NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Repercussão do worm Slammer no Brasil
03 FEV 2003

Repercussão do worm Slammer no Brasil






Arquivo do Clipping 2003

"Tempo é crucial quando se fala em segurança"

03 de fevereiro de 2003

Veículo: Módulo Security Magazine

Apesar do impacto negativo sobre o mercado, as grandes empresas podem tirar uma grande lição sobre o sucesso da disseminação do worm Slammer, descoberto no final de semana passado: é preciso melhorar os procedimentos de prevenção e combate às pragas virtuais. O worm atingiu grande parte dos sistemas em rede do mundo pela falta de aplicação de um patch de correção de vulnerabilidades no programa de banco de dados SQL Server 2000.

O fato grave nessa questão é que o primeiro alerta sobre a falha de segurança no SQL Server foi publicado pela Microsoft em 10 de julho de 2002 e um segundo, com algumas revisões, em 16 de outubro. O CERT (Computer Emergency Response Team) também disponibilizou, na época, um documento relatando os impactos e sugerindo as correções necessárias.

E o pior. A Microsoft disponibilizou em 17/01/03, mais de uma semana antes do ataque do worm Slammer, um Service Pack 3 do SQL Server 2000, que também trazia os patches de correções das vulnerabilidades no programa.

Situação no Brasil

O grupo brasileiro de resposta a incidentes de segurança NIC BR Security Office (NBSO) revela que foram reportados um número razoável de notificações do worm no país. "Em alguns casos redes inteiras foram afetadas devido a uma única máquina comprometida pelo worm, que estava gerando um tráfego de saída de cerca de 70Mb/s e causando um Denial-of-Service (DoS) para a sua rede de origem", diz Cristine Hoepers, Analista de Segurança Sênior do NBSO.

Já o engenheiro de sistema da Symantec do Brasil, Daniel Moreira, diz que a empresa não tem os dados regionalizados sobre a ação worm, mas nos revela a incidência registrada pelo mundo. "Atualmente, o Symantec Security Response recebeu mais de 5 mil submissões deste vírus desde o seu surgimento", diz.

Falta de procedimentos rígidos

Os especialistas brasileiros foram uníssonos em afirmar que as organizações precisam melhorar seus procedimentos de controle e aplicação de patches de correção de falhas de segurança em programas utilizados nos sistemas em rede. "Empresas e administradores precisam estar muito atentos. Acho imprescidível os contratos de manutenção e consultoria que auxiliam empresas no combate a este problema. Os hackers estão sempre a procura de novas falhas para que possam tirar proveito disto", diz Maurício Plata, Security Consultant da eSafe.

A especialista Liliane Velasquez, Gerente do Centro de Atendimento a Incidentes de Segurança (CAIS), complementa o pensamento de Plata. "Muitos problemas seriam evitados se todos os administradores regularmente fizessem as atualizações dos seus sistemas, principalmente se isto pode desencadear problemas de segurança. Infelizmente, ainda existem administradores que se limitam a realizar instalações default dos sistemas operacionais e não tem maiores preocupações com atualizações ou com a implementação de uma política de filtros de acesso a serviços não autorizados/utilizados", afirma.

Cristine Hoepers, do NBSO, lembra ainda que as ferramentas de correção foram amplamente divulgadas e adiciona outro fator crítico nessa discussão. "É bom lembrar também que a maior parte dos softwares não são desenvolvidos com preocupações de segurança, o que gera grande número de programas e serviços vulneráveis, e por sua vez um número cada vez maior de patches a serem aplicados e de ferramentas criadas para explorar estes problemas. Em resumo, acho que a falta de padrões rígidos para desenvolver software e a falta de treinamento dos programadores para práticas de programação segura são o início de todo este problema, embora não sejam o único motivo da existência de tantos problemas de segurança", explica.

Dicas de prevenção e combate

Antes de citar as recomendações para se prevenir e/ou combater a ação do Slammer, Hoepers fala sobre os procedimentos imediatos por parte dos administradores de sistemas quando da identificação da infecção de um worm. "A primeira ação, uma vez identificada a infecção por um worm, é a desconexão da máquina infectada da rede, avaliação do sistema e a sua recuperação feita de acordo com a política de contingência da instituição. Outra ação imediata deve ser a inclusão de filtros nos firewalls de borda da instituição para que o tráfego relativo à atividade do worm não saia nem entre na sua rede", diz.

Hoepers cita que, além dos patches disponibilizados pela Microsoft, os administradores de sistemas podem seguir os procedimentos descritos no documento "Práticas de Segurança para Administradores de Redes Internet", que não só servem para combater o Slammer, mas também para outros tipos de ameaças virtuais. Das recomendações detalhadas no documento, ela destaca três:

  • Manter uma documentação com os serviços habilitados em cada servidor e respectivos patches aplicados. Desse modo é possível determinar, em caso de uma nova vulnerabilidade, quais as máquinas da rede que podem estar vulneráveis.
  • Configurar os firewalls da rede de modo a bloquear o tráfego para portas que não devam ser acessadas por máquinas externas à sua rede (no caso deste worm, as portas a serem bloqueadas seriam: 1433/TCP, 1433/UDP, 1434/TCP e 1434/UDP.
  • Acompanhar sempre as listas de discussão sobre segurança, de modo a manter-se informado sobre as novas ameaças.

Já Liliana Velasquez, Gerente do CAIS, diz que é imprescindível que os profissionais da área acompanhem os alertas de segurança divulgados, seja diretamente através de listas mantidas pelos próprios fabricantes, de listas mantidas por instituições idôneas como o CERT ou através de algum tipo de serviço de alerta particular. "O importante é aplicar as correções o quanto antes, principalmente as de caráter crítico. Tempo é crucial quando se fala em segurança", afirma.

Em relação ao patch específico de correção do SQL Server 2000, Liliana fala que ele pode ser aplicado manualmente ou usando um mecanismo automático. "No entanto, o CAIS recomenda a primeira forma, pois normalmente existe um atraso de algumas horas para que o Windows Update atualizar a sua base de dados", alerta.

E acrescenta ainda outras dicas. "Adicionalmente, o CAIS recomenda fortemente que sejam implementados filtros que permitam acesso apenas a serviços públicos em portas específicas, acesso a serviços internos (como é o caso do servidor SQL) devem ser restringidos", finaliza.

O Security Consultant da eSafe, Maurício Plata, faz algumas outras recomendações. "Basicamente, estar atualizado por meio dos boletins de segurança da MS; ter contrato de suporte direto com a MS ou com empresas credenciadas pela MS; e os alertas que divulgamos", diz.

Posição oficial da Microsoft

O worm Slammer apareceu no momento em que a campanha mundial "Trustworthy Computing", que trata do compromisso da empresa com a segurança computacional, completa um ano. O presidente e fundador da empresa, Bill Gates, divulgou em 24/01 - um dia antes da descoberta da praga - uma carta afirmando a continuidade do compromisso assumido, ao longo de 2002, com a campanha.

Através da assessoria de imprensa da Microsoft no Brasil, a Microsoft Corp. nos enviou um posicionamento oficial sobre quais ações estão sendo implementadas para aumentar a segurança nos produtos fabricados pela empresa. "A captação de patches está aumentando de fato, e a consciência em segurança continua melhorando. Com a introdução de ferramentas, - como Windows Update, Microsoft Baseline Security Analyzer (MBSA) e Auto Update - mais clientes estão aplicando, com antecedência, as correções. No entanto, é preciso aumentar os esforços. Foi por isso que lançamos a Trustworthy Computing e porque consideramos a segurança no desenvolvimento de sistemas uma doutrina fundamental".

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso