Dvorana slavnih Virus: SQL Slammer Virus

Čas branja: 3 min

Vsak seznam nepozabnih računalniški virusi bi moral vključiti virus SQL Slammer, sprožen leta 2003. Vsekakor se ga spomnim. Takrat sem delal pri UPS IT in imeli smo več strežnikov, ki so se izklopili.

Ime virusa je nekoliko zavajajoče, ker ni vključevalo SQL, jezika strukturiranih poizvedb za sisteme baz podatkov. Izkoristil je težavo s prekoračitvijo medpomnilnika v Microsoftovem sistemu baze podatkov SQL Server. Ne bi lahko samo podrl baze podatkov, ampak v nekaterih primerih celotna omrežja.

Virus, pravzaprav črv, je bil neverjetno preprost. Ustvaril je naključne naslove IP in se nato poslal na te naslove. Če se SQL Server Resolution Service, ki se uporablja za podporo več primerkov SQL Server v enem računalniku, okuži gostitelja. Resolution Services upravlja vrata UDP, ki se uporabljajo za pošiljanje internetnih datagramov, majhnih sporočil, ki jih je mogoče hitro poslati. Zelo hitro, kot bi dokazal ta virus.

Virus je bil uporabljen za odpoved strežnika baze podatkov na enega od dveh načinov. Lahko povzroči, da se deli sistemskega pomnilnika prepišejo z naključnimi podatki, ki bi porabili ves razpoložljivi pomnilnik strežnika. Prav tako bi lahko zagnal kodo v varnostnem kontekstu storitve SQL Server, ki bi lahko uničila strežnik.

Tretja uporaba virusa je bila ustvarjanje »zavrnitve storitve«. Napadalec lahko ustvari naslov tako, da se zdi, da prihaja iz enega sistema SQL Server 2000, in ga nato pošlje v sosednji sistem SQL Server 2000. To je ustvarilo neskončno serijo izmenjave sporočil, ki je porabljala vire na obeh sistemih in upočasnjevala delovanje.

Le malo virusov je kdaj tako hitro povzročilo toliko motenj v javnosti. Študija Univerze v Indiani o virusu in njegovem vplivu navaja, da je »glavna značilnost črva njegova izjemna hitrost širjenja. Ocenjuje se, da je dosegel svojo polno stopnjo globalne internetne okužbe v desetih minutah po objavi. Na vrhuncu (doseženem v nedeljo, 26. januarja) je bilo okuženih približno 120,000 posameznih računalnikov po vsem svetu in ti računalniki so skupaj ustvarili več kot 1 terabit/sekundo okuženega prometa.

Ocenili so, da je bilo na vrhuncu okužbe 15 % internetnih gostiteljev nedosegljivih zaradi virusa.

V Južni Koreji večina uporabnikov ni mogla dostopati do interneta približno 10 ur. Porušil je bankomate Bank of America in povzročil izpade sistema 911 v Seattlu. Zrušil je omrežje Akamai, ki je upravljal spletna mesta za odmevna podjetja, kot sta Ticketmaster in MSNBC. Continental Airlines je moral odpovedati lete zaradi težav s sistemom izdajanja vozovnic.

Dobra novica je bila odstranitev virusa je bilo razmeroma enostavno odgovoriti. Bilo ga je enostavno počistiti iz pomnilnika in preprečiti s požarnim zidom prizadetih vrat. Pravzaprav je Microsoft leto prej izdal popravek za ranljivost prelivanja. Popravek je bil že na voljo za prenos.

Kar vodi do zanimivega dela te zgodbe. Izvor virusa Davidu Litchfieldu, raziskovalcu, ki je prepoznal težavo in ustvaril program »dokaz koncepta«. Litchfield je svoje ugotovitve predstavil ljudem v Microsoftu, ki so se na žalost strinjali, da jih je predstavil in dokaz koncepta na slavni letni konferenci Black Hat. Predvideva se, da so ustvarjalci kodo in koncept dobili iz njegove predstavitve.

Kako mu je Microsoft lahko to dovolil?

Očitno so to imeli za staro novico. Imeli so popravek in bili so zaposleni z delom na naslednji različici, SQL Server 2005.

Seveda je incident zanetil ogenj pod Microsoftovim digitalnim zadnjim delom, da bi se osredotočili na varnost za SQL Server 2005. Delovalo je, ker se od takrat s strežnikom SQL ni zgodilo nič takega.

ZAČNITE BREZPLAČEN PREIZKUS BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO