В мгновение ока промчавшись через Internet, Slammer поразил почти полмиллиона серверов, вызвав глобальное замедление работы Сети.
Slammer за считанные дни поразил почти полмиллиона серверов, разрушив корпоративные сети intranet и вызвав даже глобальное замедление работы Сети

После того как над миром пронесся ураган червя MS-SQL Slammer, эксперты обратили особое внимание на два аспекта атаки, которая при определенных условиях могла бы закончиться гораздо более печально: это потрясающая скорость, с которой распространялся Slammer, и то, что будущие версии червя вполне способны нести в себе значительно более серьезный деструктивный заряд.

Специалисты опасаются, что следующая модификация вируса начнет стирать файлы или нанесет корпоративным информационным системам какой-либо другой непоправимый ущерб.

«Возможна потеря целой базы данных, — отметил вице-президент консультационной компании Predictive Systems по стратегии безопасности Эд Скаудис. — Встраивание в Slammer дополнительных деструктивных функций требует определенного опыта, однако вероятность того, что это произойдет, непрерывно растет с того момента, как группы хакеров и законопослушные фирмы, занимающиеся вопросами безопасности, начали анализировать машинный код, применяя методы обратного проектирования».

Многие склонны обвинять системных администраторов в том, что они не провели вовремя необходимые профилактические мероприятия, звучат жалобы и на трудности при проведении обновлений. Эти обновления были выпущены корпорацией Microsoft еще полгода назад и должны были предотвратить атаку червя через брешь, вызывающую переполнение буфера.

В мгновение ока промчавшись через Internet, Slammer за считанные дни поразил почти полмиллиона серверов, разрушив корпоративные сети intranet, парализовав системы электронной коммерции и вызвав даже глобальное замедление работы Сети. В течение нескольких минут червь преодолел межсетевые экраны через оставленные открытыми порты 1433 и 1434 или же был занесен в виде инфекции, которая продолжала распространяться партнерами по электронной коммерции. Некоторые поставщики услуг Internet (в частности, корпорация AT&T) сегодня уже поставили у себя специальные фильтры, не позволяющие червю проникать в сеть.

Отдельным компаниям, пораженным вирусом Slammer, пришлось на целый день прекратить проведение внутренних операций, для того чтобы избавиться от червя, который наводнил сети intranet трафиком, рассчитанным на отказ в обслуживании.

С огромной скоростью пересылая на случайные адреса запросы на поиск незащищенных систем SQL Server и приложений, в которых использовался лицензионный код Microsoft Data Engine (MSDE), Slammer сгенерировал огромные объемы пакетного трафика UDP, что почти наполовину уменьшило общую степень готовности Web-сайтов в мире в первые часы после атаки, проведенной утром 25 января. По словам сотрудников мониторинговой компании Keynote Systems, трафик Internet вернулся в нормальное состояние к полудню того же дня.

«Атака Slammer, рассчитанная на отказ в обслуживании, на первом этапе была настолько интенсивной, что наиболее чувствительные к задержкам приложения (например, программы передачи голоса по сетям IP) оказались практически парализованы, — отметил технический директор корпорации AT&T и президент AT&T Labs. Хоссейн Эсламболчи. — Все это следует отнести к вопросам общенациональной безопасности. Представители отрасли информационных технологий совместно с правительственными структурами должны определить минимальный набор стандартов для построения необходимой сетевой архитектуры и организации эффективного противодействия угрозе».

Системы обнаружения вторжения, используемые AT&T, обеспечивают раннее обнаружение попыток проникновения червя, которые пресекаются за счет фильтрации при помощи списков управления доступом маршрутизатора. Сначала процедура фильтрации выполнялась вручную, а затем блокирование атак стало осуществляться в автоматическом режиме.

Среди жертв Slammer оказалась и корпорация Microsoft, где червь поразил около тысячи компьютеров разработчиков, не обновивших вовремя свое программное обеспечение. В результате специалистам корпорации в спешном порядке пришлось принимать необходимые меры, поскольку сеть наводнилась трафиком, вызывающим отказ в обслуживании. Серверы компании были отключены, после чего администраторы сети очистили их от крошечного червя размером 376 байт. Многие клиенты Microsoft отмечают, что процедура установки «заплатки» к коду SQL Server, выпущенной в июле прошлого года, оказалась чересчур сложной. На весь процесс могло уйти до шести часов.

«Действительно, для проведения этой операции нам следовало предоставить своим пользователям более удобный инструмент», — согласился пресс-секретарь Microsoft Рик Миллер.

Специалисты считают, что отрасли программного обеспечения так и не удалось создать хорошее инструментальное средство для выявления уязвимых мест, которое позволяло бы клиентам проводить учет приложений и оборудования, а также определять, какие именно компоненты требуют обновления и была ли соответствующая процедура проделана ранее. «Многие компании до сих пор даже не знают, с чего начать», — подчеркнул аналитик консультационной компании Greenwich Technology Partners Крис Кинг. Естественно, пользователи обвиняют во всем Microsoft. «На самом же деле ответственность за это несут те, кто занимается установкой серверов и управляют ими, — заметил специалист по сетям компании Virtua Health Пол Криак. — Именно они отвечают за своевременное обновление компонентов системы безопасности, выпускаемых Microsoft. Сотрудники корпорации просто физически не в состоянии прийти к каждому клиенту и выполнить для него соответствующую процедуру».

Представители финансовой отрасли заплатили довольно дорогую цену за отсутствие своевременного обновления. Кассовые автоматы Bank of America выключились почти на день, поскольку червь поразил внутренние серверы банка, с помощью которых осуществлялось управление автоматами, не подключенными к Internet. Серьезный ущерб был нанесен фондовым биржам Южной Кореи, пострадали и некоторые российские государственные организации.

Правительство США также осталось один на один перед лицом надвигающейся угрозы. Центру защиты национальной инфраструктуры (NIPC), который претендует на роль аванпоста, информирующего всех остальных о любой кибератаке, понадобилось несколько часов на то, чтобы понять, что происходит, и разослать предупреждения о приближении Slammer.

«Координировать действия оказалось достаточно сложно, — признал директор агентства White House Office of Cyberspace Security по вопросам защиты телекоммуникационной инфраструктуры Маркус Сакс. — Положение дел должно измениться летом, после того как NIPC войдет в состав создаваемого сейчас министерства внутренней безопасности».

Эксперты согласны с тем, что вирус Slammer непременно будет модифицирован и станет еще опаснее, но программное обеспечение SQL Servers и MSDE — один из компонентов кода Microsoft SQL, интегрированный по крайней мере в 100 приложений, — вряд ли в ближайшее время станет объектом атаки.

«Целью атакующих будут другие службы, возможно, службы печати», — отметил старший директор корпорации Symantec по вопросам безопасности Винсент Верф. На этой неделе Symantec представила отчет, в котором описаны все типы подозрительного сканирования и прямых атак, зафиксированные за последние полгода в 500 фирмах, использующих службы управления безопасностью Symantec. Согласно этому отчету, программное обеспечение SQL Server является одним из наиболее часто встречающихся объектов, интересующих хакеров.

Оборудование, которое должно противостоять распределенным атакам, направленным на отказ в обслуживании, уже в прошлом году продавалось компаниями Arbor Networks, Captus Networks и Mazu Networks, однако до сих пор оно не получило широкого распространения среди корпоративных пользователей и поставщиков услуг Internet.

Шлюзы, предотвращающие вторжение (например, выпускаемые компанией IntruVert Networks), также рассматриваются как один из способов противодействия атакам различных типов, хотя единого мнения в отношении автоматической блокировки трафика пока не существует, поскольку таким образом можно заблокировать и прохождение вполне легитимных пакетов.

Поделитесь материалом с коллегами и друзьями