IT History Journal
January 24

24 января 2003 — Вирус размером 376 байт заразил весь мир за 11 минут

24 января 2003

24 января 2003 — Вирус размером 376 байт заразил весь мир за 11 минут

Вирус SQL Slammer стартанул 24 января и всего за несколько часов мог парализовать работу всего интернета. Это был, возможно, самый быстро-распространившийся вирус в истории.
SQL Slammer ничего не уничтожал и ничего не крал. Его главной задача была попадать в оперативную память серверов и бесконечно пересылать себя по UDP. В качестве точки атаки была выбрана уязвимость с переполнением буфера в Microsoft SQL Server 2000, которые в то время были установлены на миллионах серверов.

Что было в тот день?

Все события далее описаны по тихоокеанскому времени (PST)

21:29 - нулевой пациент. В сети появился первый заражённый пакет. Атака вероятно началась с сервера в Гонгонке или Южной Корее. Червь попадает на первый уязвимый Microsoft SQL Server 2000 и мгновенно отправляет тысячи копий себя по случайным IP-адресам.
21:32 (3 минуты спустя) - число заражённых серверов удваивается каждые 8 секунд. Трафик становится настолько плотным, что системы мониторинга крупных ИТ-компаний показывают “красный код опасности”.
21:40 (11 минут спустя) - заражено как минимум 75 000 серверов. Интернет в Южной Корее перестаёт работать - каналы связи переполнены пакетами от вируса. Нагрузку ощущают магистральные роутеры в США, Европе, Японии, России.
22:15 (46 минут спустя) - начинаются физические сбои в инфраструктуре.

Часть перечисленных событий не нашло подтверждения в новостях или в официальных отчётах, и известно только с пересказов свидетелей.

  • Банкоматы Bank Of America перестают работать
  • В аэропортах США останавливается регистрация на рейсы - системы бронирования не могут связаться с базами данных
  • Службы 911 в некоторых штатах США (Вашингтон, Орегон) переходят на бумажные карты, так как не могут связаться с базами данных.
  • Атомная электростанция Дэвис-Бесс (США) потеряла систему отображения параметров безопасности. Диспетчеры не видели показаний реактора в течение почти 5 часов. К счастью, реактор в то время не вырабатывал полезной энергии и был на техобслуживании.
  • Остановка поездов в Сиэтле (США). Управляющая была потеряна связь с семафорами и стрелками. Было принято решение остановить движение составов, потому что диспетчеры не могли гарантировать безопасность.
  • Базы данных полиции и здравоохранения Великобритании перестали работать или работать с жуткими перебоями.
  • Упала телеком связь компании NTT (Япония).
  • Сбои систем оплат в Австралии.
  • Крупные порты в Германии и Нидерландах потеряли возможность отслеживать перемещение контейнеров.

23:00 (1,5 часа спустя) - специалисты по безопасности в Microsoft получают вызовы со всего мира от клиентов. Системные администраторы по всему миру начинают осознавать, что проблема в Microsoft SQL Server 2000, и пытаются связаться с Microsoft.
01:00 (3,5 часа спустя) - идентификация вируса завершена. По всему миру начинает распространяться информация с инструкцией по экстренному фиксу: закрытие или фильтрация порта UDP 1434. Также, системные администраторы по всему миру узнают, что червь экплуатирует уязвимость в Microsoft SQL Server 2000, которую Microsoft уже ИСПРАВИЛИ ПОЛГОДА ТОМУ НАЗАД. И под атаку попали только те сервера, которые не обновились.
04:00 (6,5 часов спустя) - шторм начинает стихать. Множество провайдеров, системных администраторов и специалистов по безопасности уже применили экстренный фикс, а также начали обновление своего Microsoft SQL Server 2000.

Какой урон принёс SQL Slammer?

Так как этот вирус не уничтожал информацию и не крал деньги, главный ущерб - это потеря продуктивности систем (из-за этого недополученная прибыль) и затраты на восстановление. Такой расчёт по объективным причинам не может быть точным. Здесь представлены примерные цифры.
Журнал Computer Economics оценил суммарный ущерб по всему миру от $750 млн до $1,2 млрд.
Несмотря на такой большой ущерб, червь SQL Slammer оказался сильно менее убыточным для мира, чем его современники.

Этот вирус претендует на звание Warhol-червя

В 2002 году тремя учёными по компьютерным технологиям была представлена идея Warhol-червя, вируса, который может захватить мир быстрее чем, чем специалисты смогут на него среагировать.
В своей работе они указали время доступное время на заражение всего мира - 15 минут. SQL Slammer справился даже чуть быстрее, он заразил 90% уязвимых к нему систем за 10 минут. Но его нельзя назвать Warhol-червём, потому что он не соответствовал другим критериям этих вирусов.
К нашему счастью ни одного Warhol-червя ещё не было создано и запущено в интернет.

Откуда взялся этот вирус?

Автор вируса до сих пор не известен. Найти его крайне сложно, так как вирус ничего не крал, а просто копировал сам себя. Размер вируса всего 376 байт, в его теле не было ссылок на автора.

Главные гипотезы:

  • это была намеренная попытка доказательства возможности имплементации Warhol-червей (напоминаю, что эта теория появилась лишь за год до этих событий).
  • это был эксперимент, который вышел из-под контроля

Всегда обновляйтесь!

Главная причина успеха SQL Slammer был тогдашний принцип ИТ-специалистов “работает не трогай!”. SQL Slammer пользовался уязвимостью, которую Microsoft закрыли за полгода до этого инцидента.
ИТ-специалисты даже в самых крупных компаниях могли не обновлять свои системы годами.
К сожалению, сегодня тоже виден такой тренд с обновлениями, но по крайней системы защиты на других уровнях не позволяют злоумышленникам эксплотировать все доступные в интернете уязвимые узлы.