Компьютерные террористы

Ревяко Татьяна Ивановна

Этот способ хулиганства может причинить больше неприятностей, чем все остальные угрозы в Интернете. Он не только очень прост, но и широко известен благодаря недавним публикациям по меньшей мере в двух хакерских журналах.

Пострадавшие уже имеются. Атаке подвергся компьютер шахматного клуба в Интернете (Internet Chess Club). Для многочисленных пользователей он поддерживал шахматную службу, напоминающую игру по переписке, но в реальном времени.

Найти компьютер, посылающий поток фальшивых запросов, — задача крайне сложная. Для этого нужно отследить путь, по которому запросы приходят на сервер. Поскольку они содержат неправильное указание на адрес, обычные способы здесь не годятся. Провайдер, поддерживающий атакуемый компьютер, может отследить ближайший

сервер, с которого приходят дефектные сообщения. Администратор этого сервера — путь до следующего провайдера, и так далее по цепочке. Эта эстафета напоминает поимку автоугонщика, когда преследующие его полицейские вынуждены были бы останавливаться на границе каждого района и сообщать приметы преступника в местное отделение. Если между атакующим компьютером и сервером-жертвой находится два десятка маршрутизаторов, то на отлов потребуется очень много времени, за которое преступник наверняка переместится на другой адрес. В конце концов можно добраться до компьютера в пустой комнате, кем-то запрограммированного беспрерывно посылать ложные запросы.

Угроза существовала давно, но гром грянул буквально в последние недели. Для радикальной защиты нужны новые протоколы, которые не могут распространиться за короткое время. Сейчас относительно защищенной может чувствовать себя организация, отгородившаяся от внешнего мира с помощью Firewall, однако зачастую и это не спасает.

Мерзости в сети

Некто 29-летний Джеральд В. Корман (Gerald W. Korman) из города Форт-Пирс (Флорида) славился предпринимательскими наклонностями и гнусным характером. Он постоянно нанимал местных подростков на низкооплачиваемую работу, при этом подвергал их угрозам и оскорблениям. Один из таких «рабов» не выдержал и обозвал Дж. Кормана «жирным», что полностью отвечало реалиям. Корман промолчал, но решил отомстить обидчику. Он опубликовал через Usenet домашний телефон и персональные данные подростка, объявив, что тот согласен стать «сексуальным рабом» в обмен на покупку для него каких-то авиабилетов.

Сам 15-летний парень, ставший жертвой Кормана, не имел ни выхода в Internet, ни даже домашнего компьютера. Поэтому он был дико перепуган, когда к нему начали звонить какие-то люди из разных стран с предложениями. Как рассказывает мать потерпевшего, ее сын в тот день умчался из дома, пришел очень поздно, был подавлен и испуган, не захотел оставаться на ночь один в своей комнате. На следующий день позвонил весьма вежливый господин из Австралии и сообщил, что вся информация почерпнута в Usenet. После этого делом занялось специальное подразделение полиции. В ходе расследования всплыла темная фигура Кормана. В его доме провели обыск и обследовали содержимое компьютера. Здесь и было обнаружено объявление. Кроме того, были найдены запрещенные для хранения и распространения в США порнографические сцены с участием детей.

Как отметили представители полиции, бороться с объявлениями в Usenet крайне сложно. Случай с Корманом — исключение, и власти постараются создать на его основе юридический прецедент. Дело в том, что пока каналья обвиняется только в хранении запрещенных снимков. Существующее законодательство США не квалифицирует помещение ложных и провокационных объявлений в Usenet как преступление. Однако родители пострадавших детей и органы правопорядка намерены добиться принятия необходимых законов для наказания негодяев.

В Интернете терроризм…

Недавно мы писали о новой форме пиратства в Интернете — так называемом «отказе от обслуживания» (denial-of-service). Пожалуй, правильнее было бы назвать это не пиратством, а терроризмом. Способ настолько прост и разрушителен, что было бы довольно странным, если бы никто им не воспользовался. К тому же, готовые рецепты были опубликованы в хакерских журналах «2600» и «Phreack», распространяемых в Интернете.

Вкратце суть этого способа состоит в следующем. На Интернет-сервер поступает большое количество дефектных обращений, содержащих несуществующий «обратный адрес».

На обработку каждого из них сервер иногда может затрачивать более минуты, пытаясь найти несуществующий компьютер. Так как число одновременных IP соединений у сервера не беспредельно, а поток дефектных обращений может быть огромен, сервер фактически оказывается недоступен для нормальных запросов. Преступник может чувствовать себя в полной безопасности, поскольку компьютер, с которого ведется атака, найти практически невозможно — необходимо отследить, откуда исходят дефектные запросы, следуя по цепочке компьютеров в Сети между жертвой и террористом, от одного провайдера к другому. А их число вполне может превышать два десятка, что делает поимку преступника почти нереальной.

Так, недавно из-за хулиганской атаки была почти полностью парализована работа информационного Web-сервера «New-York Times». В ночь после выборов президента США сервер захлебнулся запросами, количество которых примерно в десять раз превысило средний уровень. Часть исходила от пользователей, стремившихся поскорее узнать о результатах выборов, но основную нагрузку создали анонимные вандалы, бомбардировавшие сайт дефектными обращениями.

Чуть раньше от этой же напасти пострадал шахматный клуб Интернета (Internet Chess Club), тысячи пользователей которого в течение нескольких суток не могли прибегнуть к его услугам.

Радикально эту проблему могут решить новые протоколы Сети, но их внедрение — дело не одного года. Однако компания Berkeley Software Design сообщила, что нашла способ защиты серверов от подобных атак и собирается предоставить его всем желающим.

В Интернете аварии

От серьезной внутренней аварии пострадала служба WorldNet компании AT&T, которая, как известно, является крупным Интернет-провайдером. В результате почти половина из более чем 425 тысяч ее пользователей на несколько дней остались без электронной почты.

Неприятности начались 5 ноября, и до 9 ноября пользователи не получали адресованную им почту, хотя беспрепятственно могли ее отправлять. AT&T заверила своих клиентов, что их почта не будет потеряна и ее обязательно доставят всем.

Случай AT&T — последний в серии аварий, случившихся в Интернете в последнее время. В июне более чем 400 тысяч клиентов в течение 12 часов не могли воспользоваться услугами крупнейшего провайдера Netcom Online Communications Services; в августе шесть миллионов клиентов America Online не имели доступа к ней в течение 19 часов, а в октябре более чем сутки не работал один из почтовых серверов компании BBN.

Первое в России крупномасштабное хулиганство в Internet

20 сентября 1996 г. компании «ИнфоАрт» и «Демос» устроили пресс-конференцию по случаю первого в Россию крупномасштабного хулиганства в Internet. Несколько дней на сервере «Ритм-Пресс», поддерживаемом «ИнфоАрт», вместо компьютерных новостей, прогноза погоды и другой полезной информации показывались, как деликатно выразились в пресс-релизе, «картинки для взрослых».

Поскольку сотрудники «ИнфоАрта» работали со своим внутренним сервером, они оставались в неведении относительно содержания, демонстрируемого пользователям, пока один из них, позвонив, не поинтересовался причиной столь радикальных изменений.

Совершено же злодеяние следующим образом. Каждый сервер имеет два имени: буквенный, который набирает пользователь, желающий попасть на него, и цифровой, по которому сервер «ищется» в Сети. Связь между ними устанавливается посредством специальных серверов имен. Злоумышленник (или злоумышленники) получил доступ к такому серверу и изменил связь. Таким образом набравшие название сервера «ИнфоАрта» попадали в совсем другое место и с совсем другим содержанием.

Ссылки сразу же были заменены на правильные, но, поскольку на процесс запроса имен, как объяснили технические специалисты «Демоса», повлиять не представлялось возможным, то «неправильная» ссылка еще некоторое время существовала на отдаленных зеркальных серверах «ИнфоАрта».