Ny orm lammer dele af internet

Internet gik i knæ lørdag formiddag efter et omfattende databombardement, men de fleste servere kom tilbage online i løbet af dagen.

En ny internet-orm som udnytter et kendt sikkerhedshul i Microsofts SQL Server 2000 slog til natten mellem fredag og lørdag. SQL Slammer-ormen sendte i en periode tusindvis af forespørgsler i sekundet for at finde sårbare servere og fik nettets hastighed til at falde mærkbart i nogle timer.

SQL Slammer-ormens angreb kulminerede tilsyneladende omkring kl. 06:30 lørdag morgen, hvor nettets routere blev oversvømmet med datatrafik.

Seks timer efter angrebet var de fleste kommercielle sites som havde været påvirket af angrebet tilbage på nettet igen. Symantec vurderer at mindst 22.000 websites i hele verden er blevet umiddelbart ramt af angrebet.

Internet-ormen angriber på UDP-port 1434. Sikkerheds-eksperter anbefaler at blokere porten eller helt lukke Microsoft SQL Server. Hvis man har installeret den seneste sikkerhedsopdatering skulle programmet dog ikke være sårbart.

SQL Slammer udnytter et sikkerhedshul som blev opdaget og rettet allerede i juli 2002, men det er umuligt at vide, hvor mange administratorer der har installeret Microsofts patch.

Den hurtige udbredelse af ormen skyldes især at den bruger UDP-protokollen. UDP (User Datagram Protocol) er forbindelsesløs - i modsætning til den normale netprotokol, TCP, som opretter en forbindelse mellem afsender og modtager.

UDP sender data hurtigere end TCP, fordi protokollen ikke venter på, at serveren skal bekræfte modtagelsen af datapakkerne - og det gør protokollen meget velegnet til den form for databombardement, som blev gennemført lørdag morgen.

Den nye internet-orm sammenlignes allerede med computer-virussen Code Red, som slog til i sommeren 2001 og ligeledes lammede dele af nettet.

Det eneste formål med SQL Slammer er tilsyneladende at oversvømme nettet med datatrafik. Når ormen har inficeret en ny maskine begynder den straks at sende nye pakker ud til tilfældige adresser.

Denne form for aktion kaldes også et "denial of service" (DoS) angreb, men i modsætning til lignende orme angriber SQL Slammer øjensynligt ikke et bestemt website, men forsøger at lamme hele nettet.

Virussen eksisterer kun i serverens hukommelse, hvilket kan gøre det sværere at detektere den med antivirusprogrammer, og den starter en uendelig programsløjfe, som får serveren til at tro at den modtager trafik hele tiden.

En inficeret server kan renses ved at genstarte maskinen, hvorefter man straks bør installere Microsofts patch for at sikre, at serveren ikke bliver inficeret igen.

Ifølge de foreløbige oplysninger er angrebet især gået hårdt ud over Sydkorea, hvor det overhovedet ikke var muligt at gå nettet lørdag. Regeringen fortæller at landet har været udsat for "cyber-terror", men det er stadig uklart, om de sydkoreanske netproblemer har forbindelse til SQL Slammer.

I Thailand, Japan, Malaysia, Filippinerne og Indien var der også meldinger om internet-nedbrud eller forsinkelser lørdag.

Mindst fem af nettets 13 centrale knudepunkter blev direkte ramt af angrebet, som er et af de mest omfattende i nettets historie.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere