Symantec bliver nu kritiseret for at tilbageholde kritisk viden, som måske kunne have forhindret at titusindvis af servere blev inficeret med Slammer i sidste måned. I en pressemeddelelse, som Symantec udsendte den 12. februar, fremhæves det, at firmaets såkaldte early-warning system havde identificeret Slammer adskillige timer inden det egentlige udbrud.
»Deep Sight Threat Management System opdagede Slammer-ormen flere timer inden den begyndte at sprede sig. Symantecs Deep Sight Threat Management System leverede derefter advarsler og procedurer i god tid, så administratorer kunne beskytte sig mod angreb inden deres miljø blev inficeret,« skriver Symantec i sin pressemeddelelse.
Forsøget på at reklamere for Deep Sight systemet har dog givet bagslag for Symantec, der nu må se sig konfronteret med spørgsmålet om, hvorfor Symantec ikke omgående videregav oplysningen om Slammer til offentligheden.
Jeff Johnstone fra Diamond Technical Group kalder Symantecs fremgangsmåde for grov skødesløshed.
»Det handler ikke om forudgående kendskab til en fejl eller sårbarhed, men om viden om et forestående verdensomspændende angreb mod nettets infrastruktur. Den type information bliver altid delt mellem sikkerhedseksperter,« siger han til Wired.
Symantec fortæller i pressemeddelelsen, at firmaets betalende kunder modtog informationer om Slammer omkring en time inden angrebet gik ind i sin mest aktive fase - hvor ormen inficerede 75.000 servere på 10 minutter - mens de første offentligt tilgængelige oplysninger om ormen først dukkede op en time senere.
Hos Symantec afviser man i dag kritikken af firmaets informationspolitik og forsvarer sig med, at den advarsel, som firmaets kunder modtog, blev sendt automatisk af Deep Sight systemet som en reaktion på forstærket aktivitet rettet mod port 1434. På det tidspunkt, hvor advarslen blev sendt ud, var Symantecs eksperter ikke klar over årsagen til aktiviteten, fortæller firmaet.
Samtidig dementerer Symantec på det nærmeste sin egen pressemeddelelse, idet firmaet nu erklærer, at advarslen som blev sendt en time inden det egentlige ormeangreb ikke rummede faktuelle oplysninger om ormen, men kun en generel information om at være opmærksom på trafik til port 1434.
Symantec har altså - efter egne oplysninger - ikke holdt vigtige informationer tilbage, og Deep Sight systemet er måske ikke helt så smart, som firmaets PR-afdeling forsøger at gøre det til.
