Witty nie dał szans administratorom
Robak Witty ukazał się w niecałe 48 godzin po opublikowaniu informacji o luce w oprogramowaniu ISS, którą wykorzystał. Dało to bardzo mało czasu na zaktualizowanie systemów. Czy wobec tego stosowane dotąd mechanizmy aktualizacji przestały się sprawdzać?
Według CAIDA (Cooperative Association for Internet Data Analysis) do tej pory żaden robak nie powstał tak szybko po upublicznieniu informacji o luce. Użyto mechanizmu „preseeding”, pozwalającego na przyspieszenie dystrybucji robaka. Polegał on na zainstalowaniu robaka na grupie „macierzystych”, przejętych hostów, które następnie aktywnie zarażały kolejne. W ciągu 10 pierwszych sekund zaobserwowano 110 zainfekowanych maszyn. Po 45 minutach – około 12 tysięcy. Robak zanikł stosunkowo szybko, ponieważ niszczył zainfekowane systemy.
W przypadku wielu administratorów, niecałe dwa dni na zainstalowanie poprawek to stanowczo za mało. Problemy stwarza m.in. śledzienie uaktualnień u wielu producentów oraz brak czasu potrzebnego na przetestowanie poprawki. Niestety, trudno się spodziewać, że autorzy kolejnych robaków zostawią większy zapas cennego czasu. Może się więc okazać, że większą niż dotąd wagę trzeba będzie przywiązywać do innych sposobów ochrony przed atakami. Tym razem jednak robak atakował właśnie firewalle i systemy IDS.
Źródło informacji: CERT Polska | ZDNet UK