понимает. Только в банкоматы и в домашний компьютер, "но дома у меня Касперский".

На флешке следы искомых файлов -- в большом количестве. Они там появлялись и исчезали. Днём появлялись, а вечером, часов около одиннадцати, удалялись. Как по волшебству кибер-сказочному. Не соврал Вася, на домашнем компьютере и вправду Касперский. Работает, лапочка. А вирус Вася приносит домой с работы. То есть сеть банкоматов давно и наглухо этим самым вирусом заражена, а носитель у нас -- Вася, то бишь его флешка.

Этот домашний васин Касперский, на самом деле, очень помог. Каждое утро Вася приходил на работу с чистой флешкой, и это позволило граф распространения вируса разделить на короткие отрезки и быстро корневую вершину восстановить.

Нулевым пациентом оказался банкомат в одном из отделений, расположенном подозрительно близко к офису, в котором департамент платёжных систем и сидел. А на диске этого банкомата -- как на ладони -- вся печальная история: в один солнечный (наверняка) день вставляется васина флешка. Пока ещё чистая. А потом сразу после этого -- ещё чья-то. Вот появляются на диске два пресловутых файлика, дело сделано. Кто это такой был вместе с Васей? Долго гадать не пришлось, в журнале васиных поездок всё записано: инсталлятор из компании, которая писала софт для внутреннего видеонаблюдения банкоматов. Пришел разворачивать пилотный проект, а на тестовом банкомате не смог -- слишком железо и софт старые. И вот его ничтоже сумняшеся повели в отделение на "боевое" устройство.

Дело раскрыто, Вася с коллегами ездят накатывают на все затронутые инцидентом банкоматы винду по новой, а вы, наверное, хотите спросить, как там граждане в низко надвинутых бейсболках, с которых мы своё повествование начали? А они с технической проблемой столкнулись, потому и возвращались два раза. На компьютере в этом банкомате -- кнопка открытия CD-привода сломана была. Открывать надо было чем-то острым, до чего они не догадались и привод открыть не смогли. Ну, зато другой инцидент, как вы видите, нам раскрыли, а заодно банку на васиной тринадцатой зарплате сэкономили. Что, само по себе отдельная проблема, но о ней в следующий раз.