Virus Hall of Fame: Virus SQL Slammer

Tiempo de leer: 3 minutos

Cualquier lista de memorable virus informáticos tendría que incluir el virus SQL Slammer, lanzado en 2003. Ciertamente lo recuerdo. Estaba con UPS IT en ese momento y tuvimos varios servidores fuera de servicio.

El nombre del virus es un poco engañoso porque no incluía SQL, el lenguaje de consulta estructurado para sistemas de bases de datos. Explotó un problema con desbordamientos de búfer en el sistema de base de datos SQL Server de Microsoft. No solo podría derribar la base de datos sino, en algunos casos, redes enteras.

El virus, en realidad un gusano, era notablemente simple. Generó direcciones IP aleatorias y luego se envió a esas direcciones. Si el Servicio de resolución de SQL Server, utilizado para admitir varias instancias de SQL Server en una sola computadora, el host se infecta. Resolution Services opera un puerto UDP que se utiliza para enviar datagramas de Internet, pequeños mensajes que se pueden enviar rápidamente. Muy rápidamente como lo demostraría este virus.

El virus se usó para hacer que el servidor de la base de datos fallara de una de dos maneras. Podría causar que partes de la memoria del sistema se sobrescriban con datos aleatorios que consumirían toda la memoria disponible del servidor. También podría ejecutar código en el contexto de seguridad del servicio de SQL Server que podría provocar la caída del servidor.

Un tercer uso del virus fue crear una "Denegación de Servicio". Un atacante podría crear una dirección que pareciera provenir de un sistema SQL Server 2000 y luego enviarla a un sistema vecino de SQL Server 2000. Esto creó una serie interminable de intercambio de mensajes, consumiendo recursos en ambos sistemas y disminuyendo el rendimiento.

Pocos virus han causado tanta interrupción pública tan rápidamente. Según un estudio de la Universidad de Indiana sobre el virus y su impacto “La característica principal del gusano es su extraordinaria tasa de propagación. Se estima que alcanzó su nivel completo de infección global de Internet dentro de los diez minutos posteriores al lanzamiento. En su máximo (alcanzado el domingo 26 de enero), aproximadamente 120,000 computadoras individuales en todo el mundo se infectaron y esas computadoras generaron un total de más de 1 terabit / segundo de tráfico de infección ”.

Estimaron que en el momento de la infección máxima el 15% de los hosts de Internet eran inalcanzables debido al virus.

En Corea del Sur, la mayoría de los usuarios no pudieron acceder a Internet durante aproximadamente 10 horas. Derribó cajeros automáticos del Bank of America y causó interrupciones del sistema 911 en Seattle. Derribó la red de Akamai, que operaba los sitios web de compañías de alto perfil como Ticketmaster y MSNBC. Continental Airlines tuvo que cancelar vuelos debido a problemas con su sistema de boletos.

La buena noticia fue la eliminación de virus fue relativamente fácil de responder. Fue fácil de borrar de la memoria y prevenir cortando cortafuegos en los puertos afectados. De hecho, Microsoft lanzó un parche para la vulnerabilidad de desbordamiento un año antes. Ya había una solución disponible para descargar.

Lo que lleva a una parte interesante de esta historia. El origen del virus a David Litchfield, un investigador, que identificó el problema y creó un programa de "prueba de concepto". Litchfield presentó sus hallazgos a personas en Microsoft que, desafortunadamente, estaban de acuerdo con que él los presentara y la prueba de concepto en la famosa conferencia anual de Black Hat. Se presume que los creadores obtuvieron el código y el concepto de su presentación.

¿Cómo podría Microsoft permitirle hacer eso?

Aparentemente lo consideraron una noticia vieja. Tenían el parche y estaban ocupados trabajando en la próxima versión, SQL Server 2005.

Por supuesto, el incidente encendió un fuego bajo la parte trasera digital de Microsoft para enfocarse en la seguridad de SQL Server 2005. Funcionó porque desde entonces nada ha sucedido remotamente como esto con SQL Server.

PRUEBA GRATUITA OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS