Norman undervurderte Slammer

Antivirusselskapet Norman vurderte Slammer til "Low Risk". Etter å ha sett konsekvensene av angrepet på Microsoft SQL Server tar selskapet nå selvkritikk.
Det var sist helg ormen SQLSlammer slo til for fullt. Et stort antall Microsoft SQL-servere ble angrepet. Disse begynte å generere så stor trafikk at internett nærmest ble lammet. Et av fire web-steder i hele verden ble enten stoppet, eller fikk redusert ytelsen dramatisk.

-- Vi må ta kritikk for at vi ikke vurderte SQLSlammer som en høy-risiko orm. Det var nok feil, sier virusanalytiker Snorre Fagerland i Norman.

Hjemmebrukere og andre "vanlige" pc-er ble ikke angrepet. Det er begrunnelsen Fagerland gir for at Norman ikke så på Slammer som et stort problem.

Kjent hull

Slammer utnyttet en kjent svakhet i Microsoft SQL Server. Såkalte patcher for problemet ble gjort tilgjengelig allerede i sommer, men mange brukere har ikke brukt denne muligheten til å sikre sin programvare. Selv internt i Microsoft-konsernet, som selv ble lammet av ormen, hadde mange ansatte "glemt" å oppdatere sine lokale SQL-databaser.

Ormen kobler seg opp mot port 1434 (Microsoft SQL Monitor) på tilfeldige maskiner knyttet til internett, og legger seg i minnet. Det gjør at den 376 byte lange ormen blir borte når datamaskinen startes på nytt.

-- Slammer er en "exploit", altså en orm som utnyttet feil i programvare. Dersom du patcher er du trygg, sier Fagerland.

Hverken brannmur eller antivirusprogrammer oppdager vanligvis denne typen ormer som kryper rundt på internett uten å være avhengig av en vertsfil. Antivirusprogrammer er filorienterte og oppdager ikke slike utbyttere, mens brannmurer vanligvis vil være satt til å tillate trafikk til og fra SQL-servere.

Ligger skjult

Mange applikasjoner bruker Microsoft SQL Server uten at brukerne er klar over det. Ifølge antivirusselskapet Panda gjelder det programmer som Compaq Insight Manager, Dell OpenManage, HP Openview Internet Services Monitor og Veritas Backup Exec, samt Microsoft-programmer som Office XP Developer Edition, Project, Visio 200 og Visual Studio .Net.

Dette kan være grunnen til at så mange har latt være å tette de kjente sikkerhetshullene, og illustrerer svakheten med at brukerne selv er ansvarlige for å oppdatere sin programvare.

Warhol

Russiske Kaspersky Labs har kommet fram til at ytelsen på internett ble redusert med 25 prosent på grunn av Slammer (ormen er også kalt Sapphire og Helkern).

Ifølge det anerkjente laboratoriet ble faren med den typen programvarefeil som Slammer utnytter, oppdaget for flere år siden. De første såkalte stealth-ormene som slik jobbet i det stille var BubbleBoy og KakWorm, men spesialistene snakket ikke høyt om disse av frykt for at dette skulle generere flere ormer.

I august 2001 publiserte en Berkeley-forsker en rapport om ormen Warhol som klarte å spre seg til hele verden. Ormen ble kalt Warhol for å referere til Andy Warhols utsagn om at "i framtiden vil alle være berømt i 15 minutter".

Opprinnelsen til Slammer er fortsatt utkjent. Men Kaspersky Labs mener drømmen om å bli berømt kan drive dem som lager virus og ormer. Ifølge informasjonsdirektør Denis Zenkin kan ormer som virus redusere ytelsen på dagens internett i så stor grad at et alternativt nett presser seg fram.