SQL Gefängnis ist ein Computerwurm, der eine Leugnung des Dienstes auf einigen Internetgastgebern verursacht hat und drastisch allgemeinen Internetverkehr verlangsamt hat, an 05:30 UTC am 25. Januar 2003 anfangend. Es hat sich schnell ausgebreitet, die meisten seiner 75,000 Opfer innerhalb von zehn Minuten ansteckend. So genannt von Christopher J. Rouland, dem CTO von ISS, wurde Gefängnis zuerst zur Aufmerksamkeit des Publikums von Michael Bacarella gebracht (sieh Zeichen unten). Obwohl betitelt, "SQL Gefängnis-Wurm" hat das Programm die SQL Sprache nicht verwendet; es hat einen Pufferüberschwemmungsprogrammfehler im Flaggschiff des Microsofts SQL Server und Tischmotordatenbankprodukte ausgenutzt, für die ein Fleck sechs Monate früher in MS02-039 veröffentlicht worden war. Andere Namen schließen W32 ein. SQLExp. Wurm, DDOS.SQLP1434. A, der Saphir-Wurm, SQL_HEL, W32/SQLSlammer und Helkern.

Technische Details

Der Wurm hat auf dem Beweis des Konzeptcodes basiert, der auf den Schwarzen Hut-Anweisungen durch David Litchfield demonstriert ist, der die Pufferüberschwemmungsverwundbarkeit am Anfang entdeckt hatte, die der Wurm ausgenutzt hat. Es ist ein kleines Stück des Codes, der wenig anders tut, als zufällige IP-Adressen erzeugen und sich zu jenen Adressen verbreiten. Wenn eine ausgewählte Adresse zufällig einem Gastgeber gehört, der eine ungeflickte Kopie von Microsoft SQL Server Resolution Service führt, wird der Gastgeber sofort angesteckt und beginnt, das Internet mit mehr Kopien des Wurm-Programms zu zerstäuben.

Haus-PCs sind allgemein für diesen Wurm nicht verwundbar, wenn sie installierten MSDE nicht haben. Der Wurm ist so klein, dass er Code nicht enthält, um sich zur Platte zu schreiben, so bleibt es nur im Gedächtnis, und es leicht ist umzuziehen. Zum Beispiel stellt Symantec ein freies Eliminierungsdienstprogramm zur Verfügung (sieh Außenverbindung unten), oder es kann sogar durch das Wiederstarten des SQL Servers entfernt werden (obwohl die Maschine wahrscheinlich sofort wiederangesteckt würde).

Der Wurm wurde möglich durch eine Softwaresicherheitsverwundbarkeit im SQL Server gemacht, der zuerst von Microsoft am 24. Juli 2002 berichtet ist. Ein Fleck war von Microsoft seit sechs Monaten vor dem Start des Wurmes verfügbar gewesen, aber viele Installationen waren - einschließlich vieler an Microsoft nicht geflickt worden.

Die Verlangsamung wurde durch den Zusammenbruch von zahlreichen Routern unter der Last des äußerst hohen Beschießungsverkehrs von angesteckten Servern verursacht. Normalerweise, wenn Verkehr für Router zu hoch ist, um zu behandeln, sollen die Router verzögern oder Netzverkehr provisorisch aufhören. Statt dessen sind einige Router abgestürzt (ist unbrauchbar geworden), und die "Nachbar"-Router würden bemerken, dass diese Router angehalten hatten und nicht in Verbindung gesetzt werden sollten (auch bekannt als "vom Routenplanungstisch" umgezogen ist). Router haben angefangen, Benachrichtigungen zu dieser Wirkung zu anderen Routern zu senden, über die sie gewusst haben. Die Überschwemmung von Routenplanungstabellenaktualisierungsbenachrichtigungen hat einige zusätzliche Router veranlasst, zu scheitern, das Problem zusammensetzend. Schließlich hat der maintainers der zertrümmerten Router sie wiederangefangen, sie veranlassend, ihren Status bekannt zu geben, zu einer anderen Welle von Routenplanungstabellenaktualisierungen führend. Bald wurde ein bedeutender Teil der Internetbandbreite durch Router verbraucht, die mit einander kommunizieren, um ihre Routenplanungstische und gewöhnlichen Datenverkehr verlangsamt oder in einigen Fällen angehalten zusammen zu aktualisieren. Komischerweise, weil der SQL Gefängnis-Wurm in der Größe so klein war, manchmal ist es im Stande gewesen durchzukommen, als legitimer Verkehr nicht war.

Zwei Schlüsselaspekte haben zur schnellen Fortpflanzung des SQL Gefängnisses beigetragen. Der Wurm hat neue Gastgeber über UDP angesteckt, und der komplette Wurm (nur 376 Bytes) passt innerhalb eines einzelnen Pakets. Infolgedessen konnte jeder angesteckte Gastgeber stattdessen einfach "anzünden und" Pakete so schnell vergessen wie möglich (allgemein Hunderte pro Sekunde).

Referenzen

Es gibt Streit betreffs, wer "Gefängnis" zuerst gefunden hat. Das ist fast unmöglich zu bestimmen. Jedoch in Bezug darauf, wer zuerst die breite Öffentlichkeit alarmiert hat, kann das Michael Bacarella zugeschrieben werden, der eine Mitteilung zur Sicherheitsadressenliste von Bugtraq betitelt "FRAU abgesandt hat, ZERSTÖRT SQL WURM INTERNETBLOCK-HAFEN 1434!". Dem wurde um 8:11:41 Uhr UTC am 25. Januar 2003 gesandt. Ben Koshy wird häufig als seiend das erste geglaubt; tatsächlich die Gesellschaft hat er für den ausgestellten eine Pressebehauptung zu dieser Wirkung gearbeitet. Jedoch wurde sein Alarmsignal zum Publikum, das an die NTBugtraq Adressenliste gesandt ist, bis 10:28 UTC nicht gesandt. Robert Boyle hat ein Alarmsignal an NTBugtraq an 08:35 UTC schlagender Koshy, aber das Zurückbleiben hinter Bacarella gesandt. ISS, durch Chris Rouland, hat Alarmsignale an 11:54 UTC und 11:56 UTC zu den Adressenlisten von ISSForum und Vulnwatch beziehungsweise verbreitet.

Links

Nachrichten

• BBC-NACHRICHTEN-Technologie einem Virus ähnlicher Angriff schlägt Webverkehr
• FRAU SQL Server-Wurm, der Verwüstungen anrichtet
• Angeschlossen 11.07: Zugeschlagen! Eine Erklärung eines Laien des Gefängnis-Codes.

Ansage

• Sicherheitsmeldung von Microsoft MS02-039 und Fleck
• CERT Beratungs-CA-2003-04
• Symantec Sicherheit Antwort - W32. SQLExp. Wurm

Analyse

• Innerhalb des Gefängnis-Wurmes IEEE Sicherheit und Gemütlichkeitszeitschrift, David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford und Weber von Nicholas

Technische Details

• Wurm-Code hat auseinander genommen
• Die vielfache Verwundbarkeit in Microsoft SQL Server - Softwaretechnik von Carnegie-Mellon errichtet