SQLSlammer: Symantec warnte automatisch

Die vermeintliche Frühwarnung vor dem SQLSlammer-Wurm seitens Symantec war nach Firmenangaben ein automatischer Prozess -- Symantec habe der Öffentlichkeit keine Informationen vorenthalten. In einer Stellungnahme gegenüber heise online erklärte das Sicherheitsunternehmen, dass erste SQLSlammer-Aktivitäten bereits am Freitag, 24. Januar bekannt waren -- einige Stunden vor der öffentlichen Warnung. Allerdings habe man der Öffentlichkeit keine Informationen vorenthalten: Symantecs DeepSight Threat Management habe am Freitag erhöhte Aktivität auf Port 1434 festgestellt und registrierten Kunden eine automatische Warnung zukommen lassen. Diese wies lediglich auf die erhöhten Zugriffe auf diesen Port hin, sodass Kunden gegebenenfalls Traffic auf diesem Port filtern konnten.

Bei Symantec heißt es weiter, dass die Firma zu dieser Zeit die Ursache für die erhöhte Netzaktivität noch nicht kannte. Sofort nachdem Symantecs Sicherheitsexperten den Vorfall analysiert hätten und klar war, dass es sich um einen Wurm handelte, habe man die Öffentlichkeit informiert. Die automatischen Warnungen bei ungewöhnlichen Netzaktivitäten seien ein Service für Kunden des DeepSight Threat Management. Ohne über genauere Informationen zu Vorfällen zu verfügen, gebe man jedoch keine Warnungen an die Medien oder Öffentlichkeit heraus.

Warum Symantec allerdings die angebliche Frühwarnung vor SQLSlammer, die sich nun lediglich als Hinweis auf verstärkte Aktivitäten bei einem bestimmten Port entpuppte, zur Werbung nutzte, dürfte das Geheimnis der PR-Abteilung des Unternehmens bleiben. Viele Freunde unter den Sicherheitsexperten wird man dadurch kaum gewonnen haben. (pab)