Odpowiedzialność za błędy w oprogramowaniu leży po stronie producenta. Winą za atak Slammera należy jednak obarczyć także niefrasobliwych administratorów.

Równo rok po ogłoszeniu głośnej inicjatywy Trustworthy Computing, na internetowych stronach Microsoftu Bill Gates opublikował list otwarty podsumowujący wysiłki firmy zmierzające do podniesienia bezpieczeństwa oprogramowania. Napisał w nim, że choć przez 12 miesięcy Microsoft znacznie usprawnił procedury eliminujące błędy, to nadal pozostaje wiele do zrobienia. Niefortunnym zbiegiem okoliczności dwa dni później komputery z zainstalowaną bazą MS SQL Server 2000 zaatakował Slammer. Wykorzystując błąd SQL Servera, robak skutecznie zablokował dostęp do tysięcy serwisów internetowych. W tym przypadku trudno jednak mieć pretensję do Billa Gatesa i jego firmy. Najbardziej zadziwiające jest bowiem, że informację o błędzie i sposobach jego naprawienia opublikowano w lipcu 2002 r.

Na bosaka

Atak Slammera to najpoważniejszy tego typu incydent od chwili pojawienia się w sieci robaków Code Red i Nimda w 2001 r. Według szacunków Slammer zainfekował ok. 200 tys. serwerów. Najbardziej dotknięte zostały kraje azjatyckie, w szczególności Korea Południowa, gdzie Internet praktycznie przestał działać. Slammer zebrał żniwo również w USA. Jego ofiarą padło wiele witryn internetowych, a także 13 tys. bankomatów Bank of America.

Trudno jednoznacznie odpowiedzieć na pytanie, dlaczego Slammer odniósł "sukces", skoro od kilku miesięcy są dostępne poprawki pozwalające uniknąć kłopotów. Atak dotknął nawet te firmy, które skrupulatnie instalowały kolejne poprawki przeznaczone dla SQL Servera i tę najważniejszą - Service Pack 3. W firmach tych zapomniano jednak, że nie wystarczy zabezpieczyć SQL Server, ale również bazę MSDE 2000, która bardzo często jest wykorzystywana w aplikacjach opartych na technologii Microsoftu, pisanych przez niezależnych producentów oprogramowania. Baza MSDE często funkcjonuje na stacjach klienckich, a nie na serwerach.

Taki scenariusz - potwierdzający trafność porzekadła "szewc bez butów chodzi" - zdarzył się właśnie w centrali Microsoftu. Pamiętano tam oczywiście o aktualizowaniu serwerów, ale zapomniano o MSDE. Podobno Slammer na tyle spowolnił pracę sieci firmowej, że przestała działać usługa Windows XP Activation. Trudno instalować na bieżąco wszystkie publikowane poprawki, skoro nie radzi sobie z tym sam Microsoft.

Zdarza się, że administratorzy dopóty nie instalują poprawek, dopóki nie zostaną one dokładnie przetestowane. Pojawiają się opinie, że istnieją uzasadnione obawy, iż programy eliminujące jeden błąd często mogą być przyczyną powstawania innych. Ponadto, na co wskazywali administratorzy na internetowych forach dyskusyjnych, instalacja poprawek zabezpieczających do SQL Servera jest zadaniem niewdzięcznym. Wielokrotnie wiąże się z koniecznością ręcznego kopiowania plików oraz uruchomiania skryptów SQL i programów.

Kwestia zaufania

Nie powiodły się więc rocznicowe obchody Trustworthy Computing. "W coraz większym stopniu polegamy na Internecie jako środku komunikacji i sposobie prowadzenia biznesu. Dlatego posiadanie bezpiecznej platformy informatycznej nigdy nie miało większego niż obecnie znaczenia. Wraz z ogromnymi korzyściami wzrastającej łączności pojawiły się nowe zagrożenia w skali, jakiej niewiele osób z naszej branży mogło oczekiwać" - napisał Bill Gates w liście opublikowanym na dwa dni przed atakiem Slammera. Według ankiety przeprowadzonej przez Computer Security Institute i FBI finansowe straty spowodowane w wyniku tzw. przestępstw komputerowych w 2001 r. tylko w USA wyniosły 455 mln USD.

Inicjatywę Trustworthy Computing Microsoft przedstawił na początku 2002 r. Firma na miesiąc wstrzymała wszelkie prace programistyczne, a inżynierowie zaangażowani w produkcję oprogramowania odbyli szkolenia, które miały im umożliwić spojrzenie na systemy informatyczne oczami hakera. Wnikliwie przeanalizowano kody źródłowe aplikacji, co - zdaniem Microsoftu - doprowadziło do wykrycia i usunięcia wielu błędów.

Jak twierdzą przedstawiciele Microsoftu, w poprawę bezpieczeństwa swoich produktów do tej pory firma zainwestowała 200 mln USD. Bill Gates podkreślił, że na nic zdadzą się wysiłki programistów, jeśli użytkownicy nie będą instalować wszystkich poprawek publikowanych przez producenta, nie będą używać aktualnego oprogramowania antywirusowego i zapór firewall. Jak się okazało, niełatwo stosować się do tych zaleceń.