Znanost in tehnologija

Internetni promet znova normalen

Ljubljana, 27. 01. 2003 00.00 |

PREDVIDEN ČAS BRANJA: 5 min
Avtor
D.O./STA/Reuters
Komentarji
0

Internetni mrk, ki ga je v soboto dopoldne tako v Sloveniji kot drugje po svetu povzročil spletni črv W32.SQLExp (tudi t.i. Slammer), se je po podatkih slovenskih internetnih ponudnikov v glavnem končal že v soboto popoldne. Kot opozarjajo analitiki, pa bo škoda ogromna.

Črv Slammer napada tiste strežnike z Microsoftovo programsko opremo SQL Server 2000, ki niso posodobljeni z lani izdanim popravkom (Foto: Reuters)
Črv Slammer napada tiste strežnike z Microsoftovo programsko opremo SQL Server 2000, ki niso posodobljeni z lani izdanim popravkom (Foto: Reuters) FOTO: Reuters

Šest ur ni bilo moč na spletu ali s pomočjo povezav narediti prav nič. Zmrznil je sistem rezervacij za letalske polete, spletne banke in trgovine niso delovale. V ZDA so zaradi črva, manjšega od nekaj vrstic dolgega teksta odpovedovali polete, ohromeli so bančni avtomati. Tudi pri nas interneta povečini nismo mogli uporabljati, na udaru so bile banke. Na NLB sicer pravijo, da sicer neposredne škode ni. Je pa res, da dobršen del dneva ni bilo mogoče uporabljati Klika in Proklika Plus. Tudi do ostali spletnih bank dostop ni bil mogoč. Prav tako naj večje škode ne bi utrpela Adria Airways, kjub temu, da je spletni sistem rezervacij povsem odpovedal. K sreči je bila sobota, če bi do napada prišlo sredi tedna, ko so ljudje v službi, ko delajo banke in borza, bi bile posledice katastrofalne.

Kamenko Kesar, Microsoft Slovenija: "Luknja je bila odkrita že lanskega julija. In tudi popravek zanjo je bil izdan takoj, ko smo luknjo odkrili. 17. januarja letos je bil izdan zadnji popravek oz. večja skupina popravkov za [ranljivi] strežnik."

Varnost podatkov v tem napadu ni bila ogrožena, splošno gospodarsko škodo pa je težko oceniti, saj jo lahko dajo le tisti, katerih storitve niso delovale, so pojasnili na Siolu. Največji slovenski internetni ponudnik, ki ima trenutno okrog 120.000 naročnikov, je imel zaradi napada sicer pet milijonov tolarjev neposredne škode.

Siol, ki ima največje omrežje v slovenskem prostoru, je imel ob sobotnem virusnem napadu tudi največ težav. V soboto opoldne so namreč iz Siola sporočili, da njihovo omrežje že nemoteno deluje, vendar pa se je nato izkazalo, da se je delovanje interneta normaliziralo šele pozno popoldne. Kot so pojasnili na Siolu, so dejansko že dopoldne zajezili povečan promet z okuženih strežnikov, zaradi stalnega pojavljanja novih okuženih strežnikov pa je bilo omrežje nato preobremenjeno še popoldne. Siolovo omrežje je nestabilno delovalo med 6.30 in 14. uro.

Tudi uporabniki nenapadenih omrežij niso mogli dostopati do strežnikov v napadenih omrežjih
Tudi uporabniki nenapadenih omrežij niso mogli dostopati do strežnikov v napadenih omrežjih FOTO: Reuters

Internetni promet se je v omrežju Siola najbolj povečal s strani tistih Siolovih uporabnikov, ki uporabljajo njihovo storitev gostovanja strežnikov, s strani lastnikov širokopasovnih povezav in strežnikov Instituta Jožefa Stefana, so pojasnili na Siolu. Iz tujine je bilo povečanega prometa zelo malo. Siolov klicni center za pomoč naročnikom je v soboto prejel prek 6000 klicev, kar je petkrat več kot običajno ob sobotah.

Predsednik sekcije internetnih ponudnikov pri Gospodarski zbornici Slovenije Darko Bulat je povedal, da je sobotni napad, četudi virus ni neposredno okužil omrežij vseh slovenskih internetnih ponudnikov, povzročil težave vsem internetnim uporabnikom. Tudi uporabniki nenapadenih omrežij namreč niso mogli dostopati do strežnikov v napadenih omrežjih. "Prvi dve uri napada je bil internet tako skorajda nedosegljiv," je pojasnil Bulat.

"Neposredna škoda, kolikor smo jo uspeli doslej oceniti, je okrog pet milijonov tolarjev, poleg nekaterih t.i. SLA pogodb, ki jih imamo sklenjene z nekaterimi strankami, zaradi katerih bomo utrpeli še dodatno škodo," je povedal Primož Turk, vodja informatike pri Siolu.

"Najprej so bili delujoči manjši internetni ponudniki. Na Siolu pa so, kot so tudi potrdili, imeli nestabilno omrežje več časa, ker so dolgo iskali vir napada," je povedal Bulat. Obenem je dodal, da so na začetku na Siolu bili prepričani, da je napad naperjen zoper njih, pri čemer pa so pozabili na dejstvo, da obstaja med slovenskimi internetnimi ponudniki tudi koordinacija (sekcija internetnih ponudnikov). Ta je ostalim ponudnikom, ki so vključeni vanjo, omogočila sorazmerno hitro odkritje vira napada in posledično hitrejše odpravljanje težav.

Po Bulatovih besedah je internet v Sloveniji začel delovati normalno v soboto popoldne, gospodarska škoda v Sloveniji pa je po njegovih ocenah izredno majhna, saj virus ni škodoval podatkom, ampak je le oviral internetni promet, pa še to v soboto, ko večina pravnih subjektov ne posluje. Tako naj bi edini večji stroški nastali zaradi izpada dohodkov ob manjši uporabi interneta in dodatnega dela tehnikov oz. administratorjev. Poudaril je tudi, da "Microsoftov SQL strežnik ni namenjen za to, da bi se postavil neposredno na internet, zato so bili prizadeti tisti, ki so v nasprotju s to doktrino dali neposredno na internet Microsoftov SQL Server".

Drugi največji ponudnik dostopa do interneta, Arnes, v soboto ni imel motenega delovanja. Gorazd Božič, vodja slovenskega varnostnega računalniškega centra Sicert, je namreč dejal, da Arnes ne uporablja napadene Microsftove programske opreme, poleg tega pa se je tudi hitro odzval na napad. Storilec oz. napadalec še ni znan, skoraj zagotovo pa ga raziskuje ameriški preiskovalni urad FBI, saj je prišlo do večjih težav tudi na ameriškem delu interneta, je pojasnil Božič. Pri tem policiji seveda pomagajo internetni varnostni centri in ponudniki dostopa do interneta.

Kot je znano, najnovejši internetni črv, ki so ga po svetu poimenovali z različnimi imeni (npr. W32.SQLExp, SQLSlammer), izkorišča ranljivost v Microsoftovih strežnikih SQL Server 2000 za t.i. napade "zavrnitev storitev", pri čemer išče ranljive računalnike tako nepredvidljivo in agresivno, da dobesedno preplavi podatkovne linije in s tem onemogoči normalne internetne storitve (brskanje, elektronska pošta). Samo v nekaj urah je ta virus okužil prek 22.000 strežnikov po vsem svetu.

"Kaos bi bil še večji, že tako je bil kaos. Mene pa pri takšnih virusih vedno skrbi, kaj bi bilo, če bi bil virus vrh vsega še "zloben", namesto da bi se samo širil - kaj bi bilo, če bi tudi brisal datoteke," je povedal Matjaž Klančar, vodja laboratorija pri Monitorju.

Ta luknja v Microsoftovi programski opremi je bila odkrita že julija lani, napadalcem pa omogoča prevzem nadzora nad podatkovnimi strežniki. Microsoft je takrat to pomanjkljivost označil kot zelo kritično, zato je brezplačno ponudil popravek, ki pa ga očitno veliko računalniških administratorjev ni uporabilo. Najnovejšega virusa s tradicionalnimi programi za odkrivanje virusov ni mogoče odkriti, zato je najboljša rešitev namestitev popravka.

Na slovenski podružnici Microsofta so pojasnili, da ozadje napada črva Slammer, ki napada tiste strežnike z njihovo programsko opremo SQL Server 2000, ki niso posodobljeni z lani izdanim popravkom, že preiskujejo. Po njihovih podatkih je bilo zaradi velikega števila strank v Sloveniji najbolj prizadeto Siolovo omrežje, ki gosti veliko neposodobljenih podatkovnih strežnikov gostujočih podjetij. Microsoft vsem uporabnikom njihove programske opreme priporoča posodobitev z zadnjim paketom posodobitev (Service Pack 3), ki je že od julija lani na voljo na njihovi spletni strani.

UI Vsebina ustvarjena brez generativne umetne inteligence.

SORODNI ČLANKI

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10