Kolovoz, mjesec kada se većina naših djelatnika zasluženo odmara, nije donio mirne radne dane ljudima u kompanijskoj IT službi. Naime, početkom kolovoza Internetom je počeo kružiti W32.Blaster.Worm, crv koji iskorištava sigurnosni propust u RPC servisu na Microsoft operativnim sustavima Windows 2000, Windows XP i Windows NT upotrebom TCP porta 135. Naši IT stručnjaci, međutim, pravovremenom akcijom uspješno su zaštitili kompanijin računalni sustav.

Ovaj crv se nije širio putem e-maila, već je bilo dovoljno biti priključen na LAN i ukoliko na računalu nije bila primijenjena odgovarajuća zakrpa, vaše računalo je bilo zaraženo. Crv ne uništava podatke na računalima, no njegovo širenje izaziva zagušenja na mreži. Blaster crv imao je nekoliko svojih inačica (w32.Blaster.A, W32/Welchia.worm, W32/Nachi.worm, WORM,MSblast.D … ).

Kako je zaista bilo u našoj kompaniji?

Otkrićem sigurnosnoga propusta i ne čekajući pojavu virusa koji iskorištava taj propust, na sve kompanijske poslužitelje primijenili smo Microsoftovu zakrpu MS03-026 koja je onemogućila širenje crva. Međutim, problemi su nastali s korisničkim računalima. Korporacijska mreža je ubrzo nakon izbijanja zaraze s W32.Blaster crvom bila preplavljena neželjenim prometom. Činjenica da je mnoštvo djelatnika Ericssona bilo na godišnjem odmoru pogodovala je širenju crva. Veći broj djelatnika odlaskom na godišnji odmor ne gasi svoja računala, a sam antivirusni program bez primijenjene zakrpe ne štiti računalo od zaraze ovim crvom. Takva računala odašiljala su neželjeni promet na korporacijsku mrežu i time pridonijela njenom zagušenju. Također, po povratku na radno mjesto dosta zaposlenika nije stiglo pravovremeno primijeniti zakrpu pa je i njihovo računalo bilo zaraženo.
Sama zaštita korisnika bila je osigurana automatskom instalacijom zakrpe koja se nudila svim ESOE 2000 korisnicima. ESOE NT korisnicima i korisnicima koji nemaju ESOE računala, zakrpa se instalirala automatski prilikom log on postupka u EMDEU1 domenu.
Svi korisnici su putem e-maila na vrijeme bili obaviješteni o opasnosti koja prijeti širenjem tog crva te su dobili detaljne upute kako zaštititi svoja računala.

Važno je napomenuti da su bez problema bili oni korisnici koji redovito primjenjuju sve ponuđene ESOE nadogradnje i instalacije. Kod njih je sama instalacija zakrpe prošla bez problema. Međutim, još uvijek ima korisnika koji zbog raznoraznih razloga ne primjenjuju ponuđene instalacije i time ugrožavaju svoje računalo, ali i ostale korisnike kompanijskih IT resursa.
U najkritičnijim danima smo privremeno zabranili ICMP promet s ciljem smanjenja vjerojatnosti širenja virusa. Kompanijska mreža se i dalje redovno nadzire i tako nastoji spriječiti ponovno širenje zaraze.

A u korporaciji?

Na korporativnoj razini bilo je daleko više problema pa smo bili svjedoci otspajanja cijelih podmreža, odnosno, svjedočili smo micanju nekih poslužitelja s mreže koji nisu primijenili zakrpu. Budući da je korporativna komunikacijska mreža bila preplavljena neželjenim prometom to je bila jedina djelotvorna akcija koja se mogla primijeniti tamo gdje lokalni IT nije bio djelotvoran.

Bolje spriječiti, nego liječiti

Molimo sve korisnike da redovno izvršavaju sve ponuđene instalacije i nadogradnje na svojim računalima te da postupaju u skladu s upozorenjima i obavijestima koje dobiju od kompanijskog IS/IT Helpdeska.
Sve upute i pomoć oko instalacije uvijek se mogu dobiti u IS/IT Helpdesku.

U međuvremenu, Microsoft je izdao novu sigurnosnu zakrpu MS03-039 koja na cjeloviti način rješava sigurnosni propust u DCOM RPC-u. Primjena te zakrpe također je obavezna i u trenutku dok ovo pišem imaju je svi kompanijski poslužitelji i velika većina korisničkih računala.

S. Skelin Tomić