Hall of Fame dei virus: virus SQL Slammer

Momento della lettura: 3 verbale

Qualsiasi elenco di memorabili virus informatici dovrebbe includere il virus SQL Slammer, scatenato nel 2003. Lo ricordo sicuramente. All'epoca ero con UPS IT e da questo abbiamo avuto diversi server.

Il nome del virus è un po 'fuorviante perché non riguardava SQL, il Structured Query Language per i sistemi di database. Ha sfruttato un problema con overflow del buffer nel sistema di database Microsoft SQL Server. Potrebbe non solo far crollare il database ma, in alcuni casi, intere reti.

Il virus, in realtà un worm, era straordinariamente semplice. Ha generato indirizzi IP casuali e quindi si è inviato a tali indirizzi. Se il servizio di risoluzione di SQL Server, utilizzato per supportare più istanze di SQL Server su un singolo computer, l'host viene infettato. I Servizi di risoluzione gestiscono una porta UDP utilizzata per inviare datagrammi Internet, piccoli messaggi che possono essere inviati rapidamente. Molto rapidamente, come dimostrerebbe questo virus.

Il virus è stato utilizzato per causare il fallimento del server di database in due modi. Potrebbe causare la sovrascrittura di parti della memoria di sistema con dati casuali che consumerebbero tutta la memoria disponibile del server. Potrebbe anche eseguire codice nel contesto di sicurezza del servizio SQL Server che potrebbe arrestare il server.

Un terzo uso del virus è stato quello di creare un "Denial of Service". Un utente malintenzionato può creare un indirizzo che sembra provenire da un sistema SQL Server 2000 e quindi inviarlo a un sistema SQL Server 2000 adiacente. Ciò ha creato una serie infinita di scambi di messaggi, consumando risorse su entrambi i sistemi e rallentando le prestazioni.

Pochi virus hanno mai causato così tante perturbazioni del pubblico così rapidamente. Secondo uno studio dell'Università del Indiana sul virus e sul suo impatto “La caratteristica principale del worm è il suo straordinario tasso di propagazione. Si stima che abbia raggiunto il suo massimo livello di infezione globale da Internet entro dieci minuti dal rilascio. Al massimo (raggiunto domenica 26 gennaio) circa 120,000 singoli computer in tutto il mondo sono stati infettati e tali computer hanno generato un aggregato di oltre 1 terabit / secondo di traffico di infezione ”.

Hanno stimato che al picco dell'infezione il 15% degli host Internet era irraggiungibile a causa del virus.

Nella Corea del Sud, la maggior parte degli utenti non ha potuto accedere a Internet per circa 10 ore. Ha abbattuto i bancomat della Bank of America e causato interruzioni del sistema 911 a Seattle. Ha abbattuto la rete di Akamai, che gestiva i siti Web per aziende di alto profilo come Ticketmaster e MSNBC. Continental Airlines ha dovuto cancellare i voli a causa di problemi con il suo sistema di biglietteria.

La buona notizia è stata la rimozione del virus era relativamente facile rispondere. È stato facile svuotare la memoria e prevenirla con il firewall delle porte interessate. In effetti, Microsoft aveva rilasciato una patch per la vulnerabilità di overflow un anno prima. Una correzione era già disponibile per il download.

Il che porta a una parte interessante di questa storia. L'origine del virus a David Litchfield, un ricercatore, che ha identificato il problema e creato un programma di "prova del concetto". Litchfield ha presentato le sue scoperte a persone della Microsoft che, sfortunatamente, erano d'accordo con lui presentandole e la prova del concetto alla famosa conferenza annuale di Black Hat. Si presume che i creatori abbiano ottenuto il codice e il concetto dalla sua presentazione.

Come potrebbe Microsoft permettergli di farlo?

Apparentemente l'hanno considerata una vecchia notizia. Avevano la patch fuori ed erano impegnati a lavorare sulla versione successiva, SQL Server 2005.

Naturalmente, l'incidente ha provocato un incendio sotto la parte posteriore digitale di Microsoft per concentrarsi sulla sicurezza di SQL Server 2005. Ha funzionato perché da allora non è successo nulla di remoto come questo con SQL Server.

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE