Ericsson Nikola Tesla uspješno se othrvao najezdi W32. Blastera
Kolovoz,
mjesec kada se većina naših djelatnika zasluženo odmara, nije
donio mirne radne dane ljudima u kompanijskoj IT službi. Naime,
početkom kolovoza Internetom je počeo kružiti W32.Blaster.Worm,
crv koji iskorištava sigurnosni propust u RPC servisu na
Microsoft operativnim sustavima Windows 2000, Windows XP i Windows
NT upotrebom TCP porta 135. Naši IT stručnjaci, međutim,
pravovremenom akcijom uspješno su zaštitili kompanijin računalni
sustav.
Ovaj
crv se nije širio putem e-maila, već je bilo dovoljno biti
priključen na LAN i ukoliko na računalu nije bila primijenjena
odgovarajuća zakrpa, vaše računalo je bilo zaraženo. Crv ne
uništava podatke na računalima, no njegovo širenje izaziva zagušenja
na mreži. Blaster crv imao je nekoliko svojih inačica
(w32.Blaster.A, W32/Welchia.worm, W32/Nachi.worm, WORM,MSblast.D
… ).
Kako
je zaista bilo u našoj kompaniji?
Otkrićem
sigurnosnoga propusta i ne čekajući pojavu virusa koji iskorištava
taj propust, na sve kompanijske poslužitelje primijenili smo
Microsoftovu zakrpu MS03-026 koja je onemogućila širenje crva.
Međutim, problemi su nastali s korisničkim računalima.
Korporacijska mreža je ubrzo nakon izbijanja zaraze s W32.Blaster
crvom bila preplavljena neželjenim prometom. Činjenica da je mnoštvo
djelatnika Ericssona bilo na godišnjem odmoru pogodovala je širenju
crva. Veći broj djelatnika odlaskom na godišnji odmor ne gasi
svoja računala, a sam antivirusni program bez primijenjene zakrpe
ne štiti računalo od zaraze ovim crvom. Takva računala odašiljala
su neželjeni promet na korporacijsku mrežu i time pridonijela
njenom zagušenju. Također, po povratku na radno mjesto dosta
zaposlenika nije stiglo pravovremeno primijeniti zakrpu pa je i
njihovo računalo bilo zaraženo.
Sama zaštita korisnika bila je osigurana automatskom instalacijom
zakrpe koja se nudila svim ESOE 2000 korisnicima. ESOE NT
korisnicima i korisnicima koji nemaju ESOE računala, zakrpa se
instalirala automatski prilikom log on postupka u EMDEU1 domenu.
Svi korisnici su putem e-maila na vrijeme bili obaviješteni o
opasnosti koja prijeti širenjem tog crva te su dobili detaljne
upute kako zaštititi svoja računala.
Važno
je napomenuti da su bez problema bili oni korisnici koji redovito
primjenjuju sve ponuđene ESOE nadogradnje i instalacije. Kod njih
je sama instalacija zakrpe prošla bez problema. Međutim, još
uvijek ima korisnika koji zbog raznoraznih razloga ne primjenjuju
ponuđene instalacije i time ugrožavaju svoje računalo, ali i
ostale korisnike kompanijskih IT resursa.
U najkritičnijim danima smo privremeno zabranili ICMP promet s
ciljem smanjenja vjerojatnosti širenja virusa. Kompanijska mreža
se i dalje redovno nadzire i tako nastoji spriječiti ponovno širenje
zaraze.
A u
korporaciji?
Na
korporativnoj razini bilo je daleko više problema pa smo bili
svjedoci otspajanja cijelih podmreža, odnosno, svjedočili smo
micanju nekih poslužitelja s mreže koji nisu primijenili zakrpu.
Budući da je korporativna komunikacijska mreža bila preplavljena
neželjenim prometom to je bila jedina djelotvorna akcija koja se
mogla primijeniti tamo gdje lokalni IT nije bio djelotvoran.
Bolje
spriječiti, nego liječiti
Molimo
sve korisnike da redovno izvršavaju sve ponuđene instalacije i
nadogradnje na svojim računalima te da postupaju u skladu s
upozorenjima i obavijestima koje dobiju od kompanijskog IS/IT
Helpdeska.
Sve upute i pomoć oko instalacije uvijek se mogu dobiti u IS/IT
Helpdesku.
U
međuvremenu, Microsoft je izdao novu sigurnosnu zakrpu MS03-039
koja na cjeloviti način rješava sigurnosni propust u DCOM RPC-u.
Primjena te zakrpe također je obavezna i u trenutku dok ovo pišem
imaju je svi kompanijski poslužitelji i velika većina korisničkih
računala.
S.
Skelin Tomić
|