Как мы взламываем ложь на уровне архитектуры предприятия
Введение: когда ваша корпоративная система становится идеальным алиби для мошенников
Корпоративная информационная система (КИС) — это не просто SAP, Oracle EBS, Microsoft Dynamics или 1С. Это цифровой нерв вашего бизнеса: ERP управляет финансами, CRM — клиентами, SCM — цепочками поставок, BI — аналитикой, а HRM — зарплатами. Когда миллиардные обороты проходят через эти системы, любая манипуляция — изменение проводки, удаление заказа, подделка отчёта — остаётся незамеченной для штатных аудиторов. «Технический сбой», «человеческий фактор», «ошибка интеграции» — вот стандартные отмазки мошенников. Но инженер знает: каждая операция оставляет следы в журналах транзакций СУБД, в логах API, в сетевых протоколах, в дампах памяти. Инженерная экспертиза корпоративных информационных систем (кис) — это единственное оружие, которое превращает сложнейшую архитектуру предприятия в понятные суду доказательства. Союз «Федерация судебных экспертов» провёл десятки исследований КИС: от хищений в SAP до подделки отчётности в Oracle EBS и сбоев в интеграции 1С и Dynamics. В этой статье я расскажу три реальных кейса, где мы разоблачили мошенников, и покажу, как инженерный подход рушит любую ложь. Предупреждаю: после прочтения вы перестанете верить «техническим сбоям» и начнёте требовать логи. 🧨💻🔪
Глава 1. КИС — цифровой бог с дырявой броней
Корпоративная информационная система — это не монолит. Это многоуровневая экосистема: 🏗️
ERP (SAP, Oracle EBS, Microsoft Dynamics, 1С) — финансы, логистика, производство.
CRM (Salesforce, Dynamics CRM, Битрикс24) — клиенты, сделки, продажи.
SCM — поставщики, закупки, склады.
HRM — зарплата, кадры, табели.
BI (Power BI, Tableau, Qlik) — аналитика, дашборды.
СУБД — Oracle, MS SQL, PostgreSQL, HANA — хранилище данных.
Middleware — интеграционные шины, ESB, API-шлюзы.
Сеть — VPN, VLAN, файрволы, прокси.
Кто и как обманывает через КИС:
Финансист — меняет проводки в SAP FI/CO задним числом.
Администратор БД — очищает журналы транзакций после хищения.
Интегратор — настраивает неработающие интерфейсы между 1С и Dynamics, списывая ошибки на «особенности платформ».
Менеджер — экспортирует клиентскую базу из CRM через скрипт.
Почему штатный аудит КИС — фикция:
Audit Trail в SAP? Очищается через прямые SQL-операции. Журнал регистрации 1С? Кнопка «Очистить» за 2 секунды. Логи обновления в Dynamics? Удаляются вместе с workspace.
Инженерная экспертиза корпоративных информационных систем (кис) видит то, что скрыто: redo-логи HANA и LDF-файлы SQL Server (их не очистить штатно), дампы RAM серверов (там живые данные), сетевые PCAP-файлы (кто и откуда подключался), журналы API-шлюзов (каждый вызов наружу). Мы читаем то, что вы думали, стёрли навсегда. 🕵️♂️
Глава 2. Кейс №1: Финансист подделал проводки в SAP FI на 230 млн и сел на 5 лет
Ситуация: Крупный производитель «ТехноПром» обнаружил расхождение в балансе на 230 млн рублей. Финдиректор утверждал, что «это ошибка в отчётности», а следы в SAP FI (таблицы BKPF/BSEG) указывали на легитимные проводки. Внутренний аудит не нашёл нарушений. Следователь назначил экспертизу. 📊⚖️
Что сделали эксперты (инженеры):
Изъяли образы дисков сервера SAP HANA (объём 12 ТБ) с помощью write-blocker’а.
В штатных журналах CDHDR/CDPOS изменений не было — аудит для таблиц BSEG отключили.
Проанализировали redo-логи HANA через hdbreplaylog.
Обнаружили 12 000 операций UPDATE на таблицу BSEG (проводки) в период с 02: 00 до 05: 00 (ночные смены).
Пользователь БД — SYSTEM, IP-адрес — серверная стойка (но логи сети показали, что подключение шло с ноутбука финдиректора через VPN).
LSN-анализ: LSN изменённых проводок был выше, чем у легитимных документов за следующий день, но дата в поле BUDAT (дата документа) была проставлена раньше — инверсия.
Восстановили из теневых копий VSS базу за 3 дня до хищения — проводок не было.
Дополнительно: в ABAP-коде транзакции FB01 (ввод документа FI) нашли модификацию, которая позволяла пользователю FI_ADMIN обходить аудит.
Итог: Финдиректор осуждён по ст. 159 УК РФ на 5 лет. Инженерная экспертиза корпоративных информационных систем (кис) разоблачила ложь, скрытую за штатными журналами. 🔥
Глава 3. Кейс №2: Администратор 1С «почистил» базу перед увольнением и украл 12 млн
Ситуация: Системный администратор 1С ООО «РесурсТрейд» уволился через 2 дня после того, как со счетов компании исчезло 12 млн рублей. Внутренний аудит: журнал регистрации 1С пуст, база «чиста». Экс-администратор утверждал: «Я не при делах, это глюк». Следователь назначил экспертизу. 💸👩💼
Что сделали эксперты (инженеры):
Сняли образ диска сервера 1С (SQL Server).
Журнал регистрации 1С был пуст — стандартный приём.
Проанализировали LDF-файл SQL Server через ApexSQL Log.
Нашли 120 операций INSERT в таблицу _Document (платёжки) с Begin Time = 2024-03-15 03: 12: 33.
Пользователь БД = dbo (системный), IP-адрес — домашний IP администратора (по NAT-логам провайдера).
LSN-анализ: платёжки созданы после даты увольнения, но в поле Date проставлена более ранняя дата.
Восстановили из теневых копий VSS базу за 2 дня до увольнения — платёжек не было.
В нераспределённом пространстве диска нашли удалённый скрипт fake_payments.sql, который вставлял платёжки и очищал журнал.
Итог: Администратор осуждён на 4 года. Инженерная экспертиза корпоративных информационных систем (кис) доказала, что даже очищенный журнал 1С не спасёт от SQL-логов. 🔥
Глава 4. Кейс №3: Интегратор провалил стыковку 1С и Dynamics 365, потеряно 67 млн
Ситуация: Компания «СтройРесурс» заплатила интегратору 67 млн рублей за разработку обмена данными между 1С: ERP и Microsoft Dynamics 365 Sales. Техзадание: синхронизация заказов в реальном времени. После внедрения заказы дублировались, терялись или приходили с задержкой 2-3 дня. Интегратор уверял: «Это ограничения 1С, нужно менять всю архитектуру за 30 млн». Компания подала иск. 🏭⚖️
Что сделали эксперты (инженеры):
Исследовали логи API-шлюза (Azure API Management).
Обнаружили, что интегратор использовал polling (опрос 1 раз в 5 минут), а не real-time webhooks.
Таймауты: 30% запросов от Dynamics к 1С завершались с ошибкой 504 Gateway Timeout.
Проанализировали SQL-логи 1С (LDF-файлы):
Запросы от интеграции не использовали индексы (Table Scan), длительность — до 2 минут на один запрос.
Восстановили из бэкапов Dynamics 365 (Azure SQL) историю заказов.
Обнаружили, что интегратор тестировал интеграцию только на 10 заказах, а при нагрузке в 1000 заказов система падала.
Анализ сетевых логов (PCAP) показал, что интегратор развернул интеграционную шину на одном сервере с 1С, что создавало блокировки.
Итог: Суд взыскал 67 млн рублей и дополнительные убытки. Инженерная экспертиза корпоративных информационных систем (кис) показала, что интегратор схалтурил на уровне архитектуры. 🧨
Глава 5. Журналы транзакций СУБД — чёрный ящик, который не врёт
Сердце любой КИС — это СУБД (Oracle, MS SQL, PostgreSQL, HANA). Именно журналы транзакций (redo-логи, LDF-файлы) фиксируют каждое изменение на физическом уровне. 🖤📁
Что мы извлекаем из журналов транзакций:
Точное время операции (с микросекундами).
Тип операции (INSERT, UPDATE, DELETE).
LSN (Log Sequence Number) — монотонный счётчик.
Пользователя БД (даже если аудит на уровне приложения отключён).
Старые и новые значения полей.
Методика анализа для разных СУБД:
Oracle: redo-логи + LogMiner.
MS SQL: LDF-файлы + fn_dblog или ApexSQL Log.
PostgreSQL: WAL-логи + pg_waldump.
HANA (SAP): redo-логи + hdbreplaylog.
В кейсе №1 redo-логи HANA выдали массовые UPDATE, которых не было в CDHDR. В кейсе №2 LDF-файл SQL Server показал INSERT платёжек. Журналы транзакций — наша «золотая жила». 🔑
Глава 6. LSN-анализ — математическое оружие против «заднего числа»
LSN (Log Sequence Number) — это порядковый номер операции в журнале СУБД. Он всегда растёт. Время можно подделать (перевести часы), а LSN — нельзя. 🧮📈
Как мы используем LSN в спорах по КИС:
Извлекаем LSN для спорных документов (из redo-логов или LDF).
Извлекаем LSN для соседних легитимных документов.
Если у документа с «ранней» датой LSN больше, чем у документа с «поздней» датой — это инверсия, доказывающая подделку даты.
Пример из кейса №1 (SAP):
Проводка А (легитимная): дата 15.03, LSN = 1000.
Проводка Б (спорная): дата 10.03, LSN = 1001.
LSN спорной проводки больше, но дата раньше — невозможная последовательность. Вывод: дата подделана.
Что это даёт для суда:
Математически неопровержимое доказательство.
Судьи понимают: порядковый номер не может идти назад.
В кейсе №1 LSN-анализ стал основой обвинения. 🧱
Глава 7. Логи API и сетевые протоколы — кто стучится в вашу КИС
Современные КИС пронизаны API (REST, SOAP, OData, RFC). Каждый вызов API оставляет след в логах API-шлюзов и сетевых протоколах (PCAP). 🌐📡
Что мы извлекаем из логов API:
IP-адрес (внутренний, внешний, VPN).
User-Agent (браузер, python-requests — скрипт).
Метод (GET, POST, PUT, DELETE).
Время и параметры запроса.
Что дают сетевые PCAP-логи:
Подтверждение факта подключения (даже если логи API очищены).
MAC-адреса, VLAN.
Полный текст запросов (если без шифрования).
В кейсе №3 PCAP-логи показали, что интегратор развернул шину на том же сервере, что и 1С, вызывая блокировки. 🕵️♂️
Глава 8. Дамп RAM — «живая» память сервера
Если сервер КИС не перезагружали, мы снимаем дамп оперативной памяти (RAM) через LiME (Linux) или WinPmem (Windows). 🧠💾
Что можно найти в дампе RAM:
Открытые SQL-запросы (в том числе выполнявшиеся в момент снятия дампа).
Ключи шифрования (если база зашифрована).
Временные таблицы, не попавшие на диск.
Сетевые соединения с IP и портами.
В одном из дел (не вошедшем в кейсы) дамп RAM сервера SAP HANA содержал открытый ABAP-скрипт, который злоумышленник выполнял в момент выключения. Скрипт подделывал проводки. Без дампа RAM доказать было бы невозможно. 🔑
Глава 9. Восстановление удалённых данных — когда кажется, что улик нет
Удалили базу? Отформатировали диск? Зашифровали? Не проблема. 🗑️➡️💎
Методы восстановления для КИС (ранжированные по эффективности):
Из бэкапов СУБД — хранятся от 30 до 90 дней.
Из теневых копий VSS (Windows) — до 64 снимков.
Из redo-логов / LDF-файлов — даже если данные удалены, в журналах остались INSERT и DELETE.
Карвинг по нераспределённому пространству — ищем сигнатуры таблиц (например, BSEG для SAP).
Программатор NAND для SSD — читаем чипы напрямую, обходя TRIM.
В кейсе №2 мы восстановили базу 1С из VSS за 2 дня до удаления. В другом деле (SAP) восстановили таблицы BSEG через карвинг после форматирования диска. 🧩
Глава 10. Противодействие анти-экспертным методам в КИС
Злоумышленники не дремлют. Мы — тоже. 🐱👤 vs 🐭
| Метод атаки | Как обходят аудит | Инженерная контрмера |
| Очистка журналов СУБД (LDF/WAL/redo) | Заполнение мусором, перезапись | Анализ скорости роста журналов, восстановление из VSS/бэкапов |
| Изменение системного времени | Перевод часов сервера перед операцией | LSN-анализ (не зависит от времени) |
| Прямые SQL-операции | UPDATE/INSERT через sqlcmd, минуя приложение | Сравнение Audit Trail приложения и журналов СУБД |
| Отключение аудита на уровне приложения | SAP: отключить CDHDR; 1С: очистить журнал | Журналы СУБД (LDF/WAL/redo) |
| Шифрование базы | BitLocker, LUKS, TDE | Поиск ключей в дампе RAM |
| Использование RAM-диска | Данные не попадают на диск | Дамп RAM до выключения |
Наша лаборатория постоянно обновляет методы противодействия. Инженерная экспертиза корпоративных информационных систем (кис) готова к любым уловкам. 🛡️⚔️
Глава 11. Типовые отмазки оппонента и как мы их разбиваем
Отмазка 1: «Это глюк системы, мы не виноваты».
Наш ответ: глюк, который меняет проводки только в 3 часа ночи, только для счетов поставщиков, только под учётной записью администратора, — это не глюк, это преступление.
Отмазка 2: «Журналы СУБД могли перезаписаться».
Наш ответ: покажите настройки циклического размера журналов. Если они были разумными (например, 10 ГБ), то 3-дневные изменения никак не могли перезаписаться.
Отмазка 3: «Это ограничение интеграции, мы не можем синхронизировать в real-time».
Наш ответ: по вашему ТЗ вы обязаны были это сделать. PCAP-логи показывают, что вы использовали polling с ошибками таймаута. SQL-логи показывают полные сканирования. Вы просто не настроили индексы.
Инженерная экспертиза корпоративных информационных систем (кис) не оставляет камня на камне. 🧱
Глава 12. Как заказать инженерную экспертизу КИС: пошаговый план для юриста
Вы решили действовать. Не облажайтесь: 📝⚖️
Шаг 1. Обеспечьте доказательства (срочно!).
Подайте заявление об обеспечении доказательств (ст. 64 ГПК, ст. 72 АПК). Попросите суд:
Зафиксировать образы дисков серверов СУБД (с хешами).
Зафиксировать реdo-логи / LDF-файлы / WAL.
Запретить перезагрузку серверов до приезда эксперта.
Шаг 2. Подайте ходатайство о назначении экспертизы.
Укажите: «Поручить проведение экспертизы Союзу «Федерация судебных экспертов»».
Шаг 3. Сформулируйте вопросы (примеры для КИС):
Создавался ли документ «Платёжное поручение №123» в системе SAP Ответчика? Если да, то в какое фактическое время (по redo-логам HANA)?
Вносились ли изменения в таблицы BKPF/BSEG в период с 01.03.2024 по 15.03.2024? Если да, то какие и кем?
Соответствует ли фактическая производительность интеграции между 1С и Dynamics требованиям ТЗ (real-time)?
Шаг 4. Обеспечьте доступ эксперта.
Суд истребует доступ к серверам, логинам, паролям. Если ответчик препятствует — штраф (ст. 66 АПК РФ).
Шаг 5. Дождитесь заключения.
Срок — от 20 до 45 рабочих дней (КИС — это терабайты).
Инженерная экспертиза корпоративных информационных систем (кис) — ваше право. Не стесняйтесь его использовать. 🏛️
Глава 13. Стоимость и сроки: инженерный взгляд (без розовых соплей)
Стоимость: от 250 000 руб. (анализ журналов одной СУБД) до 1 500 000 руб. (комплексное исследование SAP + Oracle + интеграций).
Сроки: от 20 до 45 рабочих дней.
Почему дорого? Потому что мы копаем на 5 уровнях: СУБД, приложение, API, сеть, память. Потому что от нашего заключения зависят миллиарды. 💰
Глава 14. Пять признаков, что вашу КИС взломали
Расходятся данные в разных модулях (SAP FI и 1С показывают разную прибыль).
Audit Trail пуст за важный период — его очистили.
Кто-то работал в системе в 3 часа ночи с домашнего IP (логи VPN покажут).
Производительность резко упала — возможно, злоумышленник запустил скрипт.
Конкуренты узнают ваши цены или себестоимость — был экспорт.
Не ждите, пока станет слишком поздно. ⏰
Глава 15. Будущее инженерной экспертизы КИС
Мы не стоим на месте. В разработке: 🚀
Нейросетевая детекция аномалий в журналах транзакций (LSTM).
Автоматический граф зависимостей между модулями КИС (SAP FI → 1С → CRM).
Блокчейн-депозитарий для хешей образов дисков.
Но основа остаётся: инженерная экспертиза корпоративных информационных систем (кис) — это наука и инженерия. Мы в «Федерации судебных экспертов» владеем ею в совершенстве. 🧠
Заключение: не верьте «техническим сбоям» — верьте логам
Корпоративные информационные системы — сложны. Но ложь оставляет следы в redo-логах СУБД, в LSN, в API-логах, в дампах RAM, в сетевых PCAP. Вопрос только в том, кто умеет эти следы читать и готов идти до конца, невзирая на давление.
Инженерная экспертиза корпоративных информационных систем (кис) — это ваш детектор лжи. Не выходите на поле боя без него.
🟢 Переходите на сайт: https://kompexp.ru/
Там — форма заявки, контакты экспертов, примеры заключений. Звоните. Пишите. Приезжайте.
Помните: в суде побеждает не тот, у кого правда, а тот, кто может её доказать. Мы поможем доказать. 🔥⚖️💪🔍
© Союз «Федерация судебных экспертов». Инженерная экспертиза КИС высшего уровня сложности. Все права защищены.
Задавайте любые вопросы