Полная версия
Сорок секунд. Книга 1. Слепая зона
Схема.
Незаконченная, одна ветвь обрывалась, рядом вопросительные знаки, левее стрелка, ведущая в никуда. По краям мелкие пометки, часть зачёркнута.
Но это была не та абстрактная схема, которую он чертил во время разговора. За три часа разговора о МРВ-Р она уже знала структуру: приёмный модуль, блок верификации, регистры режимов, цепочка активации.
В центре что-то, чего не было в том, о чём он говорил. Небольшой узел, выделенный двойным контуром. К нему шли две линии, но обе оборванные. Рядом что-то мелко написано, с расстояния коридора не разобрать.
Арина смотрела две, может быть, три секунды.
Рябов стоял в метре от неё, лицом к прихожей, спиной к кухне. Он не видел её взгляда.
Она отвернулась.
– До свидания.
– До свидания.
По лестнице вниз, мимо запаха чужой еды, и радиатора, из подъезда. Мороз ударил сразу.
Тридцать метров до машины. Фонари стояли через равные промежутки. В окнах корпусов свет убывал. Текла гормальная жизнь в правильно спроектированном месте.
Арина открыла машину и села. Несколько секунд держала руки на руле в темноте.
Он отвечал на всё, но ровно на то, что она спрашивала. И ни разу за всё время не предложил того, о чём она не спросила прямо. Буфер между верификацией и подтверждением доли секунды, технически необходимый. Закрыл тему её же формулировкой.
Кроме одного момента у окна. Кроме девятнадцатого цикла, который он провёл сам, в нерабочее время. Это он сказал без её вопроса.
Почему именно это?
Арина завела двигатель, фары осветили на дорожку аллеи. За КПП начинались сосны, за ними дорога, а там город, который в полночь принадлежит тем, у кого есть причина не спать.
Схема была незаконченной.
Это могло значить, что он ещё не знает, что рисует.
Или знает, но ещё не решил, рисовать ли до конца.
Глава 5. Цифровой след
Запрос на логи Арина отправила утром.
Формально через внутреннюю систему заявок по стандартной форме ЗП-7. Она понимала, что через пятнадцать минут после того, как заявка попадёт в очередь, кто-то в IT-отделе её откроет, прочитает и поймёт, что именно запрашивается. Операторы обрабатывают запросы вручную. Автоматическая маршрутизация документов с грифом выше второго уровня давно признана уязвимой.
Она запросила журналы доступа к проектной документации МРВ-Р за два года. Все категории: техническая, конструкторская, эксплуатационная. Каждый вход в систему, каждое открытие папки и просмотр с загрузкой. Кто, когда и с какого терминала.
Нормативное время исполнения таких запросов составляет сорок минут. За три года в ЗАСЛОН она запрашивала технические журналы семь раз. Самый долгий ответ занял сорок шесть минут, и тогда оператор приложил к письму извинительную записку: серверная нагрузка в связи с плановым обновлением кластера.
Арина отправила запрос и вернулась к материалам, которые уже лежали перед ней.
Кабинет на четвёртом этаже в документах значился как «аналитический бокс №3». Два метра стол, металлический шкаф с кодовым замком, жалюзи с погнутой направляющей, которые не открывались до конца. Арина не просила их починить, работала с опущенными.
Стол был покрыт документами в три слоя.
Первый, это распечатки с Мурманск-7: протоколы Семёнова и Чурикова, хронология инцидента, журнал СКАН-51 за ночь. Второй – лабораторные результаты от Сажина, которые пришли раньше обещанного: пробы льда в секторе А-7 показали термическое воздействие на два участка в радиусе восьмисот метров от центральной точки, глубина нагрева в кристаллической решётке соответствовала температурному импульсу от кратковременного высокоэнергетического события. По-человечески: взрыв был, но небольшой и направленный. Не то, что остаётся после восьми машин с полными баками.
Третий слой – реестровые данные. Двадцать четыре взрывателя, шесть партий, сектор А-7, с октября по январь. Ответственный конструктор в каждой строке один и тот же.
Она открыла блокнот и записала:
Вопрос 1: кто знал, что переключить режим возможно? Вопрос 2: кто имел технические средства для передачи нестандартной команды? Вопрос 3: кто имел доступ к документации, достаточный для того, чтобы понять и первое, и второе?
Логи это ответ на третий вопрос. Он оставляет след в системе, в отличие от первых двух.
Она отложила блокнот, взяла отчёт Сажина. Перечитала абзац про термический импульс. Мощность детонации составляем двадцать-тридцать процентов от максимума МРВ-Р. Контролируемая и направленная. Кто-то не хотел большого взрыва, только хотел уничтожить борт точно, без лишнего шума. Так, чтобы система не зафиксировала тепловой след и чтобы поисковая группа ничего не нашла.
Она дописала: Вопрос 4: зачем?
Не следственный вопрос, а то, что оставалось под поверхностью всего с пяти утра позавчера.
За стенами кабинета слышалось здание: приглушённые голоса, звук принтера на третьем этаже с характерным механическим всхлипом раз в несколько секунд. Обычное утро. Люди шли на совещания, загружали системы, пили кофе из автомата.
Ответа из IT не было.
В десять часов она заварила растворимое кофе из банки, которую держала в ящике стола. Это был тот день, когда выходить из кабинета нецелесообразно.
Она вернулась к материалам октябрьского инцидента. Восточный-2 это не диспетчерский пост, а технический узел, там хранилось и обслуживалось оборудование плановых конвоев сектора Б-3. Пять бортов с промышленным грузом. Никого на борту.
Технический журнал базы за тот период. Аномалия в СКАН-51 фиксировалась, но оперативный дежурный интерпретировал её как помеху от атмосферного разряда, в октябре это было правдоподобно. Борты пропали с экрана. В журнале: атмосферные условия, рекомендуется профилактический осмотр в плановом порядке.
Осмотр так и не был проведён.
Диагностика не проводилась. Три слова, написанные рукой Слуцкого. Она думала об этих трёх словах с той минуты, как увидела их впервые. Решение было принято осознанно не потому, что никто не заметил, а потому что кто-то решил не замечать официально.
Одно из двух: либо Слуцкий защищал систему от огласки, либо что-то ещё или кого-то.
Она не стала записывать эту мысль. Некоторые мысли лучше оставлять не озвученными до тех пор, пока не появится основание их материализовать.
Проверила статус заявки в IT-системе.
В обработке.
В половине двенадцатого она позвонила в IT-отдел.
Оператор ответил на третьем гудке, молодой голос, слегка торопливый, интонация человека, которого оторвали от чего-то более интересного, чем входящий звонок.
– Технический отдел, Громов.
– Вельская аналитический отдел безопасности. Заявка ЗП-7 отправлена больше двух часов назад. Стандартное время исполнения составляет сорок минут.
Небольшая пауза.
– Да, вижу вашу заявку. – В голосе появилось что-то не тревожное, но предшествующее. – Большой объём данных. Серверная нагрузка…
– Нагрузка в норме. Сегодня нет планового обслуживания, я проверила технический план.
Пауза стала длиннее.
– Нет, плановых работ нет, но двухлетний период…
– Аналогичный запрос по документации СКАН-51 за восемнадцать месяцев я получила в 2049 году за тридцать восемь минут, тогда база была меньше. Когда будет готово?
– Я… уточню.
– Жду вашего звонка.
Она положила трубку. Посмотрела на три слоя бумаги на столе, на чашку с остывшим кофе.
Два с лишним часа прошло, когда стандарт составляет сорок минут.
Это не нагрузка.
Громов перезвонил незадолго после полудня.
– Ваша заявка обрабатывается, выгрузим примерно через тридцать-сорок минут.
– Хорошо. Отправьте в зашифрованном формате с полным архивным протоколом по каждому запрашиваемому файлу.
– С… с полным протоколом?
– С полным. Не только содержимое логов, но и метаданные по каждой записи: время создания, время последнего изменения, идентификатор оператора, который выгружал данные. Весь служебный слой.
Тишина секунды на три. Больше, чем нужно, чтобы записать просьбу.
– Это стандартная функция выгрузки, – добавила она спокойно. – Третий пункт снизу в меню экспорта.
– Да, я знаю, – сказал Громов. Голос снова стал нейтральным. – Хорошо.
Письмо пришло почти через час.
Тринадцать с половиной тысяч записей о доступе за два года. Больше, чем она ожидала: проект шёл восемь лет, производственных версий было несколько, документация множилась. К ней обращались конструкторы, инженеры производства, офицеры приёмки, сотрудники стандартизации, внешние аудиторы. Нормальная жизнь сложного изделия.
Она отфильтровала только файлы прошивки и программной логики. Выборка сузилась до восьмисот семи записей.
Хронология по пользователям. Самый частый был Рябов К.В., почти триста обращений. Следующий Окунев Д.С. технолог производства. Потом группа стандартизации, офицеры приёмки, двое из испытательного подразделения.
Распределение предсказуемое, пики перед сдачей партий, провалы в летние периоды. Нормальный ритм изделия.
Она дошла до середины 2049 года, это шесть месяцев до первого инцидента.
И здесь распределение изменилось.
Арина не двигалась около минуты. Не потому, что не понимала, что видит потому, что поняла с первой секунды и дала себе время убедиться, что не ошибается.
Тринадцатое апреля 2049 года. Два часа тридцать одна минута ночи.
Обращение к шести файлам прошивки, включая алгоритм верификации командного пакета и схему регистровой перезаписи при переключении режима. Именно те файлы, в которых находилось то, что Рябов назвал «технически необходимым буфером».
Источник обращения: терминал SR-14.
Не рабочее место, привязанное к сотруднику. Стационарный терминал в серверной комнате на третьем этаже. Технологический, общего доступа, для обслуживания серверной инфраструктуры. Не предназначен для работы с проектной документацией.
Учётная запись: svc_tech_maint. Служебный аккаунт технического обслуживания. Теоретически под него выданы права шестидесяти трём сотрудникам из IT-отдела и смежных подразделений.
Арина откинулась на спинку стула.
Два часа тридцать одна минута ночи. Серверная комната, вход со служебного аккаунта, у которого нет лица. И шесть файлов прошивки взрывателя, к которым в это время суток не было ни регламентного, ни технологического основания обращаться.
Шесть месяцев до первого инцидента.
Кто-то читал прошивку за шесть месяцев до того, как её применили.
Аккаунт svc_tech_maint использовал перечень сотрудников с правами на него через HR-портал и включал шестьдесят три человека. Список пришёл через четыре минуты. IT-инженеры, системные администраторы, двое из климатических систем, несколько из групп технического сопровождения. Никого из отдела разработки взрывательных систем. Ни Рябов, ни кто-либо из его подразделения.
Значит: человек, который сидел в серверной в половине третьего ночи, формально не имел отношения к МРВ-Р. Он пришёл, воспользовался техническим терминалом под чужим аккаунтом и открыл файлы, к которым по должностным обязанностям не должен был обращаться вообще.
Или кто-то с доступом к МРВ-Р воспользовался чужими правами. Вторая версия была хуже первой: она означала либо несанкционированную передачу учётных данных, либо что-то ещё менее объяснимое легальными причинами.
Системный журнал терминала SR-14 за ту ночь она просмотрела через технический интерфейс, доступ А-0 позволял смотреть напрямую.
Записи о сессии от 13 апреля были там.
Вход в 2:31, выход в 3:07. Тридцать шесть минут. Файлы прошивки открывались последовательно, не в режиме массовой выгрузки, значит, кто-то читал и изучал. Не скачивал архив, а работал с содержимым.
После этой записи ничего. Следующий вход под тем же аккаунтом с того же терминала был через восемь дней, плановая сессия обслуживания, нормальное рабочее время.
Одиночное событие ночью, без следов после.
Она записала: Терминал SR-14. Кто имел физический доступ в серверную 13.04.2049, ночная смена. Видеонаблюдение есть?
Вход в контролируемую зону только по магнитному пропуску.
Она открыла систему управления физическим доступом здания.
Журнал карточек в серверную за ту ночь показал два события.
Первое: вход в 21:47, выход в 22:03. Сотрудник IT-отдела Нестеров П.Р., плановая замена модуля резервного питания. В журнале обслуживания есть соответствующая запись.
Второе: вход в 2:28, выход – пустая ячейка.
Арина перечитала.
Вход – 2:28:51, выход – пустая ячейка.
Карточка доступа имела идентификатор А-7734, который она пробила немедленно.
Карточка числилась аннулированной с сентября 2048 года. Выпущена на имя Федосов Н.К. – бывший сотрудник IT-отдела, уволен по собственному желанию за восемь месяцев до события. Карточка должна была быть деактивирована в день увольнения. Это стандартная процедура.
По документам деактивирована, а фактически рабочая.
Карточка уволенного сотрудника, которая физически открывала двери спустя восемь месяцев после деактивации, это не сбой системы. Кто-то знал, что карточка активна или кто-то сделал её активной специально.
И этот кто-то вошёл в серверную в 2:28. В 2:31 открыл терминал под служебным аккаунтом и тридцать шесть минут провёл с прошивкой МРВ-Р. А в журнале доступа не вышел потому, что либо вышел через другой вход, либо запись о выходе была удалена.
Она посмотрела на время.
Потом посмотрела на письмо с логами.
Четыре часа.
Стандарт занимал сорок минут. Четыре часа это уже не нагрузка. Она отправила запрос утром, логи получила почти в час дня. Три часа сорок семь минут подготавливали данные.
Она открыла метаданные выгрузки те самые, которые сама попросила Громова приложить. Он приложил, не мог не приложить, потому что отказ был бы слишком очевидным.
Время создания выгрузочного файла: 12:44.
Время последнего изменения записей внутри файла варьировалось. Большинство записей имело метку изменения, совпадавшую с датой создания. Норма: запись создаётся в момент события и не трогается.
Но.
Сорок восемь записей имели метку последнего изменения позже даты создания. Арина отсортировала по этому признаку.
Даты изменения концентрировались в узком диапазоне: с утра до почти полудня. Именно тогда, когда её заявка уже была в очереди. Пока она ждала, кто-то редактировал записи журнала, именно те, которые она запросила.
Редактировал, значит, удалял. Добавить в журнал доступа задним числом технически невозможно без нарушения криптографической подписи каждой строки. Удалить можно, если есть права администратора системы. При удалении запись исчезает, но служебный слой, на который ссылались метаданные, остаётся. Временная метка изменения вместо метки создания создаёт артефакт неполного удаления. У кого-то было почти четыре часа, но не хватило времени закрыть следы полностью.
Сорок восемь записей уцелели из тех, что должны были исчезнуть.
Арина взяла список сотрудников с правами на аккаунт svc_tech_maint. Открыла список сотрудников IT-отдела с правами администратора базы данных журналов. Нашла пересечение.
Двенадцать имён.
Что-то внутри то, что она за годы работы научилась не называть словами раньше времени, стало холоднее и тише.
Кто-то в IT-отделе узнал о её запросе утром и начал удалять записи через пять минут. Это кто-то прочитал запрос, понял, что именно она ищет, принял решение и начал действовать.
Это не паника, у паники нет пяти минут на принятие решения.
Это был план на случай, если кто-то начнёт спрашивать.
Арина закрыла ноутбук, встала, прошла к окну и подняла жалюзи в первый раз за день. За окном Петербург: январское небо цвета серого металла, крыши, антенны, вдали виднеется полоска залива. Прохожие внизу шли с опущенными головами, плечи против ветра.
Две вещи одновременно.
Первая: сорок восемь записей с аномальной временной меткой, это основание для запроса резервных копий базы данных. По внутреннему регламенту ЗАСЛОН они хранятся отдельно от основной системы и администраторам журналов недоступны. Если там найдутся удалённые записи, то она узнает, что именно читал человек в серверной тринадцатого апреля 2049 года.
Вторая: Слуцкий сказал, я хочу знать первым. Прежде чем она дойдёт до резервных копий и начнёт разговор с кем-либо из двенадцати имён, ей придётся решить, сколько и в каком порядке она ему скажет.
Потому что тот, кто начал удалять записи через пять минут после её запроса, это тот же, кто узнал об этом запросе. В ЗАСЛОН информация о запросах уровня А-0 не видна рядовым операторам. Она видна тем, у кого стоит уведомление на ключевые слова.
МРВ-Р – ключевое слово.
Чьё уведомление стоит на МРВ-Р, это вопрос, ответ на который она знает, где искать. Системный администратор корпоративной почты. Технически двадцать минут, если практически, то состоится тот разговор, после которого дверь обратно уже не открывается.
Арина стояла у окна ещё тридцать секунд, смотрела на залив, на тонкую полосу между крышами и небом.
Потом опустила жалюзи.
Взяла телефон.
– Сажин, мне нужен человек, который сделает запрос на резервную копию базы данных журналов доступа к проектной документации МРВ-Р не через IT-отдел. Напрямую к архивному серверу, через технический интерфейс. Есть такой уровень доступа?
Пауза, не растерянность, Сажин думал именно столько, сколько нужно.
– Теоретически есть. Нужен технический запрос с вашей подписью и ссылка на основание.
– Основание: заявка от сегодняшнего утра и аномалия в метаданных выгрузки. Пришлю файл через пять минут. Можете начать немедленно?
– Могу, а что мы ищем?
– Записи, которых нет, – ответила Арина. – Но след остался.
Тридцать шесть минут в серверной комнате. Шесть файлов прошивки и аннулированная карточка, которая открывала двери. Служебный аккаунт с шестьюдесятью тремя лицами, у которого не было лица. Почти четыре часа работы по удалению следов и сорок восемь записей, которые не успели стереть.
Кто-то шесть месяцев готовился и сегодня очень торопился.
Между этими двумя людьми либо огромная дистанция, либо её нет вообще.
Она открыла новый лист в блокноте. Написала одно:
13.04.2049. 02:31. Кто?
Поставила тире. Оставила строку пустой.
За стенами гудело здание, и где-то на третьем этаже принтер работал равномерно со своим всхлипом, без пауз, будто ему было, что печатать ещё очень долго.
Глава 6. Архив не горит
Сообщение от Сажина пришло рано утром.
Резервная копия запрошена. Архивный сервер отвечает. Срок выгрузки составляет от шести до двенадцати часов. Начал в 22:30 вчера.
Арина прочитала, убрала телефон и сделала кофе.
До результата ещё пол дня. Ждать она умела: ожидание не пустое, оно заполняется тем, что можно делать параллельно. Вопрос всегда один: чем именно.
Она взяла блокнот, перечитала три вопроса, записанные накануне. Четвёртый – зачем был подчёркнут дважды.
Написала под ними ещё одно: Это не первый раз.
Два инцидента с одинаковой сигнатурой. Слуцкий сказал «одинаковая», значит, существовал образец, с которым сравнивали и кто-то видел оба.
Арина открыла ноутбук и зашла во внутреннюю архивную систему.
Архив инцидентов ЗАСЛОН разбит по уровням классификации, по годам и типам событий. Доступ к большинству разделов требует отдельного обоснования даже при А-0. Арина знала, где именно писать запрос, чтобы основание было сформулировано достаточно широко.
Первый пакет документов пришёл через тридцать семь минут. Это означало: архив не заминирован так же, как база данных журналов доступа. Тот, кто чистил следы вчера, работал точечно только с тем, что было прямо в зоне риска. Либо до архива ещё не добрались или считали, что там нечего искать.
За десять лет в архиве значилось двадцать четыре инцидента, связанных с системами МРВ или предшественниками. Большинство были плановые отказы, технические несоответствия при испытаниях, один случай неверной установки на производстве. Арина просматривала методично: заголовок, дата, тип объекта, последствия, статус. Она искала форму, а не детали.
Третий с конца в хронологическом списке – 14 сентября 2046 года.
Тип события: инцидент с применением систем целеуказания и активации. Объект: гражданский транспортный узел, Арктический коридор, квадрат 7-Д. Последствия: восемь погибших. Статус: закрыто.
Не технический отказ. Не испытание. Применение. И рядом – гражданский объект.
Она открыла материалы дела.
Транспортный узел в квадрате 7-Д, промежуточная логистическая площадка: открытая посадочная платформа на ледовом основании, капитальное строение с техническими помещениями, склад расходных материалов. В сентябре 2046-го там работало девятнадцать человек: механики, диспетчер, лётный персонал двух конвертопланов под обслуживание.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
