Symantec conosceva con oltre 30 minuti di anticipo i danni che il worm Slammer avrebbe potuto provocare l’ultimo
weekend di Gennaio. Il worm in questione ha colpito tantissimi server causando blocchi e gravi problemi al mondo internet, ma non solo.
L’intero sistema delle comunicazioni coreane, per esempio, è collassato ed è rimasto bloccato per circa 24 ore.
Se Symantec avesse diffuso queste informazioni in tempo gli amministratori di sistema avrebbero potuto evitare il
blocco semplicemente bloccando la porta 1434.
Symantec ha condiviso le sue informazioni solo con un ristretto numero di clienti appartenenti al DeepSight Threat
Managment System, lasciando la comunità globale ai problemi che il worm ha poi causato 6 ore più tardi.
Jeff Johnstone del Diamond Technical Group, una società di consulenza sulla sicurezza ha dichiarato che il
comportamento di Symantec è stata una grave negligenza, poichè l’informazione tenuta segreta da Symantec
riguardava un terribile attacco globale all’infrastruttura di Internet e che tale genere di informazione
deve essere condivisa all’interno della comunità che si occupa di sicurezza.
Il worm una volta colpita la rete Internet si è diffuso con una rapidità incredibile, il più velocemente di
qualsiasi altro worm finora conosciuto, secondo quanto calcolato da un gruppo di esperti di San Diego, Eureka
e Berkeley, California.
In 10 minuti dal suo debutto alle 6.30 a.m (ora italiana) del 25 Gennaio il worm aveva infettato più di 75.000
host vulnerabili, mentre bilioni di copie del worm venivano inviate in tutto il ciberspazio dai server infettati,
aumentando esponenzialmente il numero di host infettati e rallentando significativamente il traffico internet.
Il portavoce di Symantec Yunsun Wee ha dichiarato che la sua società intorno alle 9 p.m. PST (le 6 in Italia)
del 24 Febbraio aveva inviato un avviso riguado Slammer ai clienti del DeepSight Threat Managment System.
Il primo avviso riguardo Slammer è apparso intorno alle 7 a.m. ora italiana sulle principali liste rigurdanti la
sicurezza.
Wee ha dichiarato che a meno di non essere clienti del Symantec DeepSight Threat Management System
non si sarebbero potute ottenere anticipazioni riguardo il worm.
Gli esperti di sicurezza ammettono che Symantec abbia il diritto di offrire informazioni esclusive sulla sicurezza
ai suoi clienti, ma sostengono che in un mondo basato sulla connessione, le informazioni su un worm minaccioso come
Slammer va divulgata per il bene comune.
Le compagnie antivirus infatti normalmente diffondono ai loro concorrenti i nuovi tipi di virus che scoprono per
primi, rinunciando a ai vantaggi che potrebbero acquisire tenendo questa informazione nascosta.
Il danno causato da Slammer è stato molto grave, tanto che alcune nazioni hanno inizialmente creduto che si
trattasse di un attacco specifico alle loro infrastrutture.
Il ricercatore sulla sicurezza Robert Ferrell ha dichiarato di non ritenere probabile che Symantec sia riuscita
ad identificare correttamente il worm e il codice impiegato e che l’azienda avrebbe solo individuato il traffico
iniziale generato dal worm; ma se la Symantec avesse invece realmente individuato il worm prima di chiunque altro
allora sarebbe responsabile di tutti i danni provocati da Slammer tanto quanto l’autore del worm stesso
Wee non ha voluto fornire ulteriori chiarificazioni sulla politica di Symantec sulla condivisione di
informazioni riguardanti i pericoli che possono minacciare Internet.
| Andrea Fiore |
| Responsabile IT studio legale Giurdanella |
