Nettet er så småt ved at komme til sig selv efter lørdagens mavepumper af et virusangreb forårsaget af en orm, der går under navnene SQL Slammer og SQL Sapphire.
Den lagde titusindvis af servere med Microsoft SQL Server 2000 ned.
Det skete, til trods for at Microsoft den 27. juli sidste år lagde en rettelse til sikkerhedshullet frem.
En række danske sikkerhedseksperter peger imidlertid på, at mange af de inficerede servere øjensynlig var installeret på private pc'er.
Det ved de private brugere ofte ikke selv, påpeger Lars Neupart fra sikkerhedsfirmaet Neupart.
- Installation af SQL Server 2000 kan ske ved installation af programmer som Office XP eller Acces 2002 - uden at brugeren bemærker det. Derfor er han ikke opmærksom på, at han skal patche sikkerhedshullet, siger han.
Ved ikke, hvad vi siger ja til
Det samme mener Preben Andersen fra DK-CERT.
- Vi siger tit ja til noget, når vi installerer, uden at vide, hvad det er. Vi er bare glade for at få den nye software op og køre. Mit råd er, at folk bør gå ind og tjekke om deres computer har en SQL Server 2000 kørende, siger han.
Preben Andersen peger på firmaet Kruse Security, der netop henviser til et værktøj, der kan finde ud af, om der er installeret en SQL Server på maskinen.
Illustrerer kendte problemer
Derudover er Preben Andersen og Lars Neupart enige om, at den hastige udbredelse af Slammer nok en gang understreger problemerne for systemadministratorer med at holde programmerne opdaterede.
Som Preben Andersen udtrykker det:
- Det er ikke af ond vilje. Men administratoren skal også op på tredje sal og hjælpe nogle dér med problemer. Skal han derudover bruge 10 minutter per system per dag på sikkerhedstjek, så er det svært at få tid nok, forklarer han.
Administratorer vil gøre det lettere for sig selv
Lars Neupart kalder det sjusk at lade SQL Server 2000 have adgang til nettet. Dér har den ikke noget at gøre, og den har kun adgang dertil, fordi nogle administratorer vil gøre tingene nemmere for sig selv.
Sikkerhedsfirmaer og antivirusproducenter melder mandag om en nedgang i antallet af angreb. Sikkerhedsfirmaet eSec Managed Security oplyser eksempelvis, at hvor firmaets skandinaviske kunder i lørdags var udsat for i gennemsnit 1000 angreb i timen, er tallet mandag nede på 10 angreb i timen.
Lars Neupart peger på, at flere netudbydere simpelthen har blokeret for port 1434, som Slammer angriber. Det har bremset udbredelsen.
Det lille skadelige program på kun 367 bytes er nemt at slå tilbage, såfremt porten lukkes og sikkerhedsbristen i SQL Server 2000 bliver udbedret.
- Slammer har bredt sig hurtigt, fordi den spreder sig via UDP-trafik. Andre orme har benyttet sig af TCP-trafik, hvor der først skal oprettes en forbindelse, når der er fundet en åben port. Slammer venter ikke på det, men sender straks en pakke af sted, forklarer Lars Neupart.
Derudover anbefaler han, at port 1433 ligeledes bliver blokeret.
Preben Andersen fra DK-CERT ser dog mere mørkt på situationen. Han kalder aktiviteten for voldsom og vurderer, at mandag bliver "en dag af de værre", som han siger.
Relevante links:
Patch til hullet i SQL Server 2000
Microsoft bulletin om sikkerhedshullet
Scan din pc for at se om du har en SQL Server 2000 kørende
Kruse Securtity om Slammer
eSec Security Management om Slammer
Neupart om Slammer
