Roma – Ma quale rallentamento! Il worm che negli scorsi tre giorni ha fatto penare mezza internet ha provocato veri e propri blocchi della rete, scaturiti tanto dai ripetuti attacchi denial-of-service scatenati dallo stesso worm, quanto dalle azioni preventive di difesa di alcuni grandi gestori nazionali e internazionali.
“SQL Slammer”, questo il nome con cui passerà alla storia il codicillo devastante, che ha saputo riprodursi e provocare danni che qualcuno ha paragonato a quelli del famigerato Code Red , ha avuto una diffusione e un impatto sulla rete come non se ne vedevano da molti mesi.
Intere sottoreti nordamericane, europee, asiatiche si sono trovate sotto il bombardamento di un worm capace di trasformare alcune decine di migliaia di server non debitamente aggiornati e patchati in macchine sparadati, con la conseguenza di intasare a lungo i network, soprattutto tra sabato notte e domenica mattina.
Gli esperti, mentre scriviamo, sono concordi nel ritenere che il peggio dovrebbe essere passato, mentre la piena normalità sarà conquistata solo nel corso della mattinata di oggi, con il ritorno al lavoro degli amministratori di rete.
Già, perché SQL Slammer è un worm che ha preso di mira le macchine con installato Microsoft SQL Server 2000 o il Microsoft Desktop Engine (MSDE) 2000, due programmi che certo non si trovano su tutti i PC ma che sono molto diffusi tra i server o tra chi deve gestire un database da remoto. Sebbene il recente Service Pack 3 rilasciato da Microsoft abbia messo al sicuro moltissimi server, tutti coloro che non hanno installato le ultime patch si sono trovati a mal partito nel corso del week-end.
Danni a causa del worm vengono segnalati da più parti, soprattutto nei paesi dove più diffuse sono le infrastrutture di rete. Se in Asia in Corea del Sud il worm ha avuto una enorme diffusione, anche in Europa è stato visto ovunque. In Italia e altrove alcuni gestori di backbone hanno scelto di fermare una parte del proprio traffico (anche PI per ore è rimasto ieri senza posta per questa ragione), anche attraverso un blocco del protocollo UDP sulla porta 1434, sfruttata dal worm per attivare i propri attacchi. Problemi si sono avuti nelle reti dello shopping, nel trading e nell’e-banking.
Il funzionamento di SQL Slammer, di cui fin dal suo apparire si è occupata anche Microsoft Technet , si basa tutto sulla sua capacità di copiarsi e inviare richieste di dati molto rapide sulle reti a caccia di altri server di rete, traducendo il tutto in un attacco mirato a impedire il funzionamento del network. Della cosa si è occupato con una task force anche il CERT , il Centro di gestione delle emergenze finanziato dal governo americano.
Secondo alcune stime della prima ora fatte dagli esperti negli Stati Uniti, probabilmente in assoluto il paese più colpito da questo attacco, nel momento più devastante circa il 20 per cento di tutto il traffico internet sarebbe andato perduto.
Ora il timore degli esperti, naturalmente, è che le capacità di questo worm siano utilizzate nel prossimo futuro per costruire varianti più pericolose, che non si limitino a danneggiare la connettività ma che portino con sé altri scopi più aggressivi, come la cancellazione di file e altro ancora.
Come già accadde proprio per Code Red, anche questa volta sembra assai difficile riuscire a risalire all’autore o agli autori del worm, una questione sulla quale stanno lavorando tutte le polizie specializzate dei paesi colpiti. Anche nel caso di Code Red si temette la successiva “mutazione” del worm capace di danneggiare ulteriormente, cosa che si verificò sebbene in misura meno drammatica di quanto paventato.
Sull’accaduto pubblichiamo di seguito un commento di ALCEI, divisione italiana di Electronic Frontiers Foundation.
La vicenda di SQL Slammer è stata commentata da ALCEI in una nota che riportiamo integralmente:
Un danno diffuso ai sistemi di rete. Di chi è la responsabilità?
Si è diffusa la notizia che un worm progettato per infettare i server di rete che usano software Microsoft (nel caso specifico il più diffuso sistemi database, SQL Server 2000) sta saturando le connessioni internet di molti paesi (Italia compresa), provocando notevoli disagi, con tanta maggiore intensità quanta più grande è l’ampiezza della banda a disposizione.
Tutto questo poteva essere evitato con una intelligente gestione da parte degli amministratori delle reti oggetto dell’attacco. Che non hanno aggiornato i propri server con la “pezza” pur disponibile da tempo. Ma – a monte – il problema è rappresentato dalla intrinseca insicurezza di sistemi software che, evidentemente, non sono stati progettati con la dovuta attenzione alla sicurezza.
Quanto è accaduto è la ulteriore dimostrazione della opportunità di utilizzare software a codice aperto (come Linux) che si sono dimostrati immuni da contagi di questo tipo.
Per fortuna, mentre i prodotti Microsoft hanno il monopolio sul desktop, non è così nel settore dei server (dove è predominante il software open source e Unix). E per questo i disagi sono stati relativamente meno diffusi.
C’è infine da chiedersi come mai, mentre in altri casi chi realizza prodotti difettosi è sanzionato dalla legge per la propria negligenza, e spesso costretto a risarcire i danneggiati, il settore dell’informatica deva essere considerato “immune” da ogni responsabilità.