SQL Slammer

SQL Slammer je počítačový červ, který způsobil Denial of Service některým internetovým službám a dramaticky zpomalil celkový internetový provoz, počínaje 25. ledna 2003 v 5:30 UTC. Rozšířil se velmi rychle, infikoval většinu ze svých 75 000 obětí během deseti minut. Slammer, pojmenovaný technickým ředitelem Internet Security Systems Christopherem J. Roulandem, byl poprvé představen veřejnosti Michaelem Bacarellem. Program nevyužíval jazyk SQL, i když byl pojmenován „SQL Slammer červ“. Zneužíval bug v přetečení vyrovnávací paměti ve vlajkové lodi Microsoftu SQL Server a v produktech založených na MSDE, pro které vyšla záplata v MS02-039. Jinak se mu také říká W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer a Helkern.^[1]

Technické detaily

Červ byl založen na demonstrativní ukázce kódu, která byla předvedena na konferenci Black Hat, Davidem Lichfieldem, jenž jako první objevil zranitelnost vůči přetečení vyrovnávací paměti, kterou červ využíval.^[2] Je to malý kus kódu, který dělá o něco více než to, že generuje náhodné IP adresy a posílá sebe sama na ně. Pokud vybraná IP adresa patří některému poskytovateli služeb, který má spuštěnou neopravenou verzi Microsoft SQL Server Resolution Service poslouchající na UDP portu 1434, stane se okamžitě nakažen a začne šířit další kopie do Internetu.

Osobní počítače nejsou obecně zranitelné vůči tomuto červu, pokud nemají nainstalovaný MSDE. Červ je tak malý, že neobsahuje kód pro zapsání sebe sama na disk, místo toho zůstává uložen pouze v paměti a tím se dá snadno odstranit. Například utilitou Symantec (viz externí odkaz níže), nebo lze také odstranit restartováním samotného SQL serveru (avšak stroj bude pravděpodobně okamžitě znovu infikován).

Červa bylo možné vytvořit díky softwarové zranitelnosti v SQL Serveru, která byla poprvé zaznamenána Microsoftem 24. února 2002. Záplata od Microsoftu byla k dostání šest měsíců před vypuštěním červa, ale mnoho instalací nemělo tuto záplatu nainstalovanou - včetně mnohých z Microsoftu.

Zpomalení bylo způsobeno kolapsem mnoha routerů pod zátěží extrémně vysokého provozu způsobeného infikovanými servery. Pokud je za normálních okolností síťový provoz pro routery příliš velký, routery by ho měly zpomalit nebo dočasně zastavit. Místo toho se některé routery zhroutily (staly se nepoužitelnými) a okolní routery si všimly, že se tento router vypnul a že s ním nemají komunikovat (neboli odstranit záznam z routovací tabulky). Routery začaly posílat oznámení o této události ostatním routerů, o kterých věděly. Záplava oznámení o změnách routovací tabulky způsobila kolaps několika dalších routerů a tím se problém jen prohluboval. Dříve či později správci zkolabovaných routerů tyto routery restartovali, a tím routery oznámily svůj status a to vedlo k další vlně aktualizování routovacích tabulek. Zanedlouho byla velká část přenosové rychlosti Internetu pohlcena vzájemnou komunikací routerů o aktualizování routovacích tabulek a obyčejný datový provoz byl zpomalen nebo dokonce zastaven. Naneštěstí velikost červa SQL Slammer byla tak malá, že se mu občas povedlo projít, i když legitimní provoz v sítí neprošel.

Dva klíčové aspekty přispěly k rapidnímu rozšíření SQL Slammeru. Červ infikoval nové hosty přes sessionless UDP protokol a celý červ (pouhých 376 bajtů) se vešel do jednoho jediného paketu.^[3][4] Ve výsledku každý z nakažených hostů mohl místo toho jednoduše zaslat co nejvíce „fire and forget“ paketů (pošli a zapomeň - nečeká se na odpověď paketu) za sekundu (běžně stovky za sekundu).

Poznámky

Je tu spor o to, kdo první našel „Slammer“. Nicméně tím, kdo první varoval širokou veřejnost, byl Michael Bacarella, který napsal zprávu do bezpečnostního mailing listu Bugtraq pojmenovanou „MS SQL ČERV NÍČÍ INTERNET, ZABLOKUJTE PORT 1434!“. ^[5] Tato zpráva byla poslána 25. ledna 2003 v 7:11:41 UTC. Prvenství je často připisováno Benovi Koshymu. Společnost, pro kterou pracoval, vydala v tomto smyslu tiskové prohlášení.^[6] Jeho oznámení, odeslané veřejnosti přes NTBugtraq mailing list, však nebylo odesláno před 10:28 UTC.^[7] Zpráva Roberta Boyla byla přes NTBugtraq odeslána v 8:45 UTC, čímž porazil Koshyho, ale zůstal pozadu za Bacarellou.^[8] ISS skrze Chrise Roulanda poslala varování v 11:54 UTC, poté v 11:56 UTC na ISSForum a následně na Vulnwatch mailing list.^[9][10] Analýza vydaná společností Symantec je časově označená na 7:45 GMT, což předchází těmto tiskovým prohlášením.^[11]

Reference

V tomto článku byl použit překlad textu z článku SQL Slammer na anglické Wikipedii.

1. Symantec W32.SQLExp.Worm [online]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
2. LEYDEN, John. Slammer: Why security benefits from proof of concept code. www.theregister.co.uk. Register, 6 February 2003. Dostupné online [cit. 2008-11-29]. Je zde použita šablona {{Cite news}} označená jako k „pouze dočasnému použití“.
3. Moore, David et al. The Spread of the Sapphire/Slammer Worm [online]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
4. Serazzi, Giuseppe & Zanero, Stefano. Performance Tools and Applications to Networked Systems. Redakce Calzarossa, Maria Carla & Gelenbe, Erol. [s.l.]: [s.n.], 2004. (Lecture Notes in Computer Science; sv. Vol. 2965). Dostupné online. Kapitola Computer Virus Propagation Models, s. 26-50. Je zde použita šablona {{Cite book}} označená jako k „pouze dočasnému použití“.
5. BACARELLA, Michael. MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434! [online]. Bugtraq, 25 January 2003 [cit. 2012-11-29]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
6. W3 Media's Ben Koshy first to identify Internet 'Slammer' Virus [online]. W3 Media, January 24, 2003 [cit. 2008-11-29]. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
7. KOSHY, Ben. Peace of Mind Through Integrity and Insight [online]. Neohapsis Archives, January 25, 2003 [cit. 2008-11-29]. Dostupné v archivu pořízeném dne 2009-02-19. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
8. BOYLE, Robert. Peace of Mind Through Integrity and Insight [online]. Neohapsis Archives, January 25, 2003 [cit. 2008-11-29]. Dostupné v archivu pořízeném dne 2009-02-19. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
9. ISS Security Brief: Microsoft SQL Slammer Worm Propagation [online]. 25 January 2003 [cit. 2008-11-29]. Dostupné v archivu pořízeném dne 2009-02-19. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
10. X-Force. Peace of Mind Through Integrity and Insight [online]. Neohapsis Archives, January 25, 2003 [cit. 2008-11-29]. Dostupné v archivu pořízeném dne 2009-02-19. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.
11. SQLExp SQL Server Worm Analysis [online]. DeepSight™ Threat Management System Threat Analysis, Jan 28, 2003. Dostupné online. Je zde použita šablona {{Cite web}} označená jako k „pouze dočasnému použití“.

Externí odkazy

Novinky

• BBC NEWS Technology Virus-like attack hits web traffic
• MS SQL Server Worm Wreaking Havoc
• Wired 11.07: Slammed! Laické vysvětlení kódu Slammeru.

Oznámení

• Microsoft Security Bulletin MS02-039 and Patch
• CERT Advisory CA-2003-04
• Symantec Security Response - W32.SQLExp.Worm

Analýza

• Inside the Slammer Worm IEEE Security and Privacy Magazine, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas Weaver

Technické detaily

• Multiple Vulnerabilities in Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute