Compartir

SQL Slammer es un gusano informático que provocó una Denegación de servicio en algunos servidores de Internet e hizo dramáticamente más lento el tráfico de Internet en general, a partir de las 05:30 GMT del 25 de enero de 2003.

Se extendió rápidamente, infectando a la mayoría de sus 75 000 víctimas dentro de los diez minutos. Llamado así por Christopher J. Rouland, director de tecnología de la ISS, Slammer primero fue traído a la atención del público por Michael Bacarella. Aunque titulado «gusano SQL Slammer», el programa no utilizó el lenguaje SQL; se aprovechó de un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine, para el cual se había lanzado un parche seis meses antes en MS02-039. Otros nombres incluyen W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano Sapphire, SQL_HEL, W32/SQLSlammer y Helkern.

La ralentización fue causada por el colapso de numerosos routers bajo el bombardeo con muy alto tráfico desde los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que los routers lo manejen, se supone que los routers demoran o detienen temporalmente el tráfico de red. En cambio, algunos routers fallaron (se convirtieron en inservibles), y los routers «vecinos» se dieron cuenta de que estos routers se habían detenido y no debían ser contactados (también conocido como «eliminados de la tabla de enrutamiento»). Así, esos routers comenzaron a enviar avisos a esos efectos a otros routers cercanos de lo que sabían. La avalancha de avisos de actualización de tabla de enrutamiento causó que algunos routers adicionales fallaran, lo que agravó el problema.

Eventualmente los operadores de los routers fallados los reiniciaron, causando nuevas olas de actualizaciones de la tabla de enrutamiento. Pronto una parte significativa del ancho de banda de Internet se consumió por los routers que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o en algunos casos se detuvo por completo. Irónicamente, debido a que el gusano SQL Slammer era tan pequeño en tamaño, a veces era capaz de pasar a través aun cuando el tráfico legítimo no lo lograba. Dos aspectos claves contribuyeron a la rápida propagación del SQL Slammer. El gusano infectaba nuevos huéspedes a través del protocolo sin sesión UDP, y todo el gusano (sólo 376 bytes) cabe dentro de un solo paquete. Como resultado, cada host infectado podía simplemente «disparar y olvidar» los paquetes con la mayor rapidez posible (generalmente cientos por segundo).

Hay una disputa en cuanto a quién encontró «Slammer» primero. Sin embargo, en términos de que fue el primero que alertó al público en general, eso se puede atribuir a Michael Bacarella, ¡quien envió un mensaje a la lista de correo de seguridad Bugtraq titulado “MS SQL WORM ESTÁ DESTRUYENDO INTERNET BLOQUEE PUERTO 1434!». Esa fue enviada en 07:11:41 UTC del 25 de enero de 2003 Ben Koshy menudo se le acredita como el primero; de hecho, la empresa para la que trabajaba durante emitió un comunicado de prensa al respecto. Sin embargo, su alerta al público, enviado a la lista de correo NTBugtraq no fue enviado hasta el 10:28 UTC. Robert Boyle envió una alerta a NTBugtraq a las 08:35 UTC superando Koshy pero la zaga de Bacarella. ISS, a través de Chris Rouland, envió alertas a las 11:54 UTC y 11:56 UTC a las listas de correo ISSForum y Vulnwatch respectivamente. Un análisis publicado por Symantec está marcado con la fecha 07:45 GMT, que precedería estos anuncios públicos.

Referencias

Etiquetas: