Olvasási idő: 3 jegyzőkönyv
Bármilyen emlékezetes lista számítógépes vírusok tartalmaznia kell a 2003-ban elszabadult SQL Slammer vírust. Biztosan emlékszem rá. Akkoriban a UPS IT-nél dolgoztam, és több szerverünk is leállt tőle.
A vírus neve kissé félrevezető, mert nem tartalmazta az SQL-t, az adatbázis-rendszerek strukturált lekérdezési nyelvét. A Microsoft SQL Server adatbázisrendszerében a puffertúlcsordulás problémáját használta ki. Nemcsak az adatbázist, hanem bizonyos esetekben az egész hálózatot is lerombolhatja.
A vírus, valójában egy féreg, rendkívül egyszerű volt. Véletlenszerű IP-címeket generált, majd elküldte magát ezekre a címekre. Ha az SQL Server Resolution Service, amelyet az SQL Server több példányának támogatására használnak egyetlen számítógépen, a gazdagép megfertőződik. A Resolution Services egy UDP portot üzemeltet, amely internetes datagramok, kis üzenetek küldésére szolgál, amelyek gyorsan elküldhetők. Nagyon gyorsan, ahogy ez a vírus bebizonyítaná.
A vírust kétféle módon használták az adatbázis-kiszolgáló meghibásodására. Előfordulhat, hogy a rendszermemória egyes részeit véletlenszerű adatokkal írják felül, amelyek felemésztik a kiszolgáló teljes rendelkezésre álló memóriáját. Az SQL Server szolgáltatás biztonsági környezetében is futtathat olyan kódot, amely leállíthatja a kiszolgálót.
A vírus harmadik felhasználása a „szolgáltatásmegtagadás” létrehozása volt. A támadó létrehozhat egy olyan címet, amely úgy tűnik, hogy az egyik SQL Server 2000 rendszerből származik, majd elküldheti egy szomszédos SQL Server 2000 rendszerre. Ez az üzenetváltások soha véget nem érő sorozatát hozta létre, amely mindkét rendszeren erőforrásokat fogyaszt, és lassította a teljesítményt.
Kevés vírus okozott ilyen gyorsan ilyen nagy nyilvánosságot. A vírusról és annak hatásáról szóló Indiana Egyetem tanulmánya szerint „A féreg elsődleges jellemzője a rendkívüli terjedési sebesség. Becslések szerint a megjelenést követő tíz percen belül elérte a globális internetes fertőzés teljes szintjét. A maximumon (január 26-án, vasárnap érte el) körülbelül 120,000 1 egyéni számítógép fertőződött meg világszerte, és ezek a számítógépek több mint XNUMX terabit/másodpercnyi fertőzési forgalmat generáltak.
Becslések szerint a fertőzés csúcsán az internetes gazdagépek 15%-a volt elérhetetlen a vírus miatt.
Dél-Koreában a legtöbb felhasználó körülbelül 10 órán keresztül nem tudta elérni az internetet. Lerombolta a Bank of America ATM-eit, és leállásokat okozott a 911-es rendszerben Seattle-ben. Lerombolta az Akamai hálózatát, aki olyan magas rangú cégek webhelyeit üzemeltette, mint a Ticketmaster és az MSNBC. A Continental Airlinesnak törölnie kellett a járatait a jegyrendszerével kapcsolatos problémák miatt.
A jó hír az volt vírus eltávolítása viszonylag könnyű volt válaszolni. Könnyű volt törölni a memóriából, és tűzfallal megelőzni az érintett portokat. Valójában a Microsoft egy évvel korábban kiadott egy javítást a túlcsordulási sebezhetőségre. Egy javítás már letölthető volt.
Ami ennek a történetnek egy érdekes részéhez vezet. A vírus eredete David Litchfield kutatótól származik, aki azonosította a problémát, és elkészítette a „proof of concept” programot. Litchfield bemutatta az eredményeit a Microsoft munkatársainak, akik sajnos jól érezték magukat, ha bemutatta őket és a koncepció bizonyítékát a híres éves Black Hat konferencián. Feltételezhető, hogy az alkotók a kódot és a koncepciót az ő előadásából kapták.
Hogyan engedhette meg neki a Microsoft, hogy ezt tegye?
Nyilván régi hírnek gondolták. Kikészítették a javítást, és a következő verzión, az SQL Server 2005-ön dolgoztak.
Természetesen az incidens tüzet gyújtott a Microsoft digitális hátulja alatt, hogy az SQL Server 2005 biztonságára összpontosítson. Működött, mert azóta semmi ehhez hasonló távolról nem történt az SQL Serverrel.
INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT
