Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: Houston Chronicle, submitter: pven

Internet wormOnderzoekers hebben geconcludeerd dat Slammer de snelst verspreide worm is in de geschiedenis van het internet. De worm, die scande op een beveiligingslek in onder andere Microsoft's SQL-server, verspreidde zich op 25 januari binnen tien minuten naar meer dan 67.000 computers over de hele wereld. De gevolgen waren enorm; trage internetverbindingen, uitval van bedrijfssystemen en vertraagde vluchten. De Slammer-worm verdubbelde elke 8.5 seconde in aantal, terwijl de Code Red-worm, die in 2001 verscheen, hier 37 minuten voor nodig had. Binnen tien minuten had de worm een totaal van 3.6 miljard van de 4 miljard bestaande internetaddressen gescand. De beperkende factor in dit alles was de capaciteit van het wereldwijde netwerk, welke deze enorme toename in verkeer niet aankon. Tijdens het hoogtepunt van de aanval kwam de helft van alle internetsignalen niet aan bij de eindbestemming.

Moderatie-faq Wijzig weergave

Reacties (48)

Ehm, misschien snap ik het niet helemaal, maar:

3.6 miljard IP adressen scannen met 67.000 machines in 10 minuten :?

Dat is dus 3.600.000.000 / 67.000 = 53731,34 wat elke geinfecteerde machine in 10 minuten heeft gescand. ruim 89.5 IP's per seconde! En dan te bedenken dat in de eerste minuten nog niet het aantal van 67.000 was behaald. Dus het aantal per seconde zou dan nog hoger liggen. Vind het wel een beetje veel.

Of mis ik hier wat :?
De worm zelf had een payload van 376 bytes. Voeg wat overhead toe en het is nog steeds 3 maal niets. Op een 100 Mbps verbinding betekent dit dus dat er theoretisch zo'n 25000 infectiepogingen per seconde worden gedaan (hier op de campus heb ik geen systemen in de router logs gevonden die dat haalden, er zat er 1 net boven de 20000, 1 op ongeveer 15000 en een op zo'n 9000). Ik vind die 90 IPs per seconde dus nogal weinig.

Daarnasst kan je vraagtekens zetten bij de bewering dat er 4 miljard IP adressen zijn. Tuurlijk, ze zijn er wel, maar 224.0.0.0/3 is bijvoorbeeld al volledig gereserveerd. Als je ook een beetje selectief wat andere reeksen er uit gooit dan houd je zo'n 3 miljard bruikbare adressen over (ik weet niet of SQL Slammer zo selectief was). Maar theoretisch betekent dit dus dat 1 besmet systeem op 100 Mbps in anderhalve dag het complete internet afgewerkt heeft.

Al met al hebben we nog geluk gehad dat MS SQL Server niet zo alomvertegenwoordigd is als andere programmatuur. Moet je je voorstellen dat er evenveel systemen dat geinstalleerd hadden als dat er IIS draaien, en dat er dan zo'n worm langskomt. Wanneer dat gebeurt (wanneer, niet als) kan internet echt wel een weekje uiteenvallen in losse netwerken die elkaar niet meer kunnen bereiken.
Je vergeet hier dat ook bedrijfsnetwerken waren geinfecteerd. Dit komt nog bovenop de theoretische 4 miljard IP-adressen op het publieke internet. Duizenden netwerken op daarvoor gereserveerde IP-ranges.
je vergeet iig dat de worm zichzelf verspreidde naar een subnet's (255.255.255.*) !!! via UDP dus, en niet naar iedere machine...
niks subnetten

ding had een randomizer in zich zitten om random ip ranges te scannen.. maar wel met allemaal apart individueel pakketje.


ik heb wat forensics erover gelezen (lang leve securityfocus website).

Aangezien UDP stateless is, kan je gewoon pakketje de lijn op schoppen en het boeit je verder niet offie wel of niet aankomt.

Echter, er zat een foutje in het randomizer gedeelte van het programma, waardoor niet altijd geheel een juiste random waarde werd verkregen waardoor er vaak dezelfde ipranges uitkwamen, maar uiteindelijk door dat het "langzaam" voortkabbelde en de "seeding" toch veranderde, heeft het wel de mogelijkheid in zich om het gehele internet te kunnen bestrijken aan ip adressen. Het duurde alleen wat langer dan als het een juist ge-implementeerde randomizer was.

Verder heeft de worm zoveel verkeer gegenereerd dat het zichzelf in de wielen ging rijden. Op een gegeven moment was de bandbreedte gewoon op... Iets wat met Code Red niet gebeurd was, maja, die had dan ook een verdubbel tijd van 37 minuten omdat die gebaseerd was op TCP/IP protocol. Hierbij last hebbende van de handshaking latency tussen twee hosts en het feit dat een host slechts een beperkt aantal resources heeft voor het opzetten van connecties.

Code Red was dus meer CPU/latency afhankelijk, en Slammer was meer bandbreedte afhankelijk...

anyways, tot zover mijn 2 cent..
Of mis ik hier wat

Het zijn natuurlijk wel MS SQL Severs en die hebben niet allemaal trage verbindingen. Kijk bijvoorbeeld eens naar hoeveel IP's een T3 verbinding kan scannen per seconde ... dat aantal ligt enorm hoog ...
Of de cijfers helemaal juist zijn, weet ik natuurlijk ook niet. Maar ik neem aan dat SQL-server over het algemeen op de wat snellere bakken draait. Laat je vervolgens wat zoekopdrachtjes parallel lopen, in plaats van serieel, dan moet zoiets misschien nog wel haalbaar kunnen zijn. Maar enkele vraagtekens zijn natuurlijk wel terecht.
Misschien dat als je een exponentiele functie gebruikt, het aantaal ip's per seconde niet zo hoog is :-) per tijds eenheid stijgt het aantal computers dat geinfecteerd is en dus ook zelf gaat infecteren ook !
(f: X-->2^x)
Bij mij komt het sommetje niet helemaal uit...
10 minuten, 8.5 seconden per verdubbeling. Dus (10*60) / 8.5 verdubbelingen, dat is dus 70 verdubbelingen. 2^70 is op mijn rekenmachine 1.180.591.620.717.411.303.424 en dat is geloof ik zelfs meer dan het aantal beschikbare IP adressen.

Om in 10 minuten tot 67.000 infecties te kunnen komen heb je x^2 = 67.000 => x = 2 log 67.000 = ongeveer 16 verdubbelingen nodig. 16 verdubbelingen in 600 seconden, dus iedere 37,5 seconden een verdubbeling.

Niet zomaar alles geloven wat je leest, zeker als het getallen zijn!
ja

klopt

maar feit is wel dat ie binnen 10 minuten zeg maar gehele internet address space te pakken had.

dat het 10 minuten heeft geduurd komt vooral wegens het feit dat je een enorme packetstorm hebt gekregen...

er hoeft maar 1 geinfecteerde machine te zijn en de worm verspreid zich al middels duizenden pakketjes over een hele iprange ...

ennuh, nja, zoals ik boven al aangaf, was de random-number genorator beetje crappy.

wacht, ff linkje naar forensics:

www.cs.berkeley.edu/~nweaver/sapphire/
Bij mij komt het sommetje niet helemaal uit...
Bij mij wel. Je vergeet dat de worm niet weet welke adressen al gescanned zijn en welke niet. elk IP wordt meerdere malen gescand.

(een IP adres is btw 32 bit. Dus 2^32 mogelijkheden. )
WOW! Ik moet zeggen dat dit een heel interesante ontwikkeling is, die waarschijnlijk door de meeste mensen als heel erg eng wordt ervaren. Het is duidelijk dat de 'veiligheid' van een hoop systemen op het internet niet toppie is, maar die verantwoordelijkheid ligt bij de individuele gebruikers van die systemen, niet bij de gehele internet gemeenschap. Ik zou het heel erg interessant vinden om op deze manier te zoeken naar informatie, het nadeel alleen is dat de infra structuur van het net dat momenteel gewoon nog niet aan kan. Een 'bot' (of eigenlijk een 'virus' dat als zoek machine fungeerd) die binnen tien minuten zo een beetje het hele internet heeft afgezocht, de hoeveelheid info die je dan tot je beschikking kan hebben is enorm. Zoals ik dus al zij, erg interessante ontwikkelingen...
<..>het nadeel alleen is dat de infra structuur van het net dat momenteel gewoon nog niet aan kan. <..>

Om maar te zwijgen van de ontzettend dikke inetverbinding die je nodig hebt om de resultaten van jouw zoekactie op 3,6 miljard hosts terug te krijgen, en het serverpark dat je nodig hebt om die data te analyseren en op te slaan.

Met dit beeld in het achterhoofd, en met de gedachte dat alleen google al 150 miljoen zoekopdrachten per dag verwerkt....dag internet :)

Wat ik eigenlijk veel opmerkelijker vind is het 'non-destructieve' karakter van nimda / code-red / slammer. Ze richten natuurlijk wel schade aan, maar slechts een fractie van de schade die ze aan zouden kunnen richten. Slammer had -iets anders gebouwd- in die 10 minuten ook op 67.000 sql-servers alle databases leeg kunnen gooien. Dag data. Want ik ga er even van uit dat beheerders die een sql-server ongepatched aan inet hangen ook geen pervente backuppers zullen zijn.

Verder ben ik erg bang voor de http-opvolger van slammer... Die ms-sql poort is natuurlijk vrij eenvoudig te blokkeren op grote knooppunten, maar een worm die poort 80/8080 gebruikt zal veel langer vrij spel hebben.
Een zware server met een gigabit connectie naar een internet exchange kan heel erg veel connecties per seconde halen.
edit:
Dit was dus een reactie op Beany...
Een aantal factoren kan natuurlijk de oorzaak zijn van deze snelle verspreiding, wat ik helaas mis in het rapport.
Zo is het aantal xDSL aansluitingen toegenomen, en is SQL server niet zo vaak onderhevig aan updates als bijv Outlook Express is geweest. Verder komt erbij kijken dat OE door iedereen dagelijks gebruikt wordt, terwijl SQL Server rustig als (achtergrond)-proces(je) draait op veelal servers waar niet dagelijks iemand achter zit.
Uit oogpunt van het virus een geniale target dus.
Het is toch op zich wel al ziek dat zoiets überhaupt kán gebeuren...

Is er niet eerder gedacht aan dit soort 'attacks' ?
Tuurlijk is daar eerder aan gedacht. Code Red dus :+

Het is alleen altijd maar wachten totdat iemand een fout in Microsoft-software uitbuit op die manier. En er zijn nog altijd een paar kleine softwarepakketten waar soortgelijke bugs inzitten en waar ook vast nog niet iedereen een patch voor heeft geïnstalleerd :X
Sommige dingen zijn onmogelijk om vooruit te zien.

Veel mensen zien dit soort dingen als 'het" bewijs dat MS incompetend is op het gebied van beveiliging. Nou geef ik toe dat ze er niet super in zijn, maar incompetend zijn ze zekers niet.

Je kan dit soort attacks pas stoppen als er een patch voor is, die kwam vrij snel uit, maar veel mensen waren te laat met het implementeren van de patch, dus heeft het virus heel lang vrij-spel gehad.
Veel mensen zien dit soort dingen als 'het" bewijs dat MS incompetend is op het gebied van beveiliging. Nou geef ik toe dat ze er niet super in zijn, maar incompetend zijn ze zekers niet.
Nee, maar voordat de software van MS een goede reputatie heeft op security-gebied heeft zijn we wel een poosje verder. Het blijkt dus gewoon dat veel mensen niet patchen. Dat is niet slim, maar soms zijn daar goede redenen voor.

Het blijkt dat veel SQL Server installaties direct (of indirect) bereikbaar zijn via het Internet. Niet slim, maar soms zijn daar goede redenen voor.

Het blijkt dat de fout niet alleen in SQL Server zit, maar eigenlijk in MSDE, zeg maar de 'core' van SQL Server. Slim van MS om die component te hergebruiken, maar in dit geval niet handig. Veel mensen weten daardoor niet eens dat ze eigenlijk een SQL Server lite hebben draaien.

Deze factoren bij elkaar creeeren een situatie waarin er veel systemen zijn die elkaar op een makkelijke manier kunnen besmetten. Dat feit, gekoppeld aan de manier waarop SQL Slammer zich verspreidde, levert een toestand op waarin zoiets razendsnel om zich heen grijpt. Als je nog moet patchen als het probleem zich openbaart ben je dus per definitie te laat.

Wie heeft er nu de meeste schuld? MS heeft oorspronkelijk een fout gemaakt, maar heeft ook een patch staan (al meer dan een half jaar) om dit probleem te verhelpen. Gebruikers en beheerders installeren de software en zijn verantwoordelijk voor het up-to-date houden van hun installatie. Dit betekent natuurlijk niet dat ze elke week uren kunnen uittrekken voor het installeren van patches, zeker niet als je systeembeheer er alleen maar 'bij' doet.

Als dan ook nog eens blijkt dat het installeren van sommige patches verre van triviaal is en dat sommige patches het probleem niet verhelpen, andere problemen introduceren of zaken helemaal onmogelijk maken wordt het voor een beheerder kiezen tussen twee kwaden. Ik denk dat de verspreiding van SQL Slammer heeft alten zien waar in ieder geval een deel van de beheerders voor kiest. Helemaal opvallend is natuurlijk het feit dat ook Microsoft zelf last heeft gehad van SQL Slammer. Het MS argument dat gebruikers niet op tijd patchen gaat dus ook voor MS zelf op.
Het blijkt dat veel SQL Server installaties direct (of indirect) bereikbaar zijn via het Internet. Niet slim, maar soms zijn daar goede redenen voor.
ik hoef er geen meerdere (redenen). Met eentje zou ik al heel verbaasd zijn. En die zou ik ook graag willen horen van je. Ik ben zo benieuwd wat de reden is van een (ms)sql server open tezetten op een publiek netwerk dat ik die graag wil weten!
Ik hoef er geen meerdere (redenen). Met eentje zou ik al heel verbaasd zijn. En die zou ik ook graag willen horen van je. Ik ben zo benieuwd wat de reden is van een (ms)sql server open tezetten op een publiek netwerk dat ik die graag wil weten!
Heel simpel: pure luiheid. Iemand die geen tijd in beveiliging wil steken kan ongestraft van alles en nog wat aan het net hangen, met alle gevolgen van dien.

Een andere goede reden is onwetendheid: sommige mensen hebben geen idee wat ze nu precies draaien.

Natuurlijk zijn dit geen redenen die technisch goed zijn, maar voor sommige mensen zijn dit de redenen om zo'n opzet te kiezen of te hebben.
Pure luiheid kun je toch series aanvoeren als "goede" reden. Dat is slechte reden.

En de tweede reden, ik mag er toch van uitgaan dat wanneer mensen een sql server draaien ze dat vanzichzelf weten?
De incompetentie van de gebruiker die niet upgradet zou je ook kunnen zeggen natuurlijk :)
In Linux zijn ook heel grote fouten ontdekt, alleen is de gemiddelde Linux-gebruiker zo slim om veel up te graden waardoor zo'n lekken snel gedicht worden en/of niemand meer de behoefte heeft om ze uit te buiten.
De Linux-admin heeft gewoon een hogere tweaklevel dan de gemiddelde windows-admin.

Linux is met de console lekker moeilijk en houd de n00bs lekker ver weg. Dus als je een Linux-machine aan de praat kan krijgen met de nodig softwares en andere dingen (installeer eens een Gentoo-distro...), dan moet je een redelijk hoge tweaklevel hebben.

Windows is eigenlijk te gebruiksvriendelijk, dus trekt massaal n00bs aan. Om een windows te installeren en te laten draaien in paar muisklikken is veel minder hoge tweaklevel nodig. Dus je krijgt veel rotte admins die hun server niet eens kunnen patchen.

Dus Linux heeft een betere "selectiviteit" om n00bs ver van servers weg te houden, daarom zijn er minder problemen met Linux-servers.
Dus Linux heeft een betere "selectiviteit" om n00bs ver van servers weg te houden, daarom zijn er minder problemen met Linux-servers.
Dat zou kunnen, maar heeft hier niets mee te maken. De belangrijkste reden dat linux minder 'besmettelijk' is, is gewoon dat er veel minder linux systemen zijn. Een infectie die de meerderheid van een populatie kan besmetten verspreid zich per definitie veel sneller.

In database-systemen is Microsoft niet erg dominant (ze hebben pas de 3e plaats na Oracle en IBM, hoogstens zo'n 13% van de markt), maar daar staat tegenover dat de vergelijking met linux in dit geval erg onzinnig is. De meest populaire database engine op linux is MySQL en die speelt helemaal niet met de grote jongens mee (ten onrechte, als je het mij vraagt :)).
maar niet snel genoeg wamt dam hadie klaar moeten zijn in de eerste 10 minuten
Het is toch op zich wel al ziek dat zoiets überhaupt kán gebeuren...
Is er niet eerder gedacht aan dit soort 'attacks' ?
Jawel, maar niks is perfect, zeker niet in de technische sector. Het Internet is naar mijn idee te groot en onbeheersbaar om OOIT veilig te zijn.
Je kan dit soort attacks pas stoppen als er een patch voor is, die kwam vrij snel uit, maar veel mensen waren te laat met het implementeren van de patch, dus heeft het virus heel lang vrij-spel gehad.


Sterker nog die was er al alleen niet mand had gepatched.
patch was juli 2002 ofzo al gereleased.

alleen

a) microsoft heeft beetje gebrekkige patch mededelingen lijst
b) de patch had een brakke manier van installeren --> server offline gooien. bestand handmatig overschrijven, server weer online gooien (hierbij bedoel ik met online/offline dus dat de hele database server afgesloten moest worden en weer opnieuw opgestart met de "nieuwe" dll's)
c) vrij weinig mensen hebben hiervoor de moeite genomen ... met dit als gevolg.. hehe... uren offline ipv half uurtje.. tja... risico van het vak..
En nog minder beheerders nemen de moeite om port 1433 naar de buitenwereld dicht te zetten |:(

IMO zou elke systeembeheerder die dat niet gedaan heeft onmiddelijk zijn biezen moeten pakken.

Uiteraard kan het wel eens gebeuren dat er een securityflaw in bepaalde software zit. Daar moet je gewoon van uit gaan, en echt niet alleen in MS software, ook in bijvoorbeeld Oracle is laatst een groot gat gevonden zie: http://www.webwereld.nl/nieuws/9601.phtml

Kortom als je op port niveau de boel al dichttimmert dan zit je eigenlijk al gebeitelt.
Mijns inziens gelden de regels van security ongeveer als volgt:
Alles dicht per default.
Alleen dat openzetten wat volgens de "business" nodig is en alleen dan als er een secure autenticatie voorziening voor is.
SQL servers die direkt aan Internet hangen, is vragen om moelijkheden. Elk systeem aan internet hangen zonder een beveiliging ertussen is vragen om moeilijkheden.
Wow, dit lijkt wel Pluto's Kiss (de anime-freaks weten ws wel waar ik het over heb) ;)

Het gebeurde in 2016 als ik me niet vergis. Het was een worm die bijna alle computersystemen in de wereld platlegde en voor een wereldwijde chaos zorgde :z
Ja of Lord of the Ring Two towers!!! Staan ook op een bepaald moment 64.000 man voor een poort!


|:( |:(
De Slammer-worm verdubbelde elke 8.5 seconde in aantal, terwijl de Code Red-worm, die in 2001 verscheen, hier 37 minuten voor nodig had.
Klopt dit? Dat betekend dat het slammer virus 261 x sneller zou zijn...
Het is natuurlijk ook een hele snelle database.... :7
Ik betwijfel alleen of Microsoft wel happy is met dat hun database het beste uit de bus komt met virusverpreiding-benchmarking. :z Dat is namelijk niet verassend }>
Euh...

Start - Uitvoeren - Calc

B-)
Knap! En dat zonder rekenmachientje?
*oops* wrong door.. :)
Microsoft - Move along, nothing to see here, people. :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True