Galeria sław wirusów: wirus SQL Slammer

Czas czytania: 3 minuty

Każda lista niezapomnianych wirusy komputerowe musiałby zawierać wirusa SQL Slammer, wypuszczonego w 2003 roku. Z pewnością go pamiętam. Pracowałem wtedy w UPS IT i mieliśmy kilka serwerów, które przestały działać.

Nazwa wirusa jest nieco myląca, ponieważ nie zawierała SQL, Structured Query Language dla systemów baz danych. Wykorzystał problem z przepełnieniem bufora w systemie bazy danych Microsoft SQL Server. Może to nie tylko spowodować uszkodzenie bazy danych, ale w niektórych przypadkach całe sieci.

Wirus, a właściwie robak, był niezwykle prosty. Generował losowe adresy IP, a następnie wysyłał się na te adresy. Jeśli usługa rozpoznawania programu SQL Server służy do obsługi wielu wystąpień programu SQL Server na jednym komputerze, host zostaje zainfekowany. Usługa Resolution Services obsługuje port UDP używany do wysyłania datagramów internetowych, małych wiadomości, które można szybko wysłać. Bardzo szybko, jak udowodniłby ten wirus.

Wirus został użyty do spowodowania awarii serwera bazy danych na jeden z dwóch sposobów. Może to spowodować nadpisanie części pamięci systemowej losowymi danymi, które zajęłyby całą dostępną pamięć serwera. Może również uruchamiać kod w kontekście zabezpieczeń usługi SQL Server, co może spowodować wyłączenie serwera.

Trzecim zastosowaniem wirusa było stworzenie „odmowy usługi”. Osoba atakująca mogła utworzyć adres, który wydawał się pochodzić z jednego systemu SQL Server 2000, a następnie wysłać go do sąsiedniego systemu SQL Server 2000. Stworzyło to niekończącą się serię wymiany wiadomości, która pochłania zasoby obu systemów i obniża wydajność.

Niewiele wirusów spowodowało tak szybkie zakłócenia porządku publicznego. Według badań przeprowadzonych przez University of Indiana nad wirusem i jego wpływem „Podstawową cechą tego robaka jest jego niezwykła szybkość rozprzestrzeniania się. Szacuje się, że osiągnął pełny poziom globalnej infekcji Internetu w ciągu dziesięciu minut od wydania. W maksymalnym momencie (osiągniętym w niedzielę 26 stycznia) zainfekowanych zostało około 120,000 1 komputerów na całym świecie, które generowały łącznie ponad XNUMX terabit / sekundę ruchu infekcyjnego ”.

Oszacowali, że w szczytowym momencie infekcji 15% hostów internetowych było nieosiągalnych z powodu wirusa.

W Korei Południowej większość użytkowników nie mogła uzyskać dostępu do Internetu przez około 10 godzin. Spowodowało to awarię bankomatów Bank of America i spowodowało awarie systemu 911 w Seattle. Zniszczyło to sieć Akamai, która obsługiwała strony internetowe dla znanych firm, takich jak Ticketmaster i MSNBC. Continental Airlines musiały odwołać loty z powodu problemów z systemem biletowym.

Dobra wiadomość była taka, że usuwanie wirusów stosunkowo łatwo było odpowiedzieć. Łatwo było wyczyścić pamięć i zapobiec przez zaporę ogniową portów, których dotyczy problem. W rzeczywistości Microsoft rok wcześniej wypuścił łatkę na lukę przepełnienia. Poprawka była już dostępna do pobrania.

Co prowadzi do interesującej części tej historii. Pochodzenie wirusa od Davida Litchfielda, badacza, który zidentyfikował problem i stworzył program „proof of concept”. Litchfield przedstawił swoje odkrycia ludziom z Microsoftu, którzy niestety byli w porządku, prezentując je i dowód słuszności koncepcji na słynnej dorocznej konferencji Black Hat. Zakłada się, że twórcy wzięli kod i koncepcję z jego prezentacji.

Jak Microsoft mógł mu na to pozwolić?

Najwyraźniej uważali to za starą wiadomość. Wydali poprawkę i byli zajęci pracą nad następną wersją, SQL Server 2005.

Oczywiście incydent wywołał pożar w cyfrowym zapleczu Microsoftu, aby skupić się na bezpieczeństwie SQL Server 2005. Udało się, ponieważ od tamtej pory nic podobnego nie wydarzyło się w przypadku SQL Server.

ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO