Зала слави вірусів: SQL Slammer Virus

Час читання: 3 протокол

Будь-який список незабутнього комп'ютерні віруси довелося б включити вірус SQL Slammer, випущений у 2003 році. Я, звичайно, пам’ятаю це. У той час я працював у UPS IT, і в нас було вимкнено кілька серверів.

Назва вірусу дещо вводить в оману, оскільки воно не залучає SQL, мову структурованих запитів для систем баз даних. Він використовував проблему з переповненням буфера в системі баз даних Microsoft SQL Server. Це могло не тільки зруйнувати базу даних, але в деяких випадках і цілі мережі.

Вірус, насправді хробак, був надзвичайно простим. Він генерував випадкові IP-адреси, а потім надсилав себе на ці адреси. Якщо служба дозволу SQL Server, яка використовується для підтримки кількох екземплярів SQL Server на одному комп’ютері, заражається хостом. Resolution Services керує портом UDP, який використовується для надсилання Інтернет-дейтаграм, невеликих повідомлень, які можна швидко надсилати. Дуже швидко, як це довів би цей вірус.

Вірус використовувався для того, щоб викликати збій сервера бази даних одним із двох способів. Це може призвести до перезапису частин системної пам’яті випадковими даними, які споживатимуть всю доступну пам’ять сервера. Він також може запускати код у контексті безпеки служби SQL Server, що може вивести сервер з ладу.

Третє використання вірусу полягало в створенні «Відмови в обслуговуванні». Зловмисник може створити адресу, яка, здавалося б, надходить з однієї системи SQL Server 2000, а потім надіслати її до сусідньої системи SQL Server 2000. Це створило нескінченну серію обміну повідомленнями, споживаючи ресурси обох систем і сповільнюючи продуктивність.

Мало хто з вірусів так швидко викликав так багато публічних проблем. Згідно з дослідженням вірусу та його впливу Університету Індіани «Основною характеристикою хробака є його надзвичайна швидкість поширення. За оцінками, він досяг свого повного рівня глобального зараження Інтернетом протягом десяти хвилин після випуску. Максимум (досягнутий у неділю, 26 січня) приблизно 120,000 1 окремих комп’ютерів у всьому світі були інфіковані, і ці комп’ютери генерували загальний трафік зараження понад XNUMX терабіт/секунду».

Вони підрахували, що на піку зараження 15% Інтернет-хостів були недоступні через вірус.

У Південній Кореї більшість користувачів не могли отримати доступ до Інтернету близько 10 годин. Це збило банкомати Bank of America і спричинило відключення системи 911 у Сіетлі. Це зруйнувало мережу Akamai, яка керувала веб-сайтами таких відомих компаній, як Ticketmaster і MSNBC. Continental Airlines змушена була скасувати рейси через проблеми з системою продажу квитків.

Хороша новина була видалення вірусів було відносно легко відповісти. Це було легко очистити з пам’яті та запобігти за допомогою брандмауера на пошкоджені порти. Фактично, Microsoft випустила патч для уразливості переповнення роком раніше. Виправлення вже було доступне для завантаження.

Що веде до цікавої частини цієї історії. Походження вірусу до Девіда Лічфілда, дослідника, який виявив проблему та створив програму «доведення концепції». Літчфілд представив свої висновки співробітникам Microsoft, які, на жаль, були в порядку, коли він представив їх і доказ концепції на знаменитій щорічній конференції Black Hat. Передбачається, що код і концепцію творці отримали з його презентації.

Як Microsoft могла дозволити йому це зробити?

Вони, мабуть, подумали про це як про стару новину. Вони випустили виправлення і були зайняті роботою над наступною версією SQL Server 2005.

Звісно, ​​інцидент запалив вогонь під цифровою задньою частиною Microsoft, щоб зосередитися на безпеці SQL Server 2005. Це спрацювало, тому що відтоді нічого подібного з SQL Server не відбувалося.

ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД