Siebel Systems认为他们逃过一劫。
通过观察在周末持续发作的SQL Slammer蠕虫病毒(也叫Sahire或SQL Hell)对众多公司网络袭击产生的影响,人们可以发现,这一次软件制造商的国际事务所只是付出轻微代价就度过了难关。
从1月24日晚蠕虫病毒开始发作直到星期二的3天多时间里,Slammer进入了Siebel内部网络并且造成通讯堵塞。
“它耗尽了网络资源,”Mark Sunday说(加利福尼亚州圣马特奥电子商务应用程序制造商CIO),“它产生的网络通讯量比以往任何一次都要大。”
事后的教训:不管网络采取了何种防护措施,没有网络是安全的。某些公司认为自己的网络与Bank of America,American Express和微软这样的大公司一样,处于Trustworthy Computing initiative的保护之下,应该是安全的,但这次它们却发现自己的内部网络因为Slammer的攻击而瘫痪。
据不完全统计这种蠕虫病毒造成了大概10亿美金的损失,但这种损失带来的最大意义是:人们认识到通过更新软件补丁和升级其他防护措施来巩固安全。安全专家敬告人们,企业需要把攻击视为不可避免,应该集中精力降低损失,而不是尽力创造一个牢不可破的网络。
“未来几年内,我们还无法预防病毒,”北美病毒查找安全软件公司Trend Micro的主管Joe Hartmann说,“漏洞永远存在。”
最近几个星期,受害者发现自己的内部网络远不如看起来安全。象Slammer这样的蠕虫病毒只需一个安全环境下的小漏洞,就会让他们花费少则几天多则几周的时间来彻底清除。
即使Siebel公司将绝大部分网络带宽资源都分给了犹他州的两个数据中心,该蠕虫还是造成了很大破坏。当安全小组找到受感染服务器的时候已经过去了24小时,在这期间Slammer病毒使公司在 San Mateo 总部的内部网络堵塞,造成无法正常使用电子邮件和其他资源。
“这种病毒的破坏级别超过了尼姆达和红色代码,”信息技术信息共享和分析中心(监视核心网络主要威胁的联邦代理处之一)的实施主管Peter Allor说。
SQL Slammer蠕虫病毒只有376字节,比红色代码4KB(4096字节)和尼姆达60KB(61440字节)小的多。它利用一个微软六个月前就已经宣布并且可以打补丁的漏洞,通过自我繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所有代码,数据包中Slammer载入内存后计算机就受到了病毒感染。
这使得Slammer到目前为止是传播速度最快的蠕虫病毒,在加州圣地亚哥大学,劳伦斯伯克利国家实验室和Silicon Defense(提供安全顾问工作)的一份联合报告中指出,在它发作的头10分钟里就感染了百分之九十的易攻击服务器。红色代码与之相比首先需要找寻易感染的服务器,然后再发送自身的一个拷贝。红色代码每37分钟感染的服务器加倍,而Slammer只需要8.5秒钟。 在2001年7月感染了将近400000台计算机,两个月后尼姆达又席卷了全球。 但是Slammer清理起来要比尼姆达容易的多:重起服务器即可。从Incidents.org的数据来看,Slammer影响了大约200000台微软SQL服务器,红色代码袭击的主机数量是它一半。
不过SQL Slammer比它前辈的影响要显著。
“我们发现这种蠕虫病毒的一些新行为是我们从前所没有看到过的,”Allor说。以前蠕虫病毒会破坏被感染网络内部操作,但是一般情况下外部人员是无法注意到的。
“在这个例子里,消费者收到了影响,”Allor接着说。“人们无法拨号上网,飞机无法起飞,ATM取款机无法取款。”
这些问题都是由这个病毒程序自我繁殖特性产生的,因为蠕虫病毒攻击了网络系统中的弱点――数据库。
“你可能有几百万用户,他们散落在世界各地,但是他们却都需要从数据库中得到信息,”在安全界相当于Rotary Club的FBI InfraGard国家管理局女主席Phylis说。“这些用户本来是不易受攻击的,但是他们却因为与数据库联系而受影响。”
发生在Bank of America身上的是它的自动柜员机在1月25日突然停止服务。原因在于感染了Slammer服务器产生的大量数据堵塞了Bank of America的内部网络数据库。
“当一个用户使用ATM柜员机与我们内部网络数据库通信的时候,”银行发言人Lisa Gagnon说,“因为网络堵塞,通信无法完成。”
通过分析代码,我们可以发现理论上一个受感染服务器发出的蠕虫拷贝数据包可以堵塞100M以太网带宽。
那天晚上的迟些时候,Bank of America公司的绝大部分ATM柜员机都恢复了服务。它定位了入侵点,但由于安全原因不能详细解释蠕虫入侵细节。
“不管是因为补丁失效还是我们忘记给服务打补丁,”Gagnon说。“接下来我们要做的就是分析如何才会确保这种事不再发生。”
说起来容易做起来难。甚至连长期致力于提高公司和软件安全的技术龙头微软也没有能完全防御住蠕虫病毒攻击。
一封在微软内部信息和技术小组流传的电子邮件,后发布在CNET News.com上,描绘了微软公司在SQL Slammer发作时的混乱景象。
“所有的应用程序和服务全都受到影响并且性能低下,”Mike Carlson――微软信息技术小组数据中心业务主管,陈述了一封在1月25日太平洋标准时间早晨8:04发送的电子邮件。“由于网络已经堵塞,收集影响细节信息十分困难。”微软的CIO Rick Devenuti说这个软件巨人已从这个教训中获取经验。
当一家公司增强它的网络时候,它不可能关闭所有端口,因为应用软件还需在端口上监听网络数据。这样蠕虫病毒就可以发现相关端口并散播到整个网络,因为各个网络之间不是孤立的。“它仅仅需要感染一台主机就可以了,”Devenuti在上个星期的见面会上说。“任何时候的任何一个漏洞都不会有百分之百的机器都打了补丁。虽然我们正努力使补丁操作简单,但是百分之百是一个很高的标准,在目前这种情况下我们无法达到。
许多公司网络管理员坚持认为他们可以通过修补漏洞来阻止蠕虫病毒发作,但越来越多有经验的安全人士开始质疑安装全部补丁的防护策略。
“Slammer 向我们说明了:不管你是谁,对于每一个人来说跟上补丁更新都是困难的,”数据库领导者Oracle的CSO (chief security officer)Mary-Ann Davidson说。
微软,Oracle尽力将增长中的补丁按照优先级进行排队,这样做的话系统管理员就可以最先得到最重要的补丁。这样做是必要的,因为可以减轻管理员负担并且帮助公司衡量是否需要更新补丁以确保它们所保护的关键系统功能不受攻击影响。
“你最终想得到的是你的管理系统正常工作下去,因为在你应用补丁之前你没有机会测试它,”Davidson说。
微软对这点很清楚。在红色代码发作前一个月,它两次发布了对于关于它Exchange servers软件升级后应用程序产生漏洞的补丁。于是当修补过的系统被攻破后,微软不得不又对Windows NT提供了December补丁。
Steve Solomon(安全软件制造商Citadel Security Software的CEO)说这只是偶尔才会发生的问题。他所在公司开发可以自动安装补丁的系统,受到负担沉重的网络管理员的欢迎。
“现在,”Solomn说对于那些有着过多负担管理员,“完成这个任务枯燥而且花费大量时间,而且用手工完成会无法跟上补丁更新。”作者:Robert Lemos(CNET News.com)