AREA TECNICA - SICUREZZA

Il nuovo virus SQL

Un virus simile a ''Code Red'' (che nell'estate del 2001 bloccò la Rete) ha rallentato in questi giorni il traffico di Internet in tutto il mondo. 
L'attacco ha colpito diversi sistemi, paralizzando soprattutto la distribuzione di e-mail. Il National Infrastructure Protection Center (FBI) ed altri esperti che tengono sotto controllo la situazione affermano che sono stati particolarmente colpiti i provider della Corea del Sud (rimasti completamente bloccati per alcune ore). Era la prima volta che la Corea subiva un attacco simile ma, con uffici e banche chiuse per il sabato, non ci sono state gravi conseguenze. 
Ma Sql ha bloccato anche 14 mila sportelli degli uffici postali in tutta Italia, ed è stato l'attacco più violento di un virus informatico finora registrato nel nostro Paese. Il virus ha creato molti disagi a chi ha pensato di presentarsi in Posta: proprio in questi giorni, infatti, gli sportelli sono sotto pressione viste le scadenze di pagamento tra cui bollo auto, canone Rai e polizze assicurative. 

Come agisce SQL
E' bene specificare subito che non si tratta di un virus vero e proprio, ma di più precisamente di un worm (un cosiddetto baco informatico), probabilmente creato in Cina, e che per ora viene identificato con la dicitura W32/SQLSlammer. 
SQL infetta solamente i server che funzionano con il programma Microsoft SQL Server 2000 (da cui il nome del worm) e Microsoft Desktop Engine 2000. Le versioni precedenti di SQL Server non sembrano essere colpite da questo problema. 
Il worm SQL ha sfruttato una carenza nelle protezioni dei server Microsoft SQL individuata già sei mesi fa. Il worm insidia i provider più che i singoli navigatori: il vero danno che provoca è il Denial of Service (negazione del servizio). La sua altissima capacità di auto-replicarsi (al ritmo di circa 8.000 copie in un'ora) finisce col rallentare la rete mettendo i computer fuori gioco per un eccesso di tentativi di attacco. L'equivalente di milioni di telefonate in contemporanea ad un singolo utente. 
A differenza di altri worm per SQL Server, non vengono sfruttate password nulle: si tratta di un classico buffer overflow. Il worm non ha quindi codice dannoso: la minaccia si limita a diffondersi componendo indirizzi IP pseudo-casuali. Il consumo di banda è comunque consistente. Il verme è molto infettivo e genera alti volumi di traffico alla ricerca di nuovi server da compromettere. Alcune segnalazioni parlano di 500Mbp di traffico generato e oltre 10.000 tentativi di attacco in 12 ore. 
La porta di ingresso al server su cui opera è la 1434 UDP. 

I danni provocati da SQL, entrato in circa 22mila server, sarebbero comunque meno gravi rispetto a quelli causati dal virus ''Code Red''. E' stato infettato un numero minore di server rispetto a quell'epidemia. E Microsoft ha da tempo reso note le ''patch'' per colmare le carenze del sistema di sicurezza. Molte compagnie, però, si sono fatte trovate impreparate. 

Soluzioni
Per eliminare il problema è sufficiente installare l'ultimo Service Pack 3 per SQL Server 2000 (cliccate qui). 
Eventualmente è possibile bloccare sul firewall la porta UDP 1434 in ingresso.