DATAORM-RAIDET PÅ NTNU:
Avdekker svikt i oppdateringrutinene (13.8.03, 13:25)

Like fort som det oppdages nye sikkerhetshull i Windows, blir disse tettet av Microsoft. Da bør brukerne oppdatere raskt, hvis de vil unngå virus. Det har ikke skjedd på NTNU.

Et oppdatert og aktivt anti-virus program er en effektiv skanse mot dataangrep. Men mot MSblast var ikke dette nok. Windows må også være fullstendig ajourført med de siste sikkerthetsoppdateringene.

Det er et mål at Windows skal oppdateres automatisk. Da vil alle sikkerhetshull tettes automatisk når de blir oppdaget. IT-seksjonen på NTNU har lenge prøvd å få til dette.

De har opprettet en automatisk oppdateringstjeneste som fakultetene kan abonnere på. I sentraladministrasjonen skal dette gå helt av seg selv.

Men så gikk det ikke slik likevel. Rundt 950 maskiner var ikke sikret da dataormen slo til. Rundt 100 NTNU-brukere ble infisert av MSblast, eller "Love you SAN", som dataormen også kalles.

FAKTA

I går, tirsdag 12. august, ble NTNU angrepet av dataormen MSblast. Rundt 100 maskiner ble infisert, men dette skapte problemer for nær sagt alle. De stadige angrepene fra de infiserte maskinene gjorde at svært mange andre maskiner bukket under og tok omstart på grunn av de stadige angrepene. MSblast er en dataorm, ikke et virus. Virus spres oftest som vedlegg til e-post, og du er vanligvis trygg hvis du lar være å åpne det ukjente vedlegget. En dataorm kan du imidlertid få uten å gjøre noe aktivt. Den utnytter sikkerhetshull i operativsystemet, kommer inn i maskina di, og begynner å gjøre ugagn.

- Kanskje dette skyldes at systemet ikke har vært helt helautomatisk likevel, medgir Brynjulf Mauring ved IT-seksjonen. Ting tyder nemlig på at en vellykket Windowsoppdatering er avhengig av at brukerne faktisk godkjenner meldinger om at "nå er nye oppdateringer klare".

Dette får de fleste Windows XP-brukere jevnlig beskjed om i en gul boks nederst til høyre på skrivebordet. Da trykker selvsagt noen OK, mens andre ikke gidder.

- Hvis dette er årsaken til den manglede sikkerhetsoppdateringen, så er det ikke bra nok. Dette skal gå av seg selv, sier IT-sjef Roar Aspli. Uansett hva årsaken er, så lover han bot og bedring.

Alle Windowsbrukere på NTNU skal selvsagt ha den siste sikkerhetsoppdateringen til enhver tid, uten at man selv skal trykke på noen knapper, slår han fast.

Problem også for ikke-infiserte
De maskinene som er infisert av MSblast, begynner automatisk å angripe en spesiell port på alle maskiner i nettverket, både infiserte og ikke-infiserte. Det fører til at mange bukker under og tar automatisk omstart.

Dette gjelder også de ikke-infiserte. Det virker imidlertid som om infiserte maskiner er mer sårbare for angrepene enn de ikke-infiserte, forteller Brynjulf Mauring ved IT-seksjonen.

POPULÆR OG ETTERLENGTET: Else Stork Høiem fra IT-seksjonen har hatt en travel dag med å rense datamaskiner i Sentraladministrasjonen. Her er hun på Infohuset. Foto: Lisa Olstad

Fra 950 til 90 infiserte på en dag
De IT-ansvarlige på NTNU har jobbet iherdig det siste døgnet for å renske ut ormen. Nå, onsdag formiddag, er det kun 90 infiserte maskiner igjen, forteller IT-sjef Aspli. Han håper å ha løst problemet i løpet av dagen.

Fjerningen består i to deler. Først må nettledningen trekkes ut, og Windowsoppdateringen som tetter hullet, må installeres fra en diskett. Deretter må selve dataormen fjernes fra maskina. Dette kan gjøres med anti-virusprogrammet F-secure.

Av Even Gran