Попытки поймать хакеров оказались тщетными из-за того, что посылающие запрос зашифровывали свои адреса Internet с использованием кода, так что было невозможно проследить сеанс. Свое название подобный тип атаки (SYN flooding — синхронная лавина) получил потому, что при этом используется синхронизирующий сигнал.
Компании ANS (дочерняя фирма America On-line), COAST и Sun Microsystems имеют программные «заплатки», предназначенные для блокировки атаки SYN. Последняя версия коммерческого Web-cepвepa компании Netscape Communications более устойчива к таким атакам, чем предыдущие версии, в том числе и та, которую использовала компания Web Communications. Однако руководители последней были против модернизации, поскольку считали, что более поздняя версия работает нестабильно.
«Мы постараемся ускорить процесс перехода на более устойчивый Web-сервер, — сообщил Шефлер. — Кроме того, ведутся переговоры с компанией Cisco относительно мер по защите маршрутизаторов».
Узел Panix, между тем, некоторое время противостоял попыткам сокрушить его серверы методом атаки SYN. Начиная с сентября неизвестный хакер несколько раз в неделю пытался взломать систему, и когда наконец ему удалось проникнуть в нее, он на 12 часов парализовал работу части служб. Об этом сообщил Алексис Розен, президент компании Public Access Networks, которая эксплуатирует Panix. Чтобы заблокировать атаки, компания переписала ядро операционной системы SunOS на своих серверах Sun.
«Наши заплатки на ядре — далеко не самое лучшее решение, но они работают, — отмечает Розен. — Если бы атаки длились более нескольких минут каждая, мы смогли бы выяснить, кто их совершает, и наказать виновника».
Департамент полиции Нью-Йорка подвергся нападению хакеров
Для защиты данных в компьютерной сети можно использовать все что угодно, начиная от брандмауэров и антивирусного ПО и заканчивая кодированием.
Но как защитить телефоны?
В апреле 1996 года департаменту полиции Нью-Йорка пришлось убедиться, что, к сожалению, голосовая почта тоже является уязвимым местом для атак. Ночью хакеры проникли в полицейскую систему и изменили текст приветствия, которое воспроизводилось всем звонившим. Новое сообщение гласило, что офицеры-де слишком заняты поеданием пончиков с кофе, чтобы отвечать на телефонные звонки. В случае опасности автоответчик рекомендовал звонить по 911.
Сотрудники департамента полиции Нью-Йорка, отказавшиеся от комментариев по этому поводу, не одиноки в своих злоключениях.
«Нам никогда и в голову не приходило, что кто-то предпримет попытку взлома системы голосовой почты», — сказал программист Крис Бэртрам, работающий на небольшую компанию с Восточного побережья. Однако недавно телефонный взломщик воспользовался бесплатным номером компании для проникновения в ее голосовую почту. Хакер, называющий себя Shadow Runner (что-то вроде «призрачного вестника»), создал для себя и своих друзей почтовые ящики, использовал их как бесплатные центры обмена сообщениями и даже рекламировал эту услугу в Internet.
Компания, где работает Бэртрам, обнаружила мошенничество в январе, когда к ним позвонила женщина и спросила о бесплатной службе голосовой почты. Очевидно, прочитав рекламу, она не поняла, что это проделки хакеров. Сотрудники компании были по меньшей мере удивлены таким вопросом. Впоследствии они обнаружили 17 почтовых ящиков, зарезервированных на имя Shadow Runner.
Компания оказалась легкой добычей благодаря новой телефонной системе от Samsung Telecommunications America. Система была установлена реселлером, который оставил 100 неиспользуемых почтовых ящиков, по умолчанию доступных по паролю, установленному изготовителем.
Хакеры регулярно обмениваются информацией о таких паролях, а затем ищут системы, где их не модифицировали. Инструкции по взлому попадаются и на узлах Web, например, в электронном журнале Phrack помещена статья о том, как взламывать системы Meridian Mail.
Бывало, что взломщики оставляли грубые приветствия на автоответчиках или принуждали оплачивать крупные счета за международные разговоры компании, разрешавшие мобильным служащим осуществлять доступ к внутренним телефонным системам по бесплатному номеру.
Тем не менее некоторые руководители отделов защиты информации компаний отмечают, что потенциальная угроза компьютерным сетям причиняет им больше беспокойства, чем вероятность взлома голосовой почты. «Проблема защиты телефонных сообщений нас, конечно, волнует, но не настолько сильно», — заявил Тед Комбс из AlliedSignal.
По словам Бэртрама, его компания потеряла лишь несколько сотен долларов на междугородных звонках, сделанных хакером. Однако аналитики защиты телекоммуникаций предупреждают, что последствия могут быть гораздо хуже.
«У нас был клиент, который за три дня потерял 4,5 миллионов долларов, когда хакер, проникнувший в систему, распространил информацию о взломе по Internet», — посетовал Уолт Мэннинг, глава TCS Associates, консультативного агентства по вопросам безопасности.
«После установки такой телекоммуникационной системы, как Meridian Mail, администраторам следует немедленно сменить все пароли, — советует Эд Шак из Visual Traffic. — He дожидайтесь, пока за специалистом по установке захлопнется дверь: хакеры не замедлят появиться».
Крупнейший провайдер услуг Web атакован хакерами
Web Communications (WebCom). которая входит в число крупнейших в Соединенных Штатах провайдеров услуг Web, в середине декабря 1996 года оказалась заблокирована на целых 40 часов, став последней жертвой атаки хакеров. Атака привела к так называемому «отказу от обслуживания».
Был атакован ряд операторов Internet, а началось все с колледжа штата Британская Колумбия, хотя и нет достаточных оснований с уверенностью утверждать, что она была организована именно там.
Как сообщил Крис Чифлер, президент WebCom, сервер компании буквально захлебнулся пакетами данных, которые имели фиктивные обратные адреса, а результатом стал отказ от обслуживания. Когда сервер попытался послать ответы на эти запросы, он обнаружил, что таких адресов не существует, и поместил их в стек отложенных запросов. Стек, естественно, очень быстро переполнился, что и привело сервер к сбою.
К сожалению, все серверы, использующие стек протоколов TCP/IP, восприимчивы к таким атакам.
Этот инцидент обошелся компании WebCom и интерактивным службам, которые она поддерживает, в десятки тысяч долларов.
Последняя атака, затронувшая все три тысячи узлов Web, которыми владеет WebCom, началась вскоре после полуночи в субботу. 14 часов спустя, когда аналогичные явления были отмечены в сети MCI, удалось проследить обратную цепочку: канадский оператор сервиса CA-Net — колледж в Британской Колумбии. «Представители колледжа заявили, что кто-то, возможно извне, внедрился в их систему и удалил файл паролей и журнал, стремясь скрыть следы своего пребывания. Мы делали попытки восстановить удаленную информацию», — сообщил Чифлер.
Представители CIAC и CERT не выработали способа, позволяющего полностью «застраховаться» от повторения подобных атак; однако они рекомендуют операторам Internet переконфигурировать свои маршрутизаторы таким образом, чтобы те не позволяли посылать сообщения с IP-адресами, которые не принадлежат их собственной сети.
Это по крайней мере не позволит подобному бедствию «зародиться» в вашей сети, считают представители CIAC. Если такие шаги предпримет достаточно большое количество компаний, хакерам придется изрядно потрудиться, чтобы найти место, откуда можно было бы начать атаку.
Серверы могут быть переконфигурированы таким образом, чтобы иметь более длинные очереди соединений и быстрее сбрасывать запросы, помещенные в очередь. Это также не радикальная мера, но и она поможет серверам выдержать атаку.
Используемое WebCom серверное программное обеспечение, предоставленное компанией Netscape Communications, не имеет таких «защитных» механизмов, но в модернизированной версии они появятся.
Новая угроза безопасности сети Web
Новый тип хакерской атаки на Internet, именуемый Web spoofing, вскоре может создать гораздо более серьезную угрозу ее безопасности, чем Syn flood, вирусы и так называемый Ping o’Death.
Пока еще не зафиксированы случаи применения этого новейшего метода, представляющего собой «спуфинг» сервера и подмену данных, разыскиваемых браузером пользователя. Однако, по мнению профессора Эдварда Фелтена, возглавляющего группу, занимающуюся исследованиями в области безопасности Internet в Принстонском университете, которая и обнаружила такую возможность, он может быть даже более опасен, чем атаки других типов.
Это обусловлено тем, что, в отличие от атак типа Syn, которые привели недавно к нарушению работы провайдера услуг Internet из Калифорнии (этот случай получил широкую известность), атаки типа Web spoofing могут поставить под угрозу целостность данных владельца Web-узла.
