Nettstedet Wired.com brakte i en artikkel den 14. februar en kritisk artikkel der flere sikekrhetseksperter og IT-folk antyder at sikkerhetsselskapet Symantec visste om Slammer-ormen, men unnlot å fortelle om det til andre enn abonnenter på deres DeepSight-tjeneste. Artikkelen ble gjengitt i ITavisen.no i går.
Sjefskonsulent Stein A. J. Møllerhaug i Symantecs norske avdeling mener Wireds artikkel inneholder en rekke faktiske feil, og at nettstedet har misforstått hva Deepsight er. Han har sendt oss følgende redegjørelse:
Analysesystemet DeepSight oppdaget tidlig unormal aktivitet på«Slammer-porten». Slik unormal aktivitet på ulike porter oppdages opptilflere ganger per døgn. Observasjonen (unormal aktivitet på port) blevideresendt til vår operasjonsavdeling for analyse. På dette tidspunktetvisste vi ikke hva aktiviteten skyldtes, og de fleste av slike alarmerviser seg å være falske.
Samtidig gikk det ut varsel via DeepSight til alleabonnenter på denne tjenesten. Varselet var uspesifikt, og kun enoppfordring om å følge med. Det gikk ut flere andre slike advarsler omandre porter og/eller aktivitet samme dag. Det var ingenting på dettetidspunktet som indikerte et massivt, verdensomspennende angrep. Det varheller ingenting som indikerte at denne hendelsen skulle tas mer alvorligenn andre hendelser rapportert samme og foregående dager.
Annonse
Analyse av observasjonen viste at det dreide seg om en ny orm. Straks dettevar klart ble HELE markedet varslet via vanlige kanaler. Tidsforsinkelsenvar tiden det tok å finne årsaken til aktiviteten.
DeepSight er en varslingstjeneste som alle kan abonnere på. Den gir megettidlig tilgang på rådata, men disse må tolkes av abonenten, og det kommermange advarsler per døgn.
Symantec holdt derfor ikke tilbake informasjon om et verdensomspennendeorme-angrep slik det er hevdet i pressen, rett og slett fordi vi ikke haddeerhvervet denne kunnskapen og fordi vi videresendte det vi hadde så snartvi selv fikk kunnskap om et mulig verdensomspennende problem.
Annonse
