SQLSlammer: атака, которую можно легко избежать

Екатеринбург, 27.01.2003 – И снова главной новостью всей Сети является вредоносная атака. На этот раз вирус SQLSlammer в течение всего нескольких часов, используя обнаруженную в июне 2002 ошибку, привел в упадок множество серверов Microsoft SQL и тем самым в который раз подтвердил факт, что сетевое администрирование – не такое простое дело, как это может показаться на первый взгляд…

Операционные системы

Установка сервера, обеспечивающего работу внутри сети, - это не просто выбор определенного оборудования, программного обеспечения, составление из выбранных компонентов единого целого и подключение к сети. Кроме всего прочего, это еще и постоянный контроль за работой сервера и анализ его отчетов. Именно это требуется для того, чтобы обеспечить безопасное функционирование сервера.

Работа операционной системы на корпоративном сервере должна удовлетворять двум требованиям: она должна обладать эффективной системой безопасности, а также сопровождаться, со стороны разработчика, всеобъемлющей технической поддержкой, способной разрешить любые проблемы в кратчайшие сроки. Установка бесплатного программного обеспечения или пиратских копий может привести к возникновению непреодолимых проблем в системе безопасности, так как в случае использования данных программ НИКТО не отвечает за их работу.

Вторым фактором, влияющим на безопасность системы, является используемая версия операционной системы. Известно, что администраторы предпочитают использовать более старые версии, для которых уже имеется множество исправлений, устраняющих обнаруженные ошибки в системе безопасности. Однако операционные системы устаревших версий наиболее подвержены опасности быть атакованными, так как хакерам отлично известны все слабые места в системах защиты данных платформ.

Еще один фактор, влияющий на безопасность операционной системы, – это период, в течение которого разработчик осуществляет техническую поддержку пользователей. Например, систему Windows NT Server 4.0 уже можно считать устаревшей, так как с 1 января 2005 года корпорация Microsoft прекращает ее поддержку. Если система функционирует и пользуется поддержкой более двух лет, то она становится неприемлемой.

Программное обеспечение

После того, как мы установили на компьютер хорошую операционную систему, которая отвечает всем предъявленным нами ранее требованиям, возникает проблема с выбором сетевого программного обеспечения, используемого для решения поставленных перед сервером задач. Никогда не используйте программное обеспечение, которое впоследствии не сможете полностью удалить или которое оставляет неиспользуемые компоненты на компьютере. Во многих случаях «бреши» в системе остаются по причине того, что они имеются в программах, которые когда-то были установлены в качестве пробных версий, но остаются полностью работоспособными и на сегодняшний день, хотя и не используются.

Нельзя забывать о необходимости постоянного отслеживания и анализа информации, предоставляемой операционной системой, о работе программного обеспечения и оборудования. Эти задачи должны решать как разработчики ПО, так и различные организации, занимающиеся проблемами информационной безопасности.

Что дальше?

Все это только теория, и, к сожалению, как мы видим, она далека от реальности. Если бы операционные системы обновлялись до уровня, рекомендуемого их разработчиками, то количество объектов, находящихся в сети и представляющих собой реальную опасность, было бы гораздо меньше. Данная ситуация не связана с какой-то отдельно взято «брешью» в какой-либо из систем, так как на сегодня существует множество слабых мест в различных системах защиты, используемых при проведении атак.

В качестве примера можно привести «Code Red», который в течение всего лета 2001 года практически безостановочно использовал недостаток системы, который был уже обнаружен и устранен. Если бы системные администраторы, использующие Microsoft Internet Information Server, позаботились об обновлении своих систем, то этот вредоносный код был бы практически не опасен. Нужны ли другие примеры? Klez.I, который использует брешь в Microsoft Internet Explorer, обнаруженную весной 2001. Даже сегодня, в 2003, он все еще успешно распространяется и занимает ведущие места в списках наиболее часто обнаруживаемых вирусов.

Как бороться с SQL Slammer?

Избавиться от SQLSlammer довольно просто: пока он находится в памяти компьютера и не оказывает воздействия ни на какие файлы, нужно всего лишь перезагрузить компьютер, и вирус исчезнет. Но не стоит забывать, что при работе на устаревших серверах возникает довольно высокая вероятность повторного заражения в случае, если не будут приняты соответствующие меры.

Для защиты компьютера от SQLSlammer лучше всего подойдет обновление Microsoft SQL Server. Получить его можно на сайте компании по адресу: http://www.microsoft.com/technet/security/bulletin/MS02-039.asp.- С другой стороны, можно просто заблокировать доступ к порту 1434, используемому вирусом для проникновения, либо на маршрутизаторе, либо с помощью межсетевого экрана, если, конечно, структура компании позволяет это сделать. Однако, если у Вас одновременно работают несколько SQL серверов, то не блокируйте данный порт, так как это приведет к невозможности обработки баз данных.

Специалисты компании Panda Software считают, что на этой неделе проблема может обостриться, так как начнут работать многие незащищенные серверы. Кроме того, на большинстве компьютеров (начиная с домашних пользователей и заканчивая разработчиками ПО) может использоваться версия SQL Server 2000 Desktop Engine (MSDE), работающая под управлением Windows 98, Windows Millenium, Windows NT или Windows 2000 Professional. Таким образом, они также могут стать жертвой SQLSlammer.

Не стоит забывать, что профилактика требует гораздо меньше усилий, чем борьба с активным вирусом. Убедитесь в том, что специалисты, отвечающие за работу вашей сети, снабжены всеми необходимыми средствами для защиты информации, от безопасности которой, кстати, во многом зависит успех вашего бизнеса.

Опубликовано: 27 января 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет