Часть II. Компьютерные преступления
Раздел I. Хакеры
Хакеры атакуют интерактивные службы

Несмотря на недавние атаки хакеров, которые вывели из строя серверы World Wide Web в Калифорнии и Нью-Йорке, предприятия, ведущие свой бизнес по сети Internet, продолжают ею пользоваться. Вместе с тем, по утверждению их представителей, они и раньше знали о том, что вести бизнес по Internet - дело рискованное.

"Ведь у вас есть витрина, любой может зайти с пистолетом и совершить ограбление, - объясняет Дэвид Ре, исполнительный директор компании Attitude Network, которая пользуется услугами провайдера Internet - фирмы Unet Technologies. - Конечно, всегда есть риск, что такое время от времени может произойти, однако я не думаю, что этот риск перевешивает".

В последней атаке хакеров высокого класса применялся метод, известный как SYN-flood.

Хакер, использовавший этот метод, 7 декабря на 9 часов, а 14 декабря - на 40 часов выводил из строя Web-сервер провайдера Internet-служб компании Web Communications LLC.

"Мы, вероятно, недооценили серьезность вопросов защиты, - заявил президент компании Web Communications Крис Шефлер. - Не следовало полагать, что такое с нами никогда не случится".

Эта атака привела в полный беспорядок деятельность 2200 предприятий и коммерческих пользователей Web Communications. Перед тем, в сентябре, была совершена такая же атака на другого провайдера - компанию Panix.

В атаке SYN-flood используются недостатки протокола TCP/IP. Мишенями для нападений такого типа оказались два широко известных провайдера услуг Internet, однако любой сервер в этой сети тоже подвержен риску, независимо от того, кто его эксплуатирует.

Атакующий посылает со своего компьютера сообщение, запрашивающее у системы-мишени разрешение на открытие сеанса связи. Атакуемая система просит подтверждения и оставляет канал открытым в течение 90 секунд.

Обычно машина, посылающая запрос, за это время отвечает, однако в случае атаки хакера она вместо этого посылает еще один запрос на сеанс TCP/IP и продолжает делать это с частотой до 200 раз в минуту.

"Это эквивалентно тому, как если бы вам звонили по телефону и тут же вешали трубку, - объясняет Юджин Спаффорд, директор программы Computer Operation, Audit and Security Technology университета Пердью. - Вы держите трубку, повторяя: "Алло, алло, кто там, алло?", а затем вешаете ее. Однако, пока вы держите трубку, телефонная линия вами занята".

Попытки поймать хакеров оказались тщетными из-за того, что посылающие запрос зашифровывали свои адреса Internet с использованием кода, так что было невозможно проследить сеанс. Свое название подобный тип атаки (SYN flooding - синхронная лавина) получил потому, что при этом используется синхронизирующий сигнал.

Компании ANS (дочерняя фирма America On-line), COAST и Sun Microsystems имеют программные "заплатки", предназначенные для блокировки атаки SYN. Последняя версия коммерческого Web-сервера компании Netscape Communications более устойчива к таким атакам, чем предыдущие версии, в том числе и та, которую использовала компания Web Communications. Однако руководители последней были против модернизации, поскольку считали, что более поздняя версия работает нестабильно.

"Мы постараемся ускорить процесс перехода на более устойчивый Web-сервер, - сообщил Шефлер. - Кроме того, ведутся переговоры с компанией Cisco относительно мер по защите маршрутизаторов".

Узел Panix, между тем, некоторое время противостоял попыткам сокрушить его серверы методом атаки SYN. Начиная с сентября неизвестный хакер несколько раз в неделю пытался взломать систему, и когда наконец ему удалось проникнуть в нее, он на 12 часов парализовал работу части служб. Об этом сообщил Алексис Розен, президент компании Public Access Networks, которая эксплуатирует Panix. Чтобы заблокировать атаки, компания переписала ядро операционной системы SunOS на своих серверах Sun.

"Наши заплатки на ядре - далеко не самое лучшее решение, но они работают, - отмечает Розен. - Если бы атаки длились более нескольких минут каждая, мы смогли бы выяснить, кто их совершает, и наказать виновника".

Конец текста