Virus Hall of Fame: Virusul SQL Slammer

Timp de citit: 3 minute

Orice listă de memorabile virusuri computerizate ar trebui să includă virusul SQL Slammer, dezlănțuit în 2003. Cu siguranță îmi amintesc de asta. Eram la UPS IT la acea vreme și aveam mai multe servere care s-au oprit.

Numele virusului este puțin înșelător, deoarece nu a implicat SQL, limbajul de interogare structurat pentru sistemele de baze de date. A exploatat o problemă cu depășirile de buffer în sistemul de baze de date SQL Server al Microsoft. Ar putea nu numai să distrugă baza de date, ci, în unele cazuri, rețele întregi.

Virusul, de fapt un vierme, a fost remarcabil de simplu. A generat adrese IP aleatoare și apoi s-a trimis singur la acele adrese. Dacă Serviciul de rezoluție SQL Server, utilizat pentru a accepta mai multe instanțe de SQL Server pe un singur computer, gazda devine infectată. Resolution Services operează un port UDP folosit pentru a trimite datagrame pe Internet, mesaje mici care pot fi trimise rapid. Foarte rapid, așa cum s-ar dovedi acest virus.

Virusul a fost folosit pentru a cauza defectarea serverului de baze de date într-unul din două moduri. Ar putea cauza suprascrierea unor porțiuni din memoria sistemului cu date aleatorii care ar consuma toată memoria disponibilă a serverului. Ar putea, de asemenea, să ruleze cod în contextul de securitate al serviciului SQL Server, care ar putea să distrugă serverul.

O a treia utilizare a virusului a fost crearea unui „Denial of Service”. Un atacator ar putea crea o adresă astfel încât să pară să provină dintr-un sistem SQL Server 2000, apoi să o trimită la un sistem SQL Server 2000 vecin. Acest lucru a creat o serie fără sfârșit de schimb de mesaje, .consumând resurse pe ambele sisteme și încetinind performanța.

Puțini viruși au provocat vreodată atât de multe perturbări publice atât de repede. Potrivit unui studiu de la Universitatea din Indiana despre virus și impactul acestuia, „Caracteristica principală a viermelui este rata extraordinară de propagare. Se estimează că a atins nivelul complet de infecție globală pe internet în zece minute de la lansare. La maximum (atins duminică, 26 ianuarie) aproximativ 120,000 de computere individuale din întreaga lume au fost infectate, iar acele computere au generat un total de peste 1 terabit/secundă de trafic de infecție”.

Ei au estimat că la momentul maxim al infecției, 15% dintre gazdele de internet erau inaccesibile din cauza virusului.

În Coreea de Sud, majoritatea utilizatorilor nu au putut accesa internetul timp de aproximativ 10 ore. A doborât bancomatele Bank of America și a provocat întreruperi ale sistemului 911 din Seattle. Acesta a distrus rețeaua lui Akamai, care a operat site-urile web pentru companii de mare profil precum Ticketmaster și MSNBC. Continental Airlines a fost nevoită să anuleze zboruri din cauza unor probleme cu sistemul său de bilete.

Vestea bună a fost eliminarea virusului a fost relativ ușor de răspuns. A fost ușor de șters din memorie și de prevenit prin firewall porturile afectate. De fapt, Microsoft a lansat un patch pentru vulnerabilitatea de overflow cu un an mai devreme. O remediere era deja disponibilă pentru descărcare.

Ceea ce duce la o parte interesantă a acestei povești. Originea virusului lui David Litchfield, un cercetător, care a identificat problema și a creat un program „dovada conceptului”. Litchfield și-a prezentat descoperirile oamenilor de la Microsoft care, din păcate, au fost de acord ca el să le prezinte și dovada conceptului la celebra conferință anuală Black Hat. Se presupune că creatorii au obținut codul și conceptul din prezentarea sa.

Cum ar putea Microsoft să-i permită să facă asta?

Se pare că au considerat-o ca pe o știre veche. Aveau patch-ul scos și erau ocupați să lucreze la următoarea versiune, SQL Server 2005.

Desigur, incidentul a aprins un foc sub partea din spate digitală a Microsoft pentru a se concentra asupra securității pentru SQL Server 2005. A funcționat pentru că nu s-a întâmplat nimic de la distanță ca asta cu SQL Server de atunci.

INCEPE O PROBĂ GRATUITĂ OBȚINEȚI-ȚI GRATUIT SCORECARDUL DE SECURITATE INSTANTANALĂ