Hysterie rond Code Red overdreven
Ergste worm sinds Morris houdt zich koest
02 augustus 2001 | Jasper Koning
Het groot alarm dat is geslagen voor de worm Code Red is tot nu toe overdreven gebleken. De hardnekkige worm kan nog altijd toeslaan en de schade aanrichten waar voor wordt gevreesd; de komende uren en dagen zijn daarbij cruciaal.
Het SANS Instituut, een denktank op het gebied van computerbeveiliging, zegt dat het sinds woensdag nieuwe meldingen heeft binnengekregen van besmettingen door Code Red. Het aantal servers is niet bij het instituut bekend, maar alle besmette servers zijn gezamenlijk verantwoordelijk voor 127.000 websites. De worm heeft zich even met een topsnelheid van meer dan 50.000 infecties per uur verspreid, maar de snelheid is inmiddels sterk afgenomen. Experts zoals het SANS Instituut en het Computer Emergency Response Team (CERT) krijgen geen hoogte van de groeisnelheid van de worm en kunnen daardoor moeilijk inschatten of de worm nog aanzienlijke schade zal aanrichten.
Wel is inmiddels duidelijk dat Code Red -een sterk caffeïnehoudend drankje met kersensmaak (Mountain Dew) dat populair is onder programmeurs
- de meest schadelijke worm is sinds de Morris worm. In november 1988 besmette deze door Robert T. Morris geschreven worm 3.000 tot 4.000 servers. Dat was op dat moment vijf procent van het totale aantal op internet aangesloten servers. Code Red heeft in zijn eerste aanvalsgolf meer dan een kwart miljoen servers weten te infecteren.
In de tweede ronde valt de schade tot dusverre mee. Gevreesd wordt dat kleinere bedrijfjes de worm nog in leven houden. De meeste grote bedrijven zijn inmiddels beschermd tegen de worm. Maar hoewel de worm verwijderen vrij simpel is (door de server opnieuw op te starten), installeren niet alle netwerkbeheerders de patch waarmee de Internet Information Service (IIS) serversoftware definitief tegen Code Red wordt beschermd. Met name kleinere bedrijfjes zouden dit kunnen vergeten of moedwillig niet doen, omdat ze niet over de uitgebreide IT-ondersteuning beschikken die grote bedrijven wel hebben.
Hoewel het MKB de meest kwetsbare groep is, lijkt het Nederlandse bedrijfsleven zich niet direct zorgen hoeven te maken, tenzij ze de Engelstalige versie van Windows NT of Windows 2000 op een webserver hebben geïnstalleerd en niet hebben bijgewerkt. Bij andere talen schakelt Code Red zichzelf in een sluimertoestand en richt het geen schade aan.
Ook thuisgebruikers hoeven zich geen zorgen te maken. In computers met Windows 95, 98(SE) of Millennium is de worm niet geïnteresseerd. De enige hinder die thuisgebruikers van Code Red kunnen ondervinden is een eventuele vertraging van het internetverkeer. Merkbaar wordt het pas als de worm zich zo massaal verspreidt dat een stroom van data-verkeer genereert die in het ergste geval het intenet kan platleggen.
Maar juist met die verspreiding van Code Red lijkt het mee te vallen. De worm is nog niet volledig uitgeroeid, maar houdt zich vooralsnog koest. De komende 24 uur kan het zijn kop nog opsteken. Als het dan nog niet opnieuw is gesignaleerd, lijkt het gevaar van Code Red definitief bezworen.
Lees meer artikels over :
morris, worm, codered
bron: ZDNet
