A hétvégén vírus bénította meg az internetes forgalmat

[Vírus Riadó] A hétvégén egy új, rendkívül kártékony vírus ütötte fel a fejét internet-szerte. A Sapphire, Slammer vagy SQLExp néven ismert vírus világszerte több mint 120 000 szervert fertőzött meg, aminek köszönhetően érezhetően lelassult a globális internetforgalom sebessége és egyes vállalati hálózatok is túlterhelődtek. A vírus szombaton teljesen megbénította Dél-Korea internetes hálózatát, míg Európában elsősorban Nagy-Britanniát és Németországot érintette érzékenyen a fertőzés; hazánkban kevésbé voltak érezhetőek hatásai. Vasárnapra azonban a gyors intézkedéseknek köszönhetően sikerült megállítani a vírus terjedését és megszüntetni a forgalomzavarokat.

A vírus felbukkanásáról az első jelzések január 25-én, szombaton reggel fél hat (GMT) körül érkeztek a nyilvános hálózatokban beállt forgalmi zavarokról. Viszonylag hamar megállapították, a Microsoft SQL szerverek által használt, közismert 1434-es porton keresztül terjedő rosszindulatú programról van szó. A további vizsgálódást akadályozta, hogy nehezen sikerült mintát venni az új kártevőből. Mint később kiderült, azért, mert az új féreg csak a fertőzött gépek memóriájában létezik, ennyiben hasonlatos a 2001 júliusában észlelt hírhedt CodeRed kártevőhöz.

Eközben a Sapphire hihetetlen sebességgel terjedt, ami számos ok együttes következménye volt: sokkal több SQL 2000 kiszolgáló található a világhálón, mint korábban feltételezték; ez valószínűleg a Windows alapú IIS webkiszolgálók elterjedtségének következménye. Így a vírus kellő mennyiségű potenciális áldozatot találhatott ezek között a biztonsági karbantartás szempontjából gyakran elhanyagolt gépek között.

A Sapphire férget készítő rosszindulatú hacker kifinomult, kézzel optimalizált gépi kódban írta meg a kártevőt. Emiatt annak mérete a memóriában mindössze 250 bájt (és az adathálózatban is csak 376 bájt), így szinte korlátlan példányszámban tud terjedni szerverről szerverre a modern, nagysebességű hálózatokon keresztül. Mivel a féreg egyáltalán nem tartalmaz közvetlenül a gépeket pusztító rutint, a kódja igen kis méretű lehetett, és a további terjedés alapjául szolgáló fertőzött szerverállomány is folyamatosan növekedett.

A már megfertőzött gépek a víruskód utasítása szerint a 1434-es portra címzett UDP-csomagokat küldtek szét, benne a Sapphire kódjával és az annak indításához szükséges speciális karaktersorozattal, amely az SQL szerver hibáját kihasználva a Windows 2000 szerverek főmemóriájában futtatja le a féreg kódját. Az ilyen típusú terjedés nem igényli a kártevőtől a végrehajtási jogosultság előzetes megszerzését vagy kitalálását, így az SQL szerveren helyesen beállított, bonyolult jelszó sem akadályozhatja meg a féreg bejutását.

Okulva a korábbi vírusok írói által elkövetett hibákból, a Sapphire féreg a rendszer órajelciklusát használja a célpontként szolgáló véletlen IP-címtartományok generálására, így -- ugyan az erőforrásokat igen pazarló módon használva -- korlátlan mértékben tud terjedni. Ennek egyik mellékhatása, hogy a kiküldött csomagok gyakran "multicast packet" típusú címmel rendelkeznek, vagyis legrosszabb esetben egyetlen csomag is egy egész alhálózatnyi kiszolgálót fertőzhet meg. Ez a technika korábban ismeretlen volt.

Mindezek eredményeképpen a Sapphire által generált rendkívüli IP-csomagmennyiség kimerítette sok hálózati útválasztó eszköz memóriáját, illetve betöltötte a kisebb adatvonalak teljes kapacitását. Ennek következtében más hálózati szolgáltatások is elérhetetlenné váltak az internet egyes részein és az ahhoz kapcsolódó céges intraneteken.

A helyzet komolyságát jelzi, hogy a világ számos pontján jelentős fennakadás jelentkezett az internetforgalomban, nagyon sok weboldal elérhetetlenné vált. Talán a legkomolyabb csapást Dél-Korea, a világ egyik vezető informatikai hatalma szenvedte el, ahol kis időre országos szinten gyakorlatilag leállt a forgalom. Csaknem működésképtelenné váltak a brit szélessávú hálózatok, és az internet működéséhez alapvetően szükséges névfeloldást hitelesítő 13 darab ún. "root nameserver" közül öt is ideiglenesen elérhetetlenné vált. Ez nem sokkal marad el a legutóbb kifejezetten nameserverek ellen indított DDoS támadás eredményességétől, amikor 9 szervert sikerült túlterhelniük a hackereknek; pedig a Sapphire féreg tevékenységének csak "mellékterméke" volt a nameserverek elárasztása. Szerencsére Magyarországon nem tapasztaltak különösebb hálózati és forgalmi problémákat ebben az időszakban.

A Sapphire elleni védekezés módszere végül is egyszerűnek bizonyult: a legtöbb távközlési szolgáltató saját gerinchálózatán blokkolta az SQL szerverekhez társított 1434-es (illetve 1432 és 1433) UDP és TCP portokat, így a féreg terjedési közege megszűnt. A vállalatok ugyanezeket a beállításaikat kell, hogy alkalmazzák céges tűzfalaikon a biztonság érdekében. Azoknak, akik a Sapphire férget már megkapták, mindössze a fertőzött szervereket kell leválasztani a nyilvános adathálózatokról, a rendszert újraindítani és feltelepíteni a szükséges biztonsági javításokat. Általánosan javasolt, hogy a vállalati adatbázis-kiszolgálók ne is férjenek hozzá az internethez, vagy amennyiben ez mégis szükséges, alkalmazzák az adatforgalom titkosítását, például VPN vagy SSH segítségével. Megfelelő módszert választva ez egyben az SQL szerver hálózati portjait is elfedi a nyilvánosság elől, így kisebb az esély, hogy esetleg egy következő hasonló típusú vírusjárvány áldozatává váljon a kiszolgáló.

A munkaállomásokat és az asztali számítógépeket nem érinti közvetlenül a Sapphire féreg, hiszen az nem terjed sem elektronikus levélben, sem más üzenőprogramokban, vagy éppen fájlmegosztáson keresztül. Azonban a hálózatok túlterhelése miatt sokan nem kapták meg időben a leveleiket, illetve képtelenek voltak böngészni a világhálón.

A Microsoft még szombat reggel elérhetővé tette a vírus terjedését lehetővé tevő programhibát kiküszöbölő biztonsági javítást, mely letölthető a cég honlapjáról.