La lezione del Worm Sql

Riceviamo e pubblichiamo un commento sul più recente attacco informatico da parte di un manager dello specialista di sicurezza Symbolic.

30 gennaio 2003 Abbiamo assistito in questi giorni alla diffusione di un worm che ha arrecato non poche preoccupazioni agli amministratori di rete di mezzo mondo. Il ruolo di chi si occupa di sicurezza informatica – come Symbolic, che già da sabato aveva dato l’allerta sui pericoli del worm – implica anche un’analisi a posteriori di incidenti come quello appena trascorso, al fine
di trarne possibili indicazioni per il futuro. Anche se è evidente che neppure i massimi esperti del campo possono accampare pretese di chiaroveggenza, è compito di ognuno formulare ipotesi e contribuire ad un dibattito più ampio.


Le prime notizie circa la diffusione del Worm SQHell (alias Sapphire, Slammer o Helkern) si sono avute qualche giorno fa. Il produttore di antivirus Kaspersky Labs riferisce, infatti, di aver ricevuto la prima copia del worm il 20 gennaio 2003 da un’azienda statunitense che ne aveva rilevato la presenza su uno dei propri
server. Si presume che il worm – che pare essere opera di un gruppo di cracker cinesi – abbia impiegato alcuni giorni per diffondersi su altri server tramite Internet, fino a raggiungere la “massa critica” il 25 gennaio, generando una tale quantità di traffico da bloccare l’accesso a numerosi server. Secondo alcune fonti, durante la fase acuta le performance dell’intera Rete erano ridotte addirittura del 25%.

L’attacco è stato violento, ma breve: dopo poche ore, infatti, il traffico si era praticamente normalizzato. Ciò a cui abbiamo assistito qui in Italia, con il caso eclatante dei 14.000 uffici postali bloccati, è stato quindi uno “strascico” dell’attacco del worm, da molti considerato tra i peggiori di sempre, dopo CodeRed e Nimda. Ma qual è la natura di un worm come SQHell? Dobbiamo considerare l’attacco come un atto terroristico vero e proprio o piuttosto come un episodio di teppismo informatico?
Dal momento che si parla spesso di CyberWar, non possiamo fare a meno di evidenziare come sia impossibile utilizzare un worm come questo per un attacco mirato; virus e worm sono in genere paragonabili alle armi non convenzionali, il cui esatto raggio d’azione non è determinabile a priori. Un paese che decidesse di utilizzare un infettore simile a SQHell contro una nazione nemica non potrebbe a sua volta proteggersene (a meno di essere pressoché privo di risorse tecnologiche visibili su Internet o di utilizzare piattaforme non interessate dal problema). Questo genere di considerazione non preoccupa invece quei
gruppi di virus-writer in cerca di fama, che potrebbero in effetti guadagnare prestigio dall’aver messo in ginocchio l’intera Rete sia pure per un tempo limitato.


Per limitare i rischi di blocchi alla Rete con conseguenti gravissime perdite economiche, si invoca da diverse parti la necessità di una nuova Internet, parallela a quella esistente ma dedicata solo ad un utilizzo professionale e rispondente a criteri di sicurezza più severi. E’ presto per dire se si tratta di una strada
percorribile con successo, ma l’ipotesi è interessante, dal momento che sembra improbabile una diminuzione degli episodi di infezione globale nell’immediato futuro. D’altra parte, l’industria della IT Security si dimostra capace di risposte veloci a problemi complessi e gli strumenti di difesa a disposizione degli utenti
si fanno sempre più efficienti ed economici, per reagire a minacce in continua evoluzione: al momento l’utilizzo professionale di Internet implica l’acquisizione delle tecnologie e delle conoscenze adeguate a ridurre quanto più possibile l’esposizione al rischio.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome