Viernes de retrospectiva: recordando a SQL Slammer

El sábado 25 de enero de 2003, un gusano informático voraz, ahora conocido como SQL Slammer, atacó Internet. Se propagó en forma descontrolada a través de sistemas que estaban conectados a una versión específica de Microsoft SQL, y se cree que llegó a infectar a más de 75.000 máquinas en cuestión de minutos. En total, se estima que afectó a más de 250.000 equipos en todo el mundo.

El método de propagación de SQL Slammer

Internet seguía funcionado, pero el entorno había cambiado para mejor

En su momento de máxima actividad, SQL Slammer (el gusano de mayor propagación desde el gusano Code Red de 2001) duplicaba su tamaño cada 8,5 segundos. Corea del Sur, uno de los países más conectados en ese momento, sufrió un apagón de Internet y red celular que alcanzó a 27 millones de personas, mientras que en los Estados Unidos, casi la totalidad de los 13.000 cajeros automáticos del Bank of America quedaron temporalmente offline.

Aunque el impacto del gusano tuvo una corta duración, la inmediatez del daño fue ciertamente crítica. Puso en evidencia la falta de conocimiento sobre ciberseguridad, la crueldad y la velocidad de los ataques, y la importancia de las conexiones tecnológicas para el mundo.

Los orígenes de SQL Slammer

El potencial de lo que luego sería el gusano SQL Slammer fue originalmente descubierto por el experto en seguridad David Litchfield. En 2002, este “cazador de fallas” desarrolló dos métodos para eludir los mecanismos de prevención integrados en una versión de Microsoft SQL Server. Así fue como detectó una falla de seguridad, que reportó a Microsoft, y luego incluso ayudó a la empresa a diseñar un parche para corregirla.

El parche se lanzó poco tiempo después. De hecho, cuando Litchfield habló en la conferencia Black Hat para advertirle a la gente sobre la existencia de la vulnerabilidad, también resaltó que ya había un parche disponible para remediarla. Explicó que quienes no instalaran el parche para esta vulnerabilidad de desbordamiento de búfer (en Microsoft SQL Server 2000) correrían el riesgo de ser infectados.

Como se reveló más tarde, SQL Slammer, que consistía en tan solo 376 bytes de código (similar a un párrafo corto de texto), aprovechó este desbordamiento de búfer para propagarse.

Una vez que el gusano infectaba un servidor, era capaz de replicarse a sí mismo e identificar nuevos objetivos para atacar. El ciclo se repetía en milisegundos, lo que le permitía infectar a múltiples sistemas en forma casi instantánea. Por eso es tan virulento.

La restauración del orden

El gusano Slammer es relativamente sencillo de eliminar: se reiniciaba el sistema y, si se había instalado el parche, el problema quedaba inmediatamente solucionado.

Como recuerda Lysa Myers, investigadora de seguridad de ESET, SQL Slammer no tenía archivos; existía únicamente en memoria (“una táctica bastante novedosa en ese momento”), es decir que no se copiaba a sí mismo en el disco. Por eso se podía eliminar fácilmente.

Una vez que los técnicos y expertos en seguridad lograron comprender lo que había ocurrido, respondieron con actualizaciones. Luego las cosas empezaron a calmarse, como recuerda Aryeh Goretsky, investigador distinguido de ESET.

“Pasé la mayor parte de ese fin de semana yendo de un cliente a otro, cerrando servidores y equipos de redes, y volviéndolos a iniciar”, nos cuenta. “Creo que, entre el lunes y el martes, todo había vuelto a la normalidad”.

El impacto de SQL Slammer

Internet seguía funcionado, pero el entorno había cambiado (para mejor). Aunque SQL Slammer era fácil de eliminar, reveló importantes brechas de seguridad.

“En retrospectiva, algunos de los cambios más importantes que nos ha obligado a hacer tienen que ver con la divulgación responsable y con la instalación de parches“, explica Myers.  “Hizo que las personas se dieran cuenta del peligro potencial, muy real, que existe cuando divulgan código de prueba de concepto, incluso aunque haya parches disponibles para dichas amenazas (y muchas personas aprendieron por las malas la importancia de instalar los parches inmediatamente)”.

El ataque también fue un llamado de atención en lo que respecta a la seguridad informática: las soluciones de seguridad sí importan. Como resalta Goretsky: “Si bien la mayoría de los clientes tenían software antivirus en ese momento, muchos no querían gastar dinero en firewalls. Eso cambió en 2003: la gente empezó a prestar atención al concepto de seguridad en capas, donde se utiliza un enfoque de defensa más profundo”.

Aunque SQL Slammer no fue el primer gusano informático, y sin duda tampoco será el último, sus hazañas únicas le sirvieron para alcanzar un lugar infame en el mundo de la seguridad de TI.

Autor , ESET

Síguenos