Läsningstid: 3 minuter
Varje lista med minnesvärda datavirus måste inkludera SQL Slammer-viruset, släppt ut 2003. Jag minns det verkligen. Jag var med UPS IT vid den tiden och vi fick flera servrar att gå ner från det.
Virusnamnet är lite vilseledande eftersom det inte involverade SQL, Structured Query Language för databassystem. Det utnyttjade ett problem med buffertöverflöden i Microsofts SQL Server-databassystem. Det kunde inte bara ta ner databasen utan i vissa fall hela nätverk.
Viruset, faktiskt en mask, var anmärkningsvärt enkelt. Det genererade slumpmässiga IP-adresser och skickade sig sedan till dessa adresser. Om SQL Server Resolution Service, som används för att stödja flera instanser av SQL Server på en dator, blir värden infekterad. Resolution Services driver en UDP-port som används för att skicka internet-datagram, små meddelanden som kan skickas snabbt. Mycket snabbt som detta virus skulle bevisa.
Viruset användes för att få databasservern att misslyckas på ett av två sätt. Det kan leda till att delar av systemminnet skrivs över med slumpmässiga data som skulle förbruka hela serverns tillgängliga minne. Det kan också köra kod i säkerhetskontexten för SQL Server-tjänsten som kan föra ner servern.
En tredje användning av viruset var att skapa ett ”Denial of Service”. En angripare kunde skapa adress så att den verkade komma från ett SQL Server 2000-system och sedan skickade den till ett närliggande SQL Server 2000-system. Detta skapade en oändlig serie av meddelandeutbyte, konsumerar resurser på båda systemen och bromsar prestanda.
Få virus har någonsin orsakat så mycket mycket offentliga störningar så snabbt. Enligt en studie från University of Indiana om viruset och dess inverkan ”Maskens primära kännetecken är dess extraordinära spridningshastighet. Det uppskattas att det nådde sin fulla nivå av global internetinfektion inom tio minuter efter utgivningen. Maximalt (nått söndagen den 26 januari) infekterades cirka 120,000 1 enskilda datorer världen över och dessa datorer genererade sammanlagt över XNUMX terabit / sekund av infektionstrafik ”.
De uppskattade att 15% av internetvärdarna vid högsta infektion var oåtkomliga på grund av viruset.
I Sydkorea kunde de flesta användare inte komma åt Internet på cirka 10 timmar. Det sänkte Bank of America-bankomater och orsakade avbrott i 911-systemet i Seattle. Det tog ner nätverket av Akamai, som drivte webbplatserna för högt profilerade företag som Ticketmaster och MSNBC. Continental Airlines var tvungen att avbryta flygningar på grund av problem med biljettsystemet.
Den goda nyheten var virusborttagning var relativt lätt att svara på. Det var lätt att rensa från minnet och förhindra genom att brandvägga de påverkade portarna. I själva verket hade Microsoft släppt en korrigeringsfil för sårbarhet för överflöde ett år tidigare. En fix var redan tillgänglig för nedladdning.
Vilket leder till en intressant del av den här historien. Virusets ursprung till David Litchfield, en forskare, som identifierade problemet och skapade ett "proof of concept" -program. Litchfield presenterade sina resultat för människor på Microsoft som tyvärr var ok med att han presenterade dem och beviset på konceptet vid den berömda Black Hat-konferensen. Det antas att skaparna fick koden och konceptet från sin presentation.
Hur kunde Microsoft tillåta honom att göra det?
De tyckte uppenbarligen på det som gamla nyheter. De hade korrigeringen och var upptagen med att arbeta med nästa version, SQL Server 2005.
Naturligtvis tändde händelsen en brand under Microsofts digitala bakre ände för att fokusera på säkerhet för SQL Server 2005. Det fungerade för att ingenting på distans som detta har hänt med SQL Server sedan dess.
PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS
