– w nocy z 24 na 25 stycznia po raz kolejny przeżyliśmy internetowe trzęsienie ziemi. Po wirusach Love Letter, Nimda, Code Red i setkach innych, mniej groźnych, dał o sobie znać Slammer.
376-bajtowy “bakcyl” za cel obrał sobie serwery MS SQL Server 2000 oraz aplikacje stworzone przez niezależne firmy na bazie jądra tego pakietu (MSDE 2000). Korzystając z luki w programie, wirus doprowadzał MS SQL-a do apopleksji, a następnie rozsyłał się, gdzie popadnie, atakując kolejne bazy danych. W efekcie np. w Stanach Zjednoczonych odmówiło współpracy 50 000 bankomatów, a internauci w Korei nie byli w stanie dopchać się do Sieci. Tymczasem “dziura” w SQL-u była znana już od… lipca ubiegłego roku!
Nie, Microsoft nie zlekceważył usterki w MS SQL. Stosowną poprawkę gigant z Redmond opublikował zaraz po wykryciu “dziury”! Ponadto w styczniu 2003 r. ukazał się Service Pack 3 do Microsoft SQL Servera 2000, który zawierał m.in. łatę usuwającą “dziurę” wykorzystaną później przez programistów Slammera. Niech mi więc nikt nie mówi, że administratorzy mieli za mało czasu na instalację poprawki. Wielu z nich dopuściło się karygodnego zaniedbania swojego najbardziej podstawowego obowiązku – łatania “dziur” w podlegających ich opiece systemach.
Slammer udowodnił więc po raz kolejny, że to ludzie (a nie komputery!) są najbardziej zawodnym elementem każdego systemu informatycznego. Zawinili administratorzy – to jasne. Skoro jednak tysiącom specjalistów na całym świecie nie chciało się pobrać czegoś ze strony Microsoftu, nie można poprzestać tylko na ich napiętnowaniu. Dostaliśmy oto do ręki dowód, że obecny system dystrybucji łat do popularnych aplikacji jest po prostu niesprawny. Za uzmysłowienie nam tego faktu autorowi Slammera należą się więc paradoksalnie wyrazy wdzięczności. W imieniu użytkowników komputerów dziękuję Ci, Nieznany Programisto!
Nie sądzę
, by problem tkwił w systemie dystrybucji poprawek. Zapewniam Cię, że każdy poważny administrator wie, co to BugTraq, i czyta na bieżąco odpowiednie biuletyny. Oczywiście, nic nie usprawiedliwia pracowników firm zaatakowanych Slammerem, myślę jednak, że na sprawę należy spojrzeć nieco szerzej.
Zwróć uwagę, że wirus zaczął się rozprzestrzeniać na początku weekendu, kiedy to w większości firm obecni są tylko ochroniarze lub dyżurni. Właściwa reakcja ze strony administratorów została więc opóźniona co najmniej o kilka godzin. Zauważ też, że MDSE 2000 jest darmowym i bardzo chętnie wykorzystywanym modułem w wielu aplikacjach instalowanych przez użytkowników często na własną rękę poza kontrolą działów IT. Jestem przekonany, że większość takich ofiar Slammera w ogóle nie wiedziała o konieczności instalacji poprawki. Trudno za taki stan rzeczy winić administratorów, a nie zarządy firm, często bagatelizujące problem odpowiedzialnego zarządzania zawartością stacji roboczych.
Powiesz też, że tego rodzaju incydentom powinny zapobiegać wszelkie “ogniomurki”, na które każda szanująca się firma wydaje furę pieniędzy. Niestety, często okazuje się, że są one źle skonfigurowane, bo… w budżecie nie przewidziano dodatkowego etatu, a opiekę nad nimi powierzono w efekcie osobom przypadkowym. Na szkolenia z zakresu bezpieczeństwa jeżdżą więc nie administratorzy, lecz np. handlowcy — w nagrodę…
Niska świadomość zagrożeń płynących z Sieci – zwłaszcza wśród tzw. managementu – prowadzi często do bagatelizowania problemu i szukania oszczędności w dziedzinie zabezpieczeń. Skoro nic się nie psuje, to po co zatrudniać administratora?! A dobry specjalista kosztuje, podobnie jak audyty bezpieczeństwa, o których wiele firm po prostu zapomina.
I zgadzam się z Tobą, że to właśnie człowiek jest słabym ogniwem, lecz czy na pewno chodzi tylko o administratorów?
