Virüs Onur Listesi: SQL Slammer Virüsü

Okuma zamanı: 3 dakika

Unutulmaz herhangi bir liste bilgisayar virüsleri 2003'te piyasaya sürülen SQL Slammer virüsünü de dahil etmek zorunda kalacaktı. Bunu kesinlikle hatırlıyorum. O sırada UPS BT ile birlikteydim ve bundan dolayı çok sayıda sunucumuz vardı.

Virüs adı, veritabanı sistemleri için Yapılandırılmış Sorgu Dili olan SQL'i içermediğinden biraz yanıltıcıdır. Microsoft'un SQL Server veritabanı sistemindeki arabellek taşmalarıyla ilgili bir sorundan yararlandı. Yalnızca veritabanını değil, bazı durumlarda tüm ağları da indirebilir.

Aslında bir solucan olan virüs, oldukça basitti. Rastgele IP adresleri üretti ve ardından kendisini bu adreslere gönderdi. Tek bir bilgisayarda birden çok SQL Server örneğini desteklemek için kullanılan SQL Server Çözünürlük Hizmeti, ana bilgisayara virüs bulaşmış olur. Çözünürlük Hizmetleri, İnternet veri birimlerini, hızlı gönderilebilen küçük mesajlar göndermek için kullanılan bir UDP bağlantı noktasını çalıştırır. Bu virüsün kanıtlayacağı gibi çok hızlı.

Virüs, veritabanı sunucusunun iki yoldan biriyle başarısız olmasına neden olmak için kullanıldı. Sunucunun tüm kullanılabilir belleğini tüketen rastgele verilerle sistem belleğinin bazı bölümlerinin üzerine yazılmasına neden olabilir. Ayrıca, sunucuyu çökertebilecek SQL Server hizmetinin güvenlik bağlamında kod çalıştırabilir.

Virüsün üçüncü kullanımı, "Hizmet Reddi" oluşturmaktı. Bir saldırgan, bir SQL Server 2000 sisteminden geliyormuş gibi görünen bir adres oluşturabilir ve ardından onu komşu bir SQL Server 2000 sistemine gönderebilir. Bu, her iki sistemdeki kaynakları tüketen ve performansı yavaşlatan, hiç bitmeyen bir dizi mesaj alışverişi yarattı.

Şimdiye kadar çok az virüs bu kadar hızlı bir şekilde kamuoyunda bu kadar çok kesintiye neden oldu. Indiana Üniversitesi'nin virüs ve etkisiyle ilgili bir araştırmasına göre “Solucanın temel özelliği olağanüstü yayılma hızıdır. Piyasaya sürüldükten sonraki on dakika içinde küresel internet enfeksiyonunun tam seviyesine ulaştığı tahmin ediliyor. En fazla (26 Ocak Pazar günü ulaşıldı) dünya çapında yaklaşık 120,000 ayrı bilgisayara virüs bulaştı ve bu bilgisayarlar toplamda 1 terabit / saniyenin üzerinde bulaşma trafiği oluşturdu ”.

En yüksek enfeksiyonda, virüs nedeniyle İnternet ana bilgisayarlarının% 15'inin erişilemez olduğunu tahmin ettiler.

Güney Kore'de çoğu kullanıcı İnternete yaklaşık 10 saat erişemedi. Bank of America ATM'lerini kapattı ve Seattle'daki 911 sisteminin kesintilerine neden oldu. Ticketmaster ve MSNBC gibi yüksek profilli şirketlerin web sitelerini işleten Akamai ağını çökertmiştir. Continental Airlines, bilet sistemindeki sorunlar nedeniyle uçuşları iptal etmek zorunda kaldı.

İyi haber şuydu: virüs temizleme yanıt vermek nispeten kolaydı. Etkilenen bağlantı noktalarını güvenlik duvarı ile bellekten temizlemek ve önlemek kolaydı. Aslında, Microsoft bir yıl önce taşma güvenlik açığı için bir yama yayınlamıştı. İndirmek için zaten bir düzeltme mevcuttu.

Bu da hikayenin ilginç bir kısmına götürür. Virüsün kökeni, sorunu tanımlayan ve bir "kavram kanıtı" programı oluşturan bir araştırmacı olan David Litchfield'e aittir. Litchfield bulgularını, ne yazık ki, her yıl düzenlenen ünlü Black Hat konferansında bunları ve konseptin kanıtını sunmasına itiraz eden Microsoft'taki insanlara sundu. Yaratıcıların kodu ve konsepti sunumundan aldıkları varsayılmaktadır.

Microsoft bunu yapmasına nasıl izin verebilir?

Görünüşe göre bunu eski bir haber olarak düşünüyorlardı. Yamayı çıkardılar ve bir sonraki sürüm olan SQL Server 2005 üzerinde çalışmakla meşguldüler.

Elbette, olay SQL Server 2005 için güvenliğe odaklanmak için Microsoft'un dijital arka ucunun altında bir yangın çıkardı. İşe yaradı çünkü o zamandan beri SQL Server'da uzaktan böyle bir şey olmadı.

DENEME SÜRÜMÜNE BAŞLA ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN