Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Flashbak Friday: SQL Slammer

2016-10-03

Sâmbătă, 25 ianuarie 2003, internetul a fost lovit de un vierme de calculator nemilos cunoscut acum sub numele de SQL Slammer. Răspândirea extraordinar de repede pe internet printr-un bug într-o versiune a Microsoft SQL, se crede a fi infectat peste 75.000 de mașini într-o chestiune de câteva minute. La nivel global, se presupune că a infectat peste 250.000 de calculatoare.

Răspândirea de SQL Slammer

SQL Slammer, care a fost viermele cel mai răspândit începând cu viermele Code Red din 2001, și-a dublat dimensiunile la fiecare 8,5 secunde. Coreea de Sud, una dintre cele mai conectate țări din lume la acea vreme, a avut o întrerupere de funcționare pe internet și pe telefonul mobil pentru 27 de milioane de oameni, în timp ce în Statele Unite, aproape toate ATM-urile Bank of America (13.000) au fost temporar deconectate.

Cu toate că impactul viermelui a fost de scurtă durată, iminența acestui prejudiciu a fost critică. A demonstrat un deficit de cunoaștere a securității cibernetice, răutatea și viteza atacurilor cibernetice și cât de conectată tehnologic este lumea.

Originile SQL Slammer

Potențialul pentru ceea ce ar fi putut deveni viermele SQL Slammer a fost descoperit inițial de către expertul de securitate David Litchfield. În 2002, “vânătorul de bug-uri” a dezvoltat în mod etic două metode pentru a ocoli mecanismele de prevenire construite într-o versiune a Microsoft SQL Server. El a descoperit un defect și l-a raportat la Microsoft, pe care i-a asistat în găsirea unei corecții.

Nu după mult timp, a fost dezvoltat un patch, ceea ce înseamnă că, atunci când acesta a vorbit mai târziu la o conferință Black Hat, el nu numai că a fost măsură să avertizeze oamenii de defect, dar, de asemenea, a subliniat faptul că de acum un patch este disponibil. El a spus că cei care nu au rezolvat vulnerabilitatea buffer overflow – în Microsoft SQL Server 2000 – ar fi în pericol de a fi infectați.

După cum, ulterior, a fost dezvăluit, SQL Slammer, care a fost în valoare de doar 376 octeți de cod (asemănător unui scurt paragraf de text) – s-a răspândit în cele din urmă prin intermediul acestui buffer overflow.

Odată ce un server a fost infectat, viermele se reproducea și identifica noi ținte pentru a le ataca. Procesul se repeta în milisecunde, permițând mai multor sisteme să fie infectate aproape instantaneu. A fost la fel de virulent ca viermii vii.

Restabilirea

Fixarea pentru Slammer a fost relativ simplă; sistemele puteau fi restartate, iar, în cazul în care au fost instalate patch-uri, problema a fost imediat fixată.

De asemenea, după cum își amintește Lysa Myers, cercetător de securitate la ESET, deoarece SQL Slammer nu a conținut fișiere și pentru că a existat doar in memorie – “o tehnica destul de nouă la momentul respectiv” – nu se scria direct pe disk. Prin urmare, putea fi îndepărtat cu ușurință.

Odată ce tehnicienii și experții în securitate au analizat ce s-a întâmplat, au răspuns cu metode de remediere. Lucrurile au început să se calmeze, după cum afirmă Aryeh Goretsky, un cercetător distins de la ESET.

“Am petrecut cea mai mare parte a acelui week-end analizând site-urile clienților, închizând servere și rețele de transmisie și apoi repornindu-le”, observă el. “Cred că până luni sau marți totul a fost readus la normal.”

Impactul SQL Slammer

Sigur, internetul a fost funcțional, dar mediul s-a schimbat (în bine). SQL Slammer, deși a fost rezolvat în scurt timp, a relevat lacune.

“Privind retrospectiv, unele dintre cele mai mari schimbări pe care ne-a forțat să le facem au constat în dezvăluirea responsabilă și realizarea de patch-uri”, explica Myers. “I-a făcut pe oameni să înțeleagă potențialul real privind daunele din lansarea codurilor, chiar și pentru amenințări și patch-uri (mulți oameni au învățat pe calea cea mai grea cât de important este să aplice patch-uri cu promptitudine).”

Atacul a fost, de asemenea, un apel de trezire privind securitatea informațiilor – soluțiile de securitate contează, după cum evidențiază Goretsky: “În timp ce majoritatea clienților au fugit de un software antivirus la momentul respectiv, au existat unii care nu au vrut să cheltuiască bani pe firewall-uri.”

“Acest lucru s-a schimbat în 2003 și oamenii au început să acorde atenție ideii de straturi de securitate folosind o abordare de apărare în profunzime.”

În timp ce SQL Slammer nu a fost primul vierme ce a existat și cu siguranță nu și ultimul, exploatarea sa unică a ajutat la obținerea de informații privind securitatea.

 

EDITOR



Leave a Reply

Your email address will not be published. Required fields are marked *