Арест хакера

10 марта 2000 года индекс Nasdaq достиг рекордной отметки 5000 пунктов за все время существования. Тем не менее компания ITTI (Internet Trading Technologies — Технологии продаж через Интернет) не принимала участия в этом рыночном скачке. Компания была слишком занята проблемой отражения электронной атаки.

Согласно заявлению Крэйга Гольдберга (Craig Goldberg), президента и основателя ITTI, хакер заблокировал сервер компании, обеспечив непрерывный поток фальшивых заказов. В результате, клиенты ITTI не могли совершать сделки через автоматизированную трейдинговую систему несколько раз в течение дня и в последние полчаса перед закрытием биржи.

«Тот, кто сделал нас мишенью атаки, имел глубокие познания о том, как работает наша система, — сказал Гольдберг телекомпании TechTV. — Благодаря своему уникальному знанию системы (хакер) был в состоянии получить доступ к демонстрационной части нашего сайта, вводя определенные блоки информации, чего не мог бы сделать кто-либо еще и тем самым разрушить систему».

Гольдберг решил позвонить Эрику Фридбергу (Eric Friedberg), старшему адвокату по судебным делам Адвокатуры США, Бруклин, Нью-Йорк.

«Вы не могли иметь торговую компанию, которая понижает Nasdaq три или четыре часа в день, — сказал Фридберг. — Поэтому мы должны в этом случае намного более детально рассмотреть дело, так чтобы попытаться понять самую суть проблемы и немедленно остановить атаки, приводящие к отказу от службы».

Первым шагом в этом процессе было установление места, откуда проводились атаки. Эта задача была поручена сетевому инженеру ITTI Александеру Паркеру (Alexander Parker).

«Мы заметили, что сервер мог рухнуть каждый раз, когда оператор регистрировался с определенного IP адреса», — упомянул Паркер.

Оказалось, что IP адрес принадлежит компьютеру научной лаборатории колледжа Куинз (Queens) в Нью-Йорке. Еще один IP адрес, фигурирующий в атаках, принадлежал компьютеру общего пользования в магазине Кинкос (Kinko’s), располагающемся в здании банка Ситикорп (SitiCorp) в Нью-Йорке.

«Обычно, если вы предпринимаете атаку подобного рода, вам нужно что-то сделать для сокрытия источника атаки, — сказал Паркер. — А взломщик не сделал ничего подобного, поэтому я чувствую, что нас ждет удача».

ITTI и компетентные органы должны были оказаться удачливыми и в деле выслеживания злоумышленника. Хотя полиция знала, откуда велись атаки, но у нее до сих пор не было представления о том, кто это сделал. «Когда вы планируете атаку из Кинкос, то будет очень трудно усадить определенного человека за эту клавиатуру в определенное время», — объяснил Фридберг.

Хотя местоположение хакера не могло помочь установить его личность, тем не менее характер атаки — мог. Фридберг был уверен в том, что хакер как-то был связан с ITTI.

«Человек, организовавший эту атаку «отказ от сервиса», был в штате и не только был в штате, но он был программистом, — сказал Фридберг. — Он имел наготове информацию, для того чтобы суметь легко воспользоваться любыми слабыми местами в системе, поэтому он естественным образом мог поставить систему на колени, потратив небольшие усилия».

Гольдберг согласился с тем, что хакер был в штате и, фактически, уже подозревал одного служащего его компании: Абделькадера Смайрса (Abdelkader Smires).

Смайрс был программистом в ITTI и по совместительству преподавателем компьютерного дела в колледже Куинз и недавно поссорился с руководством компании.

«В то время Абдель и его брат попросили прибавки зарплаты и предоставления более высокой должности в компании, — отметил Гольдберг. — Как только мы решили, что пришли к соглашению… Абдель с братом заявили: «Мы хотим большего», на что мы ответили: «Это уже не переговоры о зарплате по доброй воле». У нас появилось чувство, что нас держат в заложниках».

Фактически, компания была в заложниках у Смайрса. Когда полиция вместе с агентом Сикрит Сервис Бобом Чиарроне (Bob Sciarrone) приехали в колледж Куинз для осмотра места происшествия и опроса потенциальных свидетелей, они нашли человека, видевшего Смайрса за компьютером, с которого проводилась атака.

«Я верю, что этот преподаватель был внутри в то же самое время (что и Смайрс), знал его и показал место, где он сидел», — сказал Чиарроне.

Полиция конфисковала фигурировавший в атаках компьютер, а агенты Сикрит Сервис обнаружили файлы, указывающие на то, что атаки на web-сайт ITTI организовал Смайрс.

«Выяснилось также, что оператор был немного неаккуратен, ибо в одно и то же время с запуском атаки «отказ от службы» против ITTI он читал адресованные ему письма, — сказал Фрайберг. — Я думаю, что хотя он обладал практическими навыками, чтобы получше сделать свою работу, уничтожить улики, но он был так сердит, что потерял контроль над собой».

Смайрс был арестован по подозрению в компьютерном мошенничестве и в злоупотреблении служебным положением, и, в конечном счете, ему было предъявлено обвинение большим жюри. Его приговорили к восьми месяцам тюрьмы.

В своем признании Смайрс настаивал на том, что он пытался «замедлить системы ITTI, заставив компьютер думать, что он получает большое количество заказов на продажу». Он также извинился и сказал, что у него никогда не было намерений причинить вред кому-либо.

Тем не менее он причинил вред ITTI. «С точки зрения репутации, с точки зрения стоимости консалтинга… это стоило нам довольно больших денег, — сказал Гольдберг. — Самих по себе убытков от продаж не было, но с точки зрения потерянных возможностей этот случай стоил нам несколько сотен тысяч долларов». ITTI также заявила, что в результате атак Смайрса она понесла убытки от поломок в сумме 54000 долларов.

В результате атак Смайрса компания потеряла больше, чем просто деньги. Она потеряла также способность слепо надеяться на свою собственную систему защиты и слепо доверять своим собственным служащим.

«Это (был) не просто штатный работник, использующий конфиденциальную информацию, использующий собственное знание системы, чтобы не только внедриться в нее, но и причинить вред, — сказал Фридберг. — Это была серьезная атака, мы пока не видим, что их было много, но я думаю, что нам предстоит увидеть больше».