F-Secure’ün Helsinki, Finlandiya Ofisinden Anti-Virüs Araştırmaları Müdürü Mikko Hypponen, “Artık bitti diyoruz. Umarım öyledir. Pazartesi en kötüsü olacak diyorduk ama öyle olmadı. Aslında ABD’de Pazartesi etki çok düşüktü. Avrupa’da ise daha yüksekti. Bu bizim için şaşırtıcı.” diyor.
Dünyanın her tarafındaki güvenlik analistleri iş haftasının başlangıç günü olan dün için epeyce endişelendiler. Genel olarak, Asya, Avrupa, Kuzey Amerika üzerindeki trafiği yavaşlatacak ya da durduracak yeni bir kurtçuk dalgasından korkuldu.
Slammer kurtçuğu, Microsoft’un SQL 2000 sunucularındaki daha önce anons edilen bir açığı kullanıyordu. Bilindiği gibi cumartesi günü bu kurtçuk nedeniyle, web tarama, ATM bankacılığı ve hatta bazı telefon servisleri kesintiye uğradı.
Halen F-Secure’ün en yüksek 2. alarm listesinde yer alan kurtçuk dün iş saatleri başladığında Avrupa’da interneti bir miktar etkiledi. Daha sonra bu etkilenme ABD’ye de geçti.
Slammer bulaştığı makinalara hasar vermedi ya da dosyaları silip, değiştirme gibi bir işlem yapmadı. Ama çok büyük network paketleri oluşturdu. Sunucu ve Router’ları yükledi. Böylece network trafiğini yavaşlattı ve hatta bazı yerlerde durma noktasına kadar getirdi.
Güvenlik analistleri, Slammer kurtçuğunun başka bir engelleme yapmayacağını düşünüyor. ABD, Güney Kore gibi ülkelerin hükümetleri, bu kurtçuğu kimin saldığını izlemeye ve araştırmaya başladıklarını bildirdiler. İlk bulgular, kurtçuğun Çin menşeli olduğu bilgisini veriyor.
Suçlama Yarışı
Safir (Sapphire) adıyla da bilinen Slammer artık kontrol altında, Ama analistler ve Bilgi İşlem Yöneticileri şimdi suçlama yarışına girdiler. Herkes bu kurtçuğun nasıl olup da böylesine global bir kesilmeye neden olduğu konusunda çeşitli fikirler öne sürüyor.
Slammer’in saldırısı aslında bilinen ama yamalanmamış bir açığın kullanılmasına dayanıyordu. Microsoft geçen yaz bu açık için bir yama çıkarmıştı. Ama anlaşılan, çoğu network yöneticisi önlemini almamış bu yamayı yüklememişti. Böylece de bu saldırıya davetiye çıkarılmış ve yamayı yüklememiş makinaların çokluğu nedeniyle kurtçuk çok büyük bir hızla dünyayı sarmıştı.
Analistler makinalarında SQL kullanan pek çok ev kullanıcısının da hem açığın hem de yamanın farkında bile olmadıklarını işaret ediyorlar. Aslında yama 3.parti yazılımlarla da dağıtıldı. Mesela oyun paketleri ile. Ama kullanıcılar farkında değillerse ve paketin içinde bu tür bir yama olduğuna dikkat etmemişlerse, tabi ki yapacak bir şey kalmıyor.
Sorunun esas önemli kısmı tabi ki, yamayı kullanmamış olan kurumsal network’lerdi. Bugün herkes kimin suçlu olduğunu tartışıyor. Yani network yöneticileri ihmalkar mı? Ya da çok aşırı bir yük altında olduklarından yamaları yeterince takip mi edemiyorlar? Elemanları mı eksik? ya da Elemanları olayları tam olarak anlayıp, takip edecek yeterlilikte mi değiller? Belki eğitim düzeyleri yetersiz. Bu nedenle de her yıl keşfedilen binlerce açık içinden önemli olanları izleyemiyorlar. Acaba Microsoft’un çıkardığı yamanın kurulması mı zor?
Güvenlik analistleri cevabın yukardaki tüm seçeneklerin bir kombinasyonu olduğunu söylüyorlar.
Network Güvenlik firması SilentRunner’dan Başkan Yardımcısı Dan Wooley “Yöneticiler açıkları ve yamaları yeterince takip etmiyorlar. Ellerindeki çok çeşitli sistemlere ait pek çok yama çıkıyor. Bu yamaların önceliklerini takip edemiyorlar. Hepsini birden de kuramıyorlar.” diyor.
Woolley, son dönemdeki durgunluk nedeniyle yapılan işten çıkarmalar ve bütçe kısıntılarının da problemi arttırdığını ekliyor; “Elinizde yeterli eleman yoksa, karşılaşacağınız sorun sayısı artar. Hergün bir sürü yama gelir ama sen bunları takip edemezsin. Böylece yönettiğin sistem güngeçtikçe daha fazla risk taşımaya başlar.”
Dün Sophos Anti-Virüs tarafından 200 Kurumsal PC kullanıcısı üzerinde yapılan bir araştırmada, sistem yöneticilerinin birbirlerini suçladıkları görüldü.
Araştırmaya katılanların % 64’üne göre, en son güvenlik yamalarını yüklememiş olan sistem yöneticileri kabahatli. % 24 ise Microsoft’un hatalı yazılım sattığını ve kabahatli olduğunu düşünüyor.
Yama Akımı
F-Secure’dan Hypponen, Microsoft ile sistem yöneticilerin aynı ağırlıkta suçlu olduğunu düşünüyor; “Evet, Microsoft temmuz ayında kendi sorumluluğuna düşen şeyi yaptı ve hem açığı duyurdu hem de yamayı yayınladı. Bu nedenle, cumartesi günü ilk reaksiyon “kabahat tembel sistem yöneticilerinde” şeklindeydi. Ama olay sadece Microsoft’un yamasını yüklemekle sınırlı değil. Bu yama, yüklenmesi en zor yamalardan bir tanesi. Sistem yöneticilerinin çoğu eminim ki, yüklemeyi denediler ama sonra vazgeçtiler ya da doğru kuramadılar.”
Hypponen geçtiğimiz pazar Microsoft’un yeni bir yama yayınladığını hatırlatıyor. Yöneticilerin şikayetleri bu yamada gözönüne alınmıştı. Bu yama çok daha basit bir versiyondu.
Dış hizmet veren bir Bilişim firması olan Jenaly Technology Group’un Başkanı MJ Shoer sorunun çok fazla açık ve yama olmasından ve devamlı bir yama akımı ile karşı karşıya kalınmasından kaynaklandığını düşünüyor.
Shoer “Bu çok eski bir savaş. Hangi yamanın kurulacağına karar vermek eğitim gerektiriyor. Bir sürü yama geliyor. Bu iş, Sürüyü kurtlar bastı diye ağlayan çoban hikayesine benziyor. Bir müddet sonra aldırmamaya başlıyorsunuz. Yamayı yüklemeye kalktığınızda 1 gününüz yok oluyor. Yamanın ne olduğunu ve doğru yüklerseniz ne yapacağını iyice anlamanız gerekiyor. Bu nedenle de yüklerken başında olmalısınız” diyor.
Kaynak : 