В понедельник, 7 февраля 2000 года, большинство
ресурсов всемирно известного портала YAHOO были недоступны для посетителей
в течение 3 часов. "Атака хакеров" - первое, что пришло
в голову как техническому персоналу, так и посетителям, хотя поначалу
специалисты компании были склонны называть причину более прозаичную,
а именно - технические неполадки у провайдера Global Center. Последние
это категорически опровергли.
Впрочем, сомнения насчет реальной причины "простоя"
сервера вскоре быстро развеялись. В течение суток после инцидента
с YAHOO, были выведены из строя на 2-3 часа серверы известных компаний
eBay (http://www.ebay.com/),
Buy.com (http://www.buy.com/)
и Amazon.com (http://www.amazon.com/)
и еще по меньшей мере пятьдесят серверов США. Организованные атаки
хакеров продолжались и пострадавшими оказались CNN (http://www.cnn.com/),
E*Trade (http://www.etrade.com/),
ZDNet (http://www.zdnet.com/),
Datek Online Holdings (http://www.datek.com/),
сайт сената США (http://www.senate.gov/)
и еще множество не столь знаменитых серверов. В результате ФБР было
завалено заявлениями потерпевших с призывами восстановить справедливость
и наказать виновных.
Примечательная особенность прошедших нападений - серверы не подвергались
взлому, а вследствие спровоцированной извне перегрузки "просто"
на несколько часов прекращали работу. Применялся такой метод атаки
- на сервер-жертву посылается множество нестандартно сформированных
пакетов данных, одновременно исходящих от нескольких (от единиц до
сотен и тысяч) атакующих компьютеров. Из-за нестандартности и массированности
такие пакеты "засоряют" сервер-жертву, поэтому последний
утрачивает способность воспринимать какую-либо иную информацию. Нападения
такого типа называются DoS-атаки (Denial-of-Service,
"отказ в обслуживании") и известны достаточно давно. Кстати,
по странному совпадению, первая февральское нападение против YAHOO
началось через полчаса после доклада об атаках denial-of-service на
конференции "Организации сетевых операторов Северной Америки".
При реализации DoS-атаки основной инструмент хакера - компьютеры-"зомби",
без ведома хозяев использующиеся в качестве атакующих. Для управления
ими хакер использует "дырки" в программном обеспечении "зомби",
либо обнаруженного "троянского коня". То есть соучастником
нападения может стать практически любой, подключенный к Интернету,
компьютер.
Для обнаружения уязвимых систем хакером применяется специальное ПО,
позволяющее сканировать сеть и осуществлять атаку, что облегчает "труд"
злоумышленника. Одна из таких программ - Tribe Flood Network,
свободно доступна в Интернете, а ее разработчика, его прозвище Mixter,
ФБР начала разыскивать сразу после серии атак. Сам Mixter отрицает
свою причастность к нападениям и утверждает, что его программа разрабатывалась
прежде всего для администраторов серверов, которые с ее помощью могли
обнаружить слабые места в своих системах. Кстати, для организации
февральских атак использовалось еще несколько подобных разработок
(часть из них указал и Mixter), также свободно доступных в Интернете.
Существование подобных программ значительно снижает уровень необходимой
квалификации злоумышленника и увеличивает потенциальную опасность
DoS-атак.
Ко всему прочему, универсальной защиты от DoS-атаки во всех ее проявлениях
не существует, то есть любой сервер потенциально может стать жертвой
нападения. Есть лишь ряд методов, позволяющих противодействовать уже
начавшейся атаке: в частности, ограничение на обработку сервером определенных
типов данных, установка антиспуфинговых фильтров, затрудняющих атаки
и облегчающих прослеживание их источника. По мнению специалистов,
гораздо более важный метод борьбы - проверка и выявление слабозащищенных
систем, которые могут использоваться в качестве атакующих ("Не
навреди!!!").
Антивирусные производители мгновенно почувствовали спрос и уже предлагают
свои разработки, среди них отметим модернизацию сканера McAfee
VirusScan, позволяющего выявить в системе код "зомби",
с помощью которого компьютер мог быть использован злоумышленником
в качестве атакующего звена.
Сейчас уже определены компьютеры (хотя далеко не все), применявшиеся
в качестве "зомби" в февральских атаках. В основном, это
машины известных высших учебных заведений США, также машины, расположенные
на территории Канады и Германии. Естественно, подозревают и "зомби"-соучастников
из стран СНГ, и определенный круг хакеров, проживающих в США и Канаде.
Выследить организатора(ов) DoS-атаки реально, и этим уже пользовались
для поимки хакера, организовавшего в середине февраля нападение на
сайт Department of Motor Vehicles (DMH) штата Вирджиния. Как
только началась атака, сотрудники сайта тут же начали отслеживать
источник нападения и по электронному следу смогли вычислить точное
местоположение хакера. Полиции штата удалось задержать электронного
террориста через несколько часов после совершения нападения. Им оказался...
26-летний автомобилист, недовольный системой страхования DMH. Следствие
убеждено, что он не имеет никакого отношения к нападениям на Yahoo!,
CNN, eBay и др. крупнейшие Web-сайты.
Что касается всех этих нападений, то очень скоро подозрение пало на
американские спецслужбы (прямо детектив), которые таким образом могут
пытаются урвать побольше средств из бюджета США. Возможно, Интернет
стал мощным инструментом политического давления.
Материал подготовлен по сообщениям РосБизнесКонсалтинг, ZDNet.Ru,
InfoArt.
Источник: http://www.mycomp.com.ua/
