Kisalföld logö

2017. 03. 28. kedd - Gedeon, Johanna 2°C | 19°C Még több cikk.

A Sapphire bénulást okozott az interneten

Jelentős forgalombénulást okozott az Interneten a szombaton megjelent, Sapphire nevű vírus. A Windows SQL 2000 kiszolgálókat támadja meg az a féregvírus, amely jelentős zavarokat okozott megjelenésének napján.
Újabb jelentõs féregvírus ütötte fel a fejét az Interneten, amely a Microsoft SQL 2000 kiszolgálók puffer-túlcsordulási hibáját kihasználva támadja és fertõzi meg a Windows 2000 alapú adatbázis-szervereket. A kártevõ az F-Secure cég által használt Sapphire elnevezés mellett még különféle neveken is ismert, mint: Slammer, Worm.SQL.Helkern, W32.SQLExp.Worm.
Az elsõ jelzések január 25-én, szombaton reggel 5.30 (GMT) körül érkeztek a nyilvános hálózatokban beállt forgalmi zavarokról. Viszonylag hamar megállapították, a Microsoft SQL szerverek által használt, közismert 1434-es porton keresztül terjedõ rosszindulatú programról van szó. A további vizsgálódást akadályozta, hogy nehezen sikerült mintát venni az új kártevõbõl.
Mint késõbb kiderült, azért, mert az új féreg csak a fertõzött gépek memóriájában létezik, ennyiben hasonlatos a 2001 júliusában észlelt hírhedt CodeRed kártevõhöz.
Eközben a Sapphire már hihetetlen sebességgel terjedt, amely számos ok együttes következménye volt:
Sokkal több SQL 2000 kiszolgáló található a világhálón, mint korábban feltételezték; ez valószínûleg a Windows alapú IIS webkiszolgálók elterjedtségének következménye. Így a vírus kellõ mennyiségû potenciális áldozatot találhatott ezek között a biztonsági karbantartás szempontjából gyakran elhanyagolt gépek között.
A Sapphire férget készítõ rosszindulatú hacker kifinomult, kézzel optimalizált gépi kódban írta meg a kártevõt. Emiatt annak mérete a memóriában mindössze 250 bájt (és az adathálózatban is csak 376 bájt), így szinte korlátlan példányszámban tud terjedni szerverrõl szerverre a modern nagy sebességû hálózatokon keresztül. Mivel a féreg egyáltalán nem tartalmaz közvetlenül a gépeket pusztító rutint, a kódja igen kis méretû lehetett és a további terjedés alapjául szolgáló fertõzött szerver-állománya is folyamatosan növekedett.
A már megfertõzött gépek a víruskód utasítása szerint a 1434-es portra címzett UDP-csomagokat küldtek szét, benne a Sapphire kódjával és az annak indításához szükséges speciális karaktersorozattal, amely az SQL szerver hibáját kihasználva a Windows 2000 szerverek fõmemóriájában futtatja le a féreg kódját. Az ilyen típusú terjedés nem igényli a kártevõtõl a végrehajtási jogosultság elõzetes megszerzését vagy kitalálását, így az SQL szerveren helyesen beállított, bonyolult jelszó sem akadályozhatja meg a féreg bejutását.
Okulva a korábbi vírusok írói által elkövetett hibákból, a Sapphire féreg a rendszer órajelciklusát használja a célpontként szolgáló véletlen IP-címtartományok generálására, így bár az erõforrásokat nagyon pazarló módon, de korlátlan mértékben tud terjedni. Ennek egyik mellékhatása, hogy a kiküldött csomagok gyakran "multicast packet" típusú címmel rendelkeznek, vagyis legrosszabb esetben egyetlen csomag is egy egész alhálózatnyi kiszolgálót fertõzhet meg! Ez a technika eddig ismeretlen volt.
Mindezek eredményeképpen a Sapphire által generált rendkívüli IP-csomagmennyiség kimerítette sok hálózati útválasztó eszköz memóriáját, illetve betöltötte a kisebb adatvonalak teljes kapacitását. Ennek következtében más hálózati szolgáltatások is elérhetetlenné váltak az Internet egyes részein és az ahhoz kapcsolódó céges intraneteken.
A számítógépes biztonságtechnikai közösséget meglepetésként érte az új SQL-féreg megjelenése, amelyet valószínûleg szándékosan a hétvégére idõzítve eresztett szabadon készítõje. Maga a kártevõ neve is arra utal, hogy az eEye biztonsági cég munkatársai hajnalban a helyi bárokból gyûjtötték össze enyhén rózsaszín hangulatban lévõ szoftver-mérnökeiket a kártevõ elemzése céljából.
A helyzet komolyságát jelzi viszont, hogy a világ számos pontján jelentõs fennakadás jelentkezett az Internet-forgalomban, nagyon sok site elérhetetlenné vált. Talán a legkomolyabb csapást Dél-Korea, a világ egyik vezetõ informatikai hatalma szenvedte el, ahol kis idõre országos szinten gyakorlatilag leállt a forgalom. Csaknem mûködésképtelenné váltak a brit szélessávú hálózatok és az Internet mûködéséhez alapvetõen szükséges névfeloldást hitelesítõ 13db ún. "root nameserver" közül öt is ideiglenesen elérhetetlenné vált. Ez nem sokkal marad el a legutóbb kifejezetten ellenük indított ún. DDoS támadás eredményességétõl, amikor 9 szervert sikerült túlterhelniük a hackereknek; pedig a Sapphire féreg tevékenységének csak "mellékterméke" volt a nameserverek elárasztása.
Szerencsére Magyarországon nem tapasztaltak különösebb hálózati és forgalmi problémákat ebben az idõszakban.
A Sapphire elleni védekezés módszere végül is egyszerûnek bizonyult: a legtöbb távközlési szolgáltató saját gerinchálózatán blokkolta az SQL szerverekhez társított 1434-es (ill. 1432 és 1433) UDP és TCP portokat, így a féreg terjedési közege megszûnt. A vállalatok ugyanezeket a beállításaikat kell, hogy alkalmazzák céges tûzfalaikon a biztonság érdekében.
Azoknak, akik a Sapphire férget már megkapták, mindössze a fertõzött szervereket kell leválasztani a nyilvános adathálózatokról, a rendszert újraindítani és feltelepíteni a szükséges biztonsági javításokat. Általánosan javasolt, hogy a vállalati adatbáziskiszolgálók ne is férjenek hozzá az Internethez, vagy amennyiben ez mégis szükséges, alkalmazzák az adatforgalom titkosítását, pl. VPN vagy SSH segítségével. Megfelelõ módszert választva ez egyben az SQL szerver hálózati portjait is elfedi a nyilvánosság elõl, így kisebb az esély, hogy esetleg egy következõ hasonló típusú vírusjárvány áldozatává váljon a kiszolgáló.
Kövessen minket, kommentelje híreinket a Kisalfold.hu Facebook oldalán!

hirdetés

hirdetés

hirdetés

A címoldal témái

Önnek ajánljuk

Francia kulturális évad nyílik Magyarországon

A Francia Köztársaság budapesti nagykövetsége "FranciArt" címmel kulturális évadot rendez… Tovább olvasom