QR code per la pagina originale

Slammer: la lezione di un virus

È polemica intorno al worm che ha bloccato la Rete nel fine settimana. Sul banco degli imputati MS SQL Server 2000 e gli amministratori di sistema. Ma Slammer potrebbe rivelarsi un prezioso avvertimento.

,

Il caso di Slammer, il worm che ha tenuto sotto scacco Internet tra venerdì e sabato, ha riportato nuovamente alla ribalta la questione della sicurezza online. A risultare colpiti sono stati i server Microsoft SQL, ma una volta tanto il fuoco delle polemiche non si è concentrato sull’azienda di Redmond, bensì sugli amministratori di sistema, rei di non aver installato sui server la patch, pronta fin da luglio, che avrebbe arrestato l’epidemia. Ma le polemiche di queste ore rischiano comunque di distogliere l’attenzione dalla minaccia più importante che casi come quello di Slammer evidenziano.

«C’era un mucchio di cose che potevano essere fatte da luglio ad ora», ha dichiarato il consigliere per la sicurezza informatica della Casa Bianca Howard A. Schmidt, che ha utilizzato una metafora automobilistica per evidenziare le negligenze degli amministratori di sistema: «Ci accertiamo di avere la giusta pressione nei pneumatici e che i freni siano a posto. Dobbiamo anche essere sicuri che i nostri computer siano sempre aggiornati».

Slammer ha sfruttato la falla di Microsoft SQL Server 2000 descritta nel bollettino di sicurezza MS02-039. A differenza dei worm più comuni, che si propagano da computer a computer tramite un allegato di posta elettronica, Slammer si installa nella memoria dei server bacati (non nell’hard-disk) e da lì tenta, inviando migliaia di PING al secondo, di trovare nuove macchine vulnerabili all’infezione. Questo ha l’effetto di generare un volume di traffico capace di rallentare le connessioni fino a bloccarle totalmente. A quel punto, agli amministratori delle macchine infette non resta da fare altro che staccare la connessione e riavviare il server.

Slammer è quindi un worm estremamente efficiente e virulento, ma anche facilmente annientabile. A dispetto dell’entità dei danni che ha causato, lo si potrebbe descrivere come il classico cane che abbaia, ma non morde. Il virus ha gettato nel panico gli operatori finanziari dei paesi nei quali ha colpito più duramente: in Corea del Sud il mercato azionario ha toccato il livello di scambi più basso degli ultimi 13 mesi; negli Stati Uniti, 13 mila bancomat della Bank of America sono andati fuori uso per tutta la giornata di sabato. Probabilmente non conosceremo mai l’esatto ammontare dei danni causati da Slammer. Ma si tratta di danni indiretti, derivanti dalla lentezza delle connessioni: nessun dato è stato è stato perso a causa del worm.

Se la vostra banca lascia la porta d’ingresso aperta e senza sorveglianza, possono accadere varie cose: può darsi che non entri nessuno; può darsi che entri un pazzo e che costui cominci ad urlare e a saltare sulle poltrone, spaventando a morte voi e gli altri clienti; può darsi, infine, che entri un rapinatore esperto il quale, zitto zitto, faccia man bassa dei vostri risparmi prima che qualcuno se ne accorga e lanci l’allarme.

Slammer ha fatto come il pazzo e, se non altro, ha avuto il merito di far notare la porta aperta. Una porta rimasta spalancata per oltre sei mesi sui server della Bank of America e di chissà quante altre organizzazioni nel mondo. Secondo il CERT, sono state circa 4 mila le vulnerabilità di questo tipo emerse nell’ultimo anno. La prossima volta, qualcuno potrebbe pensare di sfruttarle in maniera meno plateale e più dannosa. È questo l’aspetto meno rassicurante della vicenda.