Virus Hall of Fame: Virus SQL Slammer

Waktu Membaca: 3 menit

Daftar yang berkesan virus komputer harus memasukkan virus SQL Slammer, dirilis pada tahun 2003. Saya pasti ingat itu. Saya menggunakan UPS pada saat itu dan kami memiliki beberapa server yang gagal.

Nama virus agak menyesatkan karena tidak melibatkan SQL, Structured Query Language untuk sistem basis data. Itu mengeksploitasi masalah dengan buffer overflows di sistem database Microsoft SQL Server. Itu tidak hanya dapat menurunkan database tetapi, dalam beberapa kasus, seluruh jaringan.

Virus, sebenarnya worm, sangat sederhana. Ini menghasilkan alamat IP acak dan kemudian mengirim sendiri ke alamat tersebut. Jika Layanan Resolusi SQL Server, yang digunakan untuk mendukung beberapa contoh SQL Server pada satu komputer, host menjadi terinfeksi. Layanan Resolusi mengoperasikan port UDP yang digunakan untuk mengirim datagram Internet, pesan kecil yang dapat dikirim dengan cepat. Sangat cepat seperti yang dibuktikan oleh virus ini.

Virus ini digunakan untuk menyebabkan server database gagal dalam salah satu dari dua cara. Ini dapat menyebabkan sebagian memori sistem ditimpa dengan data acak yang akan menggunakan semua memori server yang tersedia. Itu juga bisa menjalankan kode dalam konteks keamanan layanan SQL Server yang dapat menurunkan server.

Penggunaan virus yang ketiga adalah untuk menciptakan "Penolakan Layanan". Seorang penyerang dapat membuat alamat sehingga tampaknya berasal dari satu sistem SQL Server 2000, dan kemudian mengirimkannya ke sistem SQL Server 2000 yang berdekatan. Ini menciptakan serangkaian pertukaran pesan yang tidak pernah berakhir, .mengonsumsi sumber daya pada kedua sistem dan memperlambat kinerja.

Beberapa virus pernah menyebabkan gangguan publik yang sangat cepat. Menurut penelitian Universitas Indiana tentang virus dan dampaknya “Ciri utama cacing adalah tingkat penyebaran yang luar biasa. Diperkirakan mencapai tingkat penuh infeksi internet global dalam waktu sepuluh menit setelah rilis. Maksimal (tercapai pada hari Minggu, 26 Januari) sekitar 120,000 komputer individu di seluruh dunia terinfeksi dan komputer-komputer tersebut menghasilkan agregat lebih dari 1 terabit / detik dari lalu lintas infeksi ”.

Mereka memperkirakan bahwa pada puncak infeksi, 15% host Internet tidak dapat dijangkau karena virus.

Di Korea Selatan, sebagian besar pengguna tidak dapat mengakses Internet selama sekitar 10 jam. Itu menjatuhkan ATM Bank of America dan menyebabkan pemadaman sistem 911 di Seattle. Itu meruntuhkan jaringan Akamai, yang mengoperasikan situs web untuk perusahaan profil tinggi seperti Ticketmaster dan MSNBC. Continental Airlines harus membatalkan penerbangan karena masalah dengan sistem tiketnya.

Berita baiknya adalah penghapusan virus relatif mudah untuk merespons. Mudah dihapus dari memori dan dicegah dengan firewall pada port yang terkena dampak. Bahkan, Microsoft telah merilis patch untuk kerentanan overflow setahun sebelumnya. Perbaikan sudah tersedia untuk diunduh.

Yang mengarah ke bagian yang menarik dari cerita ini. Asal usul virus tersebut kepada David Litchfield, seorang peneliti, yang mengidentifikasi masalah dan menciptakan program "bukti konsep". Litchfield mempresentasikan temuannya kepada orang-orang di Microsoft yang, sayangnya, tidak masalah dengan dia mempresentasikannya dan bukti konsep pada konferensi tahunan Black Hat yang terkenal. Diduga pencipta mendapat kode dan konsep dari presentasinya.

Bagaimana Microsoft bisa mengizinkannya melakukan itu?

Mereka tampaknya menganggapnya sebagai berita lama. Mereka memiliki tambalan dan sibuk bekerja pada versi berikutnya, SQL Server 2005.

Tentu saja, insiden itu menyalakan api di bawah Microsoft digital untuk fokus pada keamanan untuk SQL Server 2005. Itu berhasil karena tidak ada yang seperti ini terjadi dengan SQL Server sejak itu.

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS