Ao contrário do que alguns especialistas de segurança previam, tudo indica que o reinício das actividades das empresas e dos organismos públicos não foi até ao momento marcado pelo ressurgimento do vírus SQL Slammer, um vírus que se propagou tão depressa quanto desapareceu, tendo congestionado por algumas horas o tráfego de Internet a nível mundial.



"Há uma clara tendência de redução dos focos de propagação do worm", afirmou Vítor Ruivo, da MarketWare, empresa de monitorização da Internet em Portugal no que se refere à sua disponibilidade, desempenho e segurança. Para este especialista, apesar de ainda persistirem alguns focos de propagação localizados sobretudo em data centers de fornecedores de acesso à Internet que integram servidores de alojamento de sites, os problemas deverão ter sido resolvidos até ao início da tarde.



O worm explora uma vulnerabilidade descoberta há seis meses atrás no software SQL Server da Microsoft, versão SP2 ou inferior. Esta empresa divulgou logo na altura um código de correcção para rectificar essa falha que permite a execução de um buffer overflow. Há cerca de uma semana, deu também início à comercialização de uma nova versão. Mas muitos administradores de sistemas não instalaram o patch a tempo.



Este worm, também conhecido por Sapphire, "propaga-se aos servidores que dispõem de uma maior largura de banda, como os dos ISPs, disparando pacotes de dados para endereços IP aleatórios que vai varrendo até encontrar máquinas com o SQL Server, entrando pela porta 1434/UDP", explica Vítor Ruivo que o compara ao Code Red, que se propagou através do software servidor Web IIS da Microsoft, muito mais comum do que o SQL Server. Assim, embora o Slammer tenha uma velocidade de propagação muito maior, o nível de infecção de sistemas é menor.



Em termos directos, não tem qualquer impacto junto dos utilizadores comuns, nem elimina dados ou danifica os computadores. Mas, a quantidade de dados que transmite pode gerar uma negação de serviço, congestionando os servidores ao ponto de ficarem bloqueados, podendo gerar lentidão no acesso a email e a sites da Web.



Os primeiros sinais do Slammer sentidos em Portugal foram detectados por volta das 5.30 horas de Sábado pela MarketWare. O Diário Digital foi o primeiro site nacional a ser infectado, tendo chegado a ficar inacessível durante algumas horas. Em poucos minutos, começou a registar-se uma lentidão do acesso a outros sites nacionais.



O Índice Português de Desempenho na Internet KPBI30, da responsabilidade da MarketWare, representante nacional da Keynote Systems, que desenvolveu este instrumento, chegou a registar um nível de degradação do serviço dez vezes superior ao normal. Para além do Diário Digital, outros seis - Chip 7, Continente, Direcção Geral dos Registos e Notariado, Microsoft Portugal, Shopping Direct e SIC - dos 30 sites monitorizados no KPBI30 tiveram um maior tempo de resposta. Porém, de acordo com Vítor Ruivo, houve mais sites prejudicados, tendo ficado inacessíveis devido a problemas em servidores infectados.



Contactada pelo TeK, Isabel Martinho, do Departamento de Comunicação da Telepac, afirmou que "felizmente, não tivemos qualquer problema ou recebemos queixas por parte dos clientes". Miguel Figueiredo, director de Marketing do Clix, também disse que neste fornecedor de acesso à Internet não foram detectados quaisquer sinais do vírus. O TeK tentou também entrar em contacto com a Oni, mas até ao momento isso não foi possível.



Estas afirmações contrastam com as declarações de Vítor Ruivo: "Temos informações que os ISPs foram infectados, em especial os data centers da Oni e da Telepac". Este especialista adianta ainda que "o serviço NetCabo da TV Cabo esteve inacessível durante o Sábado". Uma fonte anónima junto desta operadora confirmou que "o vírus deitou abaixo alguns servidores devido a uma sobrecarga de dados, mas que esse acidente apenas fez com que um determinado número de utilizadores não se tenham podido registar através dos seus modems cabo", não tendo sido por isso uma falha geral.



O Slammer atacou com mais força na Coreia do Sul, seguido-se por outros países asiáticos "dado ser uma zona com grande número de acessos de banda larga", tendo em conta a elevada taxa de ocupação de largura de banda do código malicioso. Os Estados Unidos também sentiram bastante os efeitos do vírus. Várias companhias como a Continental Airlines, o Banco da América e os fornecedores de acesso à Internet UUNET e Internap reportaram problemas informáticos registados durante Sábado.



As estimativas sobre o número de servidores infectados em todo o mundo variam entre 20 e 200 mil, mas os computadores perturbados pelo tráfego gerado foram muitas mais. Uma projecção aponta ainda que, no seu pico máximo, o ataque deverá ter gerado mais de 50 milhões de pacotes por segundo.


Notícias Relacionadas:

2003-01-23 - Microsoft revela falha crítica no serviço Windows Locator

2001-08-07 - Code Red não afecta redes do Governo e académica em Portugal

2001-07-19 - Novo worm aproveita falha de segurança do IIS da Microsoft para se propagar

2001-03-09 - Hackers exploram vulnerabilidades do Windows NT