Spredde seg tross ormekur

Spredde seg tross ormekur

Sasser viser hvor viktig det er å oppdatere Windows og tilhørende sikkerhetssystemer ofte. Og at mange ikke gjør det.
Sikkerhetsoppdateringen MS4-011 for Windows-maskiner ble lagt ut av Microsoft 13. april. Bare et par uker etter dukket Sasser-ormen opp. Den benytter seg av nettopp de hullene som ble fikset med oppdateringen. Hadde brukerne oppdatert, ville ormen ikke kunnet spre seg.

"Tidsvinduet", tiden fra en svakhet blir oppdaget til noen klarer å utnytte den i skadelig hensikt, blir stadig kortere. Dette har sikkerhetsfirmaene kunnet dokumentere lenge. Like fullt er "patch management" og bevissthet rundt sikkerhet i bedriftene og blant private pc-brukere skremmende lav.

Annerledes kan det ikke tolkes at hundretusener, kanskje millioner pc-er er rammet av Sasser. Ormen dukket opp 1. mai-helgen, og finnes i skrivende stund i fire varianter. Selv om Sasser i seg selv ikke skader data, legger den beslag på nær all prosessorkraft på maskinene den kommer inn på.

Dette belaster ikke bare pc-ene, som ofte går ned og varmstarter, men også nettverkene. De siste Sasser-variantene pinger ip-adresser så friskt at det nesten kan virke som denial-of-service-angrep.

Mangler brannmur

Forsikringsselskapene Sampo og If hadde store problemer i de nordiske landene i begynnelsen av uken, og Aetats web-sider var nede mandag. Uten at det er bekreftet om det skyldtes Sasser. Ifølge sikkerhetsfirmer var en rekke organisasjoner og bedrifter rammet, uten at de ville stå frem.

Men Sasser finner lettest vei på private pc-er tilknyttet bredbånd. Utrolig mange ahr ikke sørget for verken sikring med brannmur eller automatisk oppdatering via Windows Update. Ironisk nok kan de maskinene det er enklest å beskytte, være de som er mest utsatt for Sasser og lignende trusler.

-- Personlig brannmur er viktig på hjemmemaskiner og særlig bærbare som skifter nettverkstilknytning. Men det viktigste er å være oppdatert. Og nå er det kritisk med hensyn til hvor kort tid du har på deg fra et hull varsles til ormer og virus dukker opp, sier virus-analytiker Snorre Fagerland i Norman.

Han innrømmer at personlige brannmurer krever noe kunnskap av brukeren, men ser ikke noen alternativer.

For mye posering

-- Microsoft kan neppe klandres for at de legger ut en oppdatering. Det som er et problem er at mange legger ut eksempler på kildekode om hvordan svakheter kan utnyttes altfor tidlig. For tidlig til at folk rekker å beskytte seg, og tidsnok til at de som ønsker å utnytte dem, kan bruke eksemplene til å lage ormer eller virus.

Hensikten med å legge ut såkalte "exploits" som viser hvordan sikkehetshull kan utnyttes, følger en tankegang tilbake fra de gamle Unix-dagene, mener Fagerland. De "snille" trenger like mye informasjon som de "slemme". Men dagens administratorer har kanskje ikke samme kompetanse eller mulighet til å tilpasse operativsystemene. De må vente på leverandøren.

-- Jeg mener at det i våre dager ikke er noen grunn til å offentliggjøre hvordan sikkerhetshull kan utnyttes med fornuftig formål. Det minner mest om posering, sier Fagerland.

Han mener Microsoft beskriver sikkerhetshull og patchene av dem i runde vendinger, men at det er umulig å gjøre alle til lags.

-- Microsoft har verdens mest brukte operativsystem og må gå ut med patcher og advare når de oppdager problemer. Jeg kan ikke se hva de ellers kunne gjøre, sier Fagerland.