Hall of Fame του ιού: SQL Slammer Virus

Χρόνος διαβασματός: 3 πρακτικά

Οποιαδήποτε λίστα αξέχαστων ιούς υπολογιστών θα έπρεπε να συμπεριλάβει τον ιό SQL Slammer, που κυκλοφόρησε το 2003. Σίγουρα το θυμάμαι. Ήμουν με το UPS IT εκείνη τη στιγμή και είχαμε πολλούς διακομιστές να κατεβούν από αυτό.

Το όνομα του ιού είναι λίγο παραπλανητικό επειδή δεν περιελάμβανε SQL, τη Δομημένη Γλώσσα Ερωτήσεων για συστήματα βάσεων δεδομένων. Εκμεταλλεύτηκε ένα πρόβλημα με υπερχείλιση buffer στο σύστημα βάσης δεδομένων SQL Server της Microsoft. Δεν θα μπορούσε μόνο να κατεβάσει τη βάση δεδομένων, αλλά, σε ορισμένες περιπτώσεις, ολόκληρα δίκτυα.

Ο ιός, στην πραγματικότητα ένα σκουλήκι, ήταν εξαιρετικά απλός. Δημιούργησε τυχαίες διευθύνσεις IP και έπειτα έστειλε σε αυτές τις διευθύνσεις. Εάν η υπηρεσία ανάλυσης SQL Server, που χρησιμοποιείται για την υποστήριξη πολλαπλών παρουσιών του SQL Server σε έναν μόνο υπολογιστή, ο κεντρικός υπολογιστής μολύνεται. Το Resolution Services χρησιμοποιεί μια θύρα UDP που χρησιμοποιείται για την αποστολή δεδομένων στο Διαδίκτυο, μικρά μηνύματα που μπορούν να σταλούν γρήγορα. Πολύ γρήγορα, όπως αποδεικνύεται αυτός ο ιός

Ο ιός χρησιμοποιήθηκε για να προκαλέσει την αποτυχία του διακομιστή βάσης δεδομένων με έναν από τους δύο τρόπους. Θα μπορούσε να προκαλέσει την αντικατάσταση τμημάτων της μνήμης του συστήματος με τυχαία δεδομένα που θα καταναλώνουν όλη τη διαθέσιμη μνήμη του διακομιστή. Θα μπορούσε επίσης να τρέξει κώδικα στο περιβάλλον ασφαλείας της υπηρεσίας SQL Server που θα μπορούσε να κατεβάσει τον διακομιστή.

Μια τρίτη χρήση του ιού ήταν η δημιουργία «Άρνησης Υπηρεσίας». Ένας εισβολέας θα μπορούσε να δημιουργήσει μια διεύθυνση που φαίνεται να προέρχεται από ένα σύστημα SQL Server 2000 και στη συνέχεια την έστειλε σε ένα γειτονικό σύστημα SQL Server 2000. Αυτό δημιούργησε μια ατέρμονη σειρά ανταλλαγής μηνυμάτων, κατανάλωση πόρων και στα δύο συστήματα και επιβράδυνση της απόδοσης.

Λίγοι ιοί έχουν προκαλέσει τόσο πολύ δημόσια διαταραχή τόσο γρήγορα. Σύμφωνα με μια μελέτη του Πανεπιστημίου της Ιντιάνα για τον ιό και τον αντίκτυπό του «Το πρωταρχικό χαρακτηριστικό του σκουλήκι είναι ο εξαιρετικός ρυθμός διάδοσής του. Εκτιμάται ότι έφτασε στο πλήρες επίπεδο της παγκόσμιας λοίμωξης μέσω Διαδικτύου εντός δέκα λεπτών από την κυκλοφορία. Στο μέγιστο (που επιτεύχθηκε την Κυριακή, 26 Ιανουαρίου) περίπου 120,000 μεμονωμένοι υπολογιστές παγκοσμίως μολύνθηκαν και αυτοί οι υπολογιστές δημιούργησαν ένα σύνολο πάνω από 1 terabit / δευτερόλεπτο κυκλοφορίας μολύνσεων ».

Εκτίμησαν ότι κατά τη μέγιστη μόλυνση το 15% των κεντρικών υπολογιστών στο Διαδίκτυο δεν ήταν προσβάσιμο λόγω του ιού.

Στη Νότια Κορέα, οι περισσότεροι χρήστες δεν μπορούσαν να έχουν πρόσβαση στο Διαδίκτυο για περίπου 10 ώρες. Μείωσε τα ATM της Bank of America και προκάλεσε διακοπή του συστήματος 911 στο Σιάτλ. Κατέστρεψε το δίκτυο της Akamai, ο οποίος διαχειριζόταν τις ιστοσελίδες για εταιρείες υψηλού προφίλ όπως το Ticketmaster και το MSNBC. Η Continental Airlines έπρεπε να ακυρώσει πτήσεις λόγω προβλημάτων με το σύστημα έκδοσης εισιτηρίων.

Τα καλά νέα ήταν το αφαίρεση ιών ήταν σχετικά εύκολο να ανταποκριθεί. Ήταν εύκολο να καθαριστεί από τη μνήμη και να αποφευχθεί με τείχος προστασίας από τις θύρες που επηρεάζονται. Στην πραγματικότητα, η Microsoft είχε κυκλοφορήσει μια ενημέρωση κώδικα για ευπάθεια υπερχείλισης ένα χρόνο νωρίτερα. Μια ενημέρωση κώδικα ήταν ήδη διαθέσιμη για λήψη.

Αυτό οδηγεί σε ένα ενδιαφέρον μέρος αυτής της ιστορίας. Η προέλευση του ιού στον David Litchfield, ερευνητή, ο οποίος εντόπισε το πρόβλημα και δημιούργησε ένα πρόγραμμα «απόδειξης της έννοιας». Ο Λίτσφιλντ παρουσίασε τα ευρήματά του σε ανθρώπους της Microsoft που, δυστυχώς, ήταν εντάξει μαζί του παρουσιάζοντάς τα και την απόδειξη της ιδέας στο διάσημο ετήσιο συνέδριο Black Hat. Υποτίθεται ότι οι δημιουργοί πήραν τον κώδικα και την ιδέα από την παρουσίασή του.

Πώς θα μπορούσε η Microsoft να του επιτρέψει να το κάνει αυτό;

Προφανώς το θεωρούσαν παλιές ειδήσεις. Είχαν το patch και ήταν απασχολημένοι με την επόμενη έκδοση, τον SQL Server 2005.

Φυσικά, το περιστατικό άναψε φωτιά στο ψηφιακό οπίσθιο άκρο της Microsoft για να επικεντρωθεί στην ασφάλεια για τον SQL Server 2005. Λειτουργούσε γιατί από τότε κάτι τέτοιο δεν έχει συμβεί με τον SQL Server από τότε.

Αρχίστε την Δωρεάν σας δοκιμή ΔΩΡΕΑΝ ΑΚΡΙΒΩΣ ΑΚΡΙΒΕΙΑ ΣΑΣ ΑΣΦΑΛΕΙΑΣ