Virus Hall of Fame: SQL Slammer Virus

Læsetid: 3 minutter

Enhver liste over mindeværdige computervirus skulle inkludere SQL Slammer-virussen, udgivet i 2003. Jeg husker det bestemt. Jeg var hos UPS IT på det tidspunkt, og vi havde flere servere, der gik ned fra det.

Virusnavnet er lidt misvisende, fordi det ikke involverede SQL, det strukturerede forespørgselssprog for databasesystemer. Det udnyttede et problem med bufferoverløb i Microsofts SQL Server-databasesystem. Det kunne ikke kun ødelægge databasen, men i nogle tilfælde hele netværk.

Virussen, faktisk en orm, var bemærkelsesværdig enkel. Det genererede tilfældige IP-adresser og sendte sig selv til disse adresser. Hvis SQL Server Resolution Service, der bruges til at understøtte flere forekomster af SQL Server på en enkelt computer, bliver værten inficeret. Resolution Services driver en UDP-port, der bruges til at sende internetdatagrammer, små beskeder, der kan sendes hurtigt. Meget hurtigt som denne virus ville vise sig.

Virussen blev brugt til at få databaseserveren til at fejle på en af ​​to måder. Det kan få dele af systemhukommelsen til at blive overskrevet med tilfældige data, der ville optage al serverens tilgængelige hukommelse. Det kunne også køre kode i sikkerhedskonteksten for SQL Server-tjenesten, der kunne bringe serveren ned.

En tredje anvendelse af virussen var at skabe et "Denial of Service". En angriber kunne oprette en adresse, så den så ud til at komme fra ét SQL Server 2000-system og derefter sende den til et naboliggende SQL Server 2000-system. Dette skabte en uendelig række af beskedudveksling, .forbrugende ressourcer på begge systemer og langsommere ydeevne.

Få vira har nogensinde forårsaget så meget offentlig forstyrrelse så hurtigt. Ifølge en undersøgelse fra University of Indiana af virussen og dens virkning "Ormens primære karakteristika er dens ekstraordinære udbredelseshastighed. Det anslås, at det nåede sit fulde niveau af global internetinfektion inden for ti minutter efter udgivelsen. På sit maksimum (nået søndag den 26. januar) var cirka 120,000 individuelle computere på verdensplan inficeret, og disse computere genererede et samlet antal på over 1 terabit/sekund af infektionstrafik”.

De anslog, at 15 % af internetværterne var utilgængelige på grund af virusset ved infektionsspidsen.

I Sydkorea kunne de fleste brugere ikke få adgang til internettet i omkring 10 timer. Det væltede Bank of America-hæveautomater og forårsagede udfald af 911-systemet i Seattle. Det væltede netværket af Akamai, som drev webstederne for højt profilerede virksomheder som Ticketmaster og MSNBC. Continental Airlines måtte aflyse fly på grund af problemer med dets billetsystem.

Den gode nyhed var fjernelse af virus var forholdsvis let at reagere på. Det var nemt at rydde fra hukommelsen og forhindre ved at firewall de berørte porte. Faktisk havde Microsoft udgivet en patch til overløbssårbarhed et år tidligere. En rettelse var allerede tilgængelig til download.

Hvilket fører til en interessant del af denne historie. Oprindelsen af ​​virussen til David Litchfield, en forsker, som identificerede problemet og skabte et "proof of concept"-program. Litchfield præsenterede sine resultater for folk hos Microsoft, som desværre var ok med, at han præsenterede dem og proof of concept på den berømte årlige Black Hat-konference. Det formodes, at skaberne fik koden og konceptet fra hans præsentation.

Hvordan kunne Microsoft tillade ham at gøre det?

De opfattede det åbenbart som gamle nyheder. De havde patchen ude og havde travlt med at arbejde på den næste version, SQL Server 2005.

Naturligvis tændte hændelsen en ild under Microsofts digitale bagende for at fokusere på sikkerheden til SQL Server 2005. Det virkede, fordi intet eksternt som dette er sket med SQL Server siden.

START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS