|
Posledice in ozadje internetnega črva |
|
Kaj dogaja
|
|
torek, 28. januar 2003 |
V korporaciji Microsoft preiskujejo ozadje napada črva W32.SQLExp (imenovanega tudi Worm.SQL.Helkern, Slammer ali Sapphire), ki je v soboto povzročil resne motnje v delovanju internetnega omrežja po vsem svetu.
Črv lahko prizadene vse različice strežnika SQL Server 2000, ki niso bile posodobljene z najnovejšim paketom posodobitev Service Pack 3, so sporočili iz Microsofta.
Delovanje internetnih povezav pa ni bilo moteno le v tujini, ampak tudi v Sloveniji. Težave je imela večina ponudnikov spletnih storitev, predvsem pa je bil zaradi velikega števila svojih strank opazen izpad omrežja Slovenija Online (Siol). Razlog za nastale težave je bil napad črva W32.SQLExp, ki se je namestil na neposodobljene podatkovne strežnike gostujočih podjetij in povzročil pošiljanje ogromnih količin podatkov z okuženih strežnikov na različne naslove v spletu, zaradi česar je tudi prišlo do preobremenitev povezav ter nestabilnega delovanja omrežij ponudnikov storitev.
Vsem uporabnikom Microsoft priporoča takojšnjo nadgradnjo oziroma posodobitev strežnika SQL Server 2000 z zadnjim paketom posodobitev, ki naj bi bil že od julija lani na voljo na Microsoftovem spletnem mestu http://www.microsoft.com/sql/downloads/2000/sp3.asp. Resnici na ljubo je od julija na voljo t.i. hotfix, ki ga je bilo moč namestiti ročno, zadnji paket (SQL Server 2000 Service Pack 3 ) pa je na Microsoftovih spletnih straneh od 17. januarja.
Testi, ki so jih izvedli microsoftovi strokovnjaki, kažejo na to, da črv lahko prizadene strežnike, opremljene zgolj s posodobitvenimi paketi Service Pack 1 in Service Pack 2, ne pa tistih, ki imajo nameščen tudi zadnji paket posodobitev, Service Pack 3. Preizkušanje omenjenega paketa posodobitev še poteka in bo trajalo, dokler obstaja kakršnakoli možnost, da so ogroženi tudi tako posodobljeni strežniki.
Črv sam je velik vsega 376 bytov za vdor v strežnik pa uporabi prekoračenje velikosti predpomnilnika, ranljivosti, ki so jo pri Microsoftu javno objavili 24. julija 2001 - teden dni po objavi ustreznega popravka. Podroben opis ranljivosti je na voljo tudi na naslovu NGSSoftware Insight Security Research Advisory.
Ko koda črva pride v ranljiv strežnik (z zgoraj omenjenim trikom), uporabi tri Win32 API funkcije:
- GetTickCount (KERNEL32.DLL)
- socket,
- sendto (obe WS2_32.DLL)
Črv pridobi naključno število prek funkcije GetTickCount in se prične širiti prek neskončne zanke. V tej zanki se črv razpošilja na naključne IP naslove (odvisne od naključnega števila), na MS SQL port 1434.
Črv pošilja t.i. multicast pakete, kar pomeni, da z enim "pošiljanjem" ukaz zadene vseh 255 računalnikov v podomrežju (subnet). Posledično se črv širi 255-krat hitreje kot katerikoli znan črv.
Po podatkih podjetja Kaspersky Labs so prve podobne znake in podatke zabeležili že 20. januarja 2003 ob 19:07. Vir podatkov je bil računalnik internetnega ponudnika s sedežem v ZDA. To sicer ne pomeni, da so uslužbenci tega podjetja avtorji črva - bolj verjetno je bil njihov računalnik okužen na daljavo. Resnica o izvoru kode se tako verjetno skriva v zapiskih (log datotekah) o zahtevah tega strežnika.
Istega dne, nekoliko pozneje je bila koda črva najdena v zahtevi, ki je prihajala iz strežnika na Danskem. Po tem ni bilo znakov črva do 23. januarja ob 20:21, ko je druga kopija črva prišla v zahtevi nekega drugega danskega strežnika. Do eksplozije črva je prišlo zgodaj zjutraj 25. januarja. Inkubacijska doba, če jo smemo tako imenovati, je bila 5 dni. V tem času je črv okužil dovolj strežnikov, da je povzročil uničujočo verižno reakcijo.
Glede na druge podatke naj bi bilo središče okužbe Kitajska od koder naj bi se razširil v Južno Korejo in Filipine. Od tam naj bi "preskočil" na zahodni in centralni del ZDA, kjer naj bi se "razcepil" v dva toka - prvi se je usmeril v Avstralijo in Novo Zelandijo, drugi pa v zahodno Evropo.
Geografsko naj bi okužbe prizadele:
| Država | Odstotek okuženih strežnikov kot odstotek vseh okužb |
| ZDA | 48.4% |
| Nemčija | 8.2% |
| Južna Koreja | 4.9% |
| Velika Britanija | 4.9% |
| Kanada | 4.9% |
| Kitajska | 3.3% |
| Nizozemska | 2.7% |
| Tajvan | 2.7% |
| Grčija | 2.2% |
| Švedska | 2.2% |
Pri nas je bil najbolj opazen izpad delovanja SiOL-a. SQL strežniki podjetja SiOL naj bi bili sicer primerno posodobljeni, vendar naj bo po neuradnih podatkih, mnogi strežniki, ki jih gostijo ne bili posodobljeni. Ti in ostali svetovni strežniki so povzročali tolikšnjo količino prometa, da ga niso zmogla centralna stikala IP prometa. Prekomerno obremenjeni so bili posledično tudi mnogi ostali strežniki.
Situacija se tako v Sloveniji kot po svetu umirja, vendar požar kljub svemu še ni popolnoma pogašen.
Svoje sistema naj pregledajo tudi uporabniki aplikacij, ki morda temeljijo na Microsoft SQL Server 2000 Desktop Engine (MSDE 2000). Možni slovenski kandidati: Andersen Birokrat, DataLab PANTHEON™, Špica TIME & SPACE... |
|
