Ci risiamo. Pensavo (ed in cuor mio speravo) che dopo Nimda qualcosa sarebbe migliorata.
Invece dopo un anno e mezzo ci risiamo.
Un nuovo worm che sfrutta le vulnerabilità degli amministratori e non del software.
Perchè un software può avere bug, l'importante è che siano corretti. Ma se un amministratore ha dei bug, allora è arrivato il momento di cambiare amministratore.

SQL Slammer

Il nome in codice è W32.SQLSlammer ed è probabilmente il peggior worm che si ricordi, almeno per la sua portata nell'immediato.
Nimda ha dannato la vita agli amministratori perchè in fondo era qualcosa di un po' più complesso, che infettava client, server e posta.
Tutto sommato Slammer è davvero banale: sfrutta un bug corretto a luglio per moltiplicare a dismisura il traffico della rete, il tutto provando a forzare la porta 1443 UDP.
Inutile dire che sarebbe bastato non aprire questa porta, oppure ancora più semplicemente, applicare la ormai famosa fix contenuta nel MS02-061 o l'ultimo Service Pack 3 .
C'è chi si è lamentato del poco eco che ha avuto la notizia. Un motivo in più per iscriversi alla nostra lista Security :)

Dunque, ancora una volta la difesa migliore contro un worm è trattare la sicurezza come una priorità sempre, non quando ci sono problemi . E' un guaio. Perchè la sicurezza costa. Dannatamente.
Io sono un appassionato di sicurezza, non è certo il mio lavoro, però credo che non si possa dimenticare che se un bug esiste e viene reso noto, ci può essere almeno un malintezionato in grado di sfruttarlo, lì fuori.
E se ci tenete ai vostri dati, all'immagine della vostra azienda ed anche al vostro lavoro, probabilmente vale la pena pensarci nell'immediato, non dopo sette mesi.

Per tornare a Slammer, vi consiglio di disabilitare la porta 1434 UPD (anche TCP).
Da notare che non sono affetti da questo problema sia SQL Server 7.0 che MSDE 1.0, derivato da quest'ultimo, mentre lo è ovviamente MSDE 2000, derivato da SQL Server 2000.

Per testare se siete vulnerabili a questo worm, potete provare questa utility di eEye Digital Security, azienda molto nota nel settore sicurezza. Non si comporterà certo come Slammer, ma sfruttando lo stesso principio vi dirà se il vostro sistema è immune o meno al problema.

Visto che ormai la frittata è fatta, fossi in voi perderei altri dieci minuti (ad averli persi allora, questo week-end vi sareste riposati...) per installare il Service Pack 3 .

Se volete maggiori informazioni, Microsoft ha predisposto una pagina all'interno di TechNet .

Le mie considerazioni

Ho seguito l'accaduto fin dalle prime ore e quindi mi sono fatto un'idea precisa della questione.
La maggior parte dei server era irrangiungibile, questo incluso, perchè il traffico sulla rete è stato notevole. Ci sono stati nodi che hanno fatto un traffico di 80 MBits/sec, un'enormità. Poi era sabato, molto probabilmente ci sono stati server compromessi fino a lunedì mattina (il week-end è sacro...).
Infine, ogni sorta di server, Windows o Linux, non era raggiungibile a causa del traffico stesso. Insomma, una paralisi di buona parte di Internet.

Si poteva evitare?

Certamente. Il guaio più grande è che purtroppo per amministrare un server Windows va bene anche mio figlio di tre anni. Molto probabilmente nel tempo libero qualcosa la fa anche lui.
Dopotutto non c'è molto da fare, basta installare e probabilmene l'applicazione funzionerà. Bisogna vedere come. Perchè c'è una bella differenza tra funzionare ed essere configurata a dovere.
Non mi fraintendete, credo che l'interfaccia user-friendly sia uno dei motivi migliori per usare Windows. E' che troppo spesso se ne abusa, salvo poi lamentarsi con Microsoft perchè ha rilasciato la patch 7 mesi fa e non si ha voglia di applicarla.

Propongo di raccogliere le firme per fare in modo che ogni patch vi venga installata a domicilio! :)
Più realisticamente, è arrivato il momento di cambiare lavoro, se non si è in grado di fare quello per cui si è pagati, ovvero amministrare e gestire un server. Probabilmente è un lavoro secondario, all'interno di altre mansioni nella propria azienda, ma questa è un'attenuante, non una scusante. O vi fate aumentare lo stipendio (l'ho detto che la sicurezza costa...) oppure lo dite al vostro capo progetto, che ve ne lavate le mani. Sviluppare è una cosa, manutenere è un'altra.

Infine, sarebbe meglio spendere un paio di settimane ed imparare meglio cosa voglia dire rendere sicuro un server, magari la prossima volta potrete guardare questi worm da un'altra prospettiva.

E così da oggi, ci sono anche gli amministratori buggati...

Contenuti dell'articolo

• SQL Slammer
• Le mie considerazioni
• Si poteva evitare?