SQL Slammer para niños
El SQL Slammer fue un gusano informático que apareció el 25 de enero de 2003, alrededor de las 05:30 GMT. Este gusano causó problemas en muchos servidores de Internet y ralentizó el tráfico global de la red. Se extendió muy rápido, infectando a la mayoría de sus 75.000 víctimas en solo diez minutos.
Christopher J. Rouland, un experto de la empresa ISS, le dio el nombre de "Slammer". Sin embargo, fue Michael Bacarella quien primero alertó al público sobre su existencia. Aunque se le llama "gusano SQL Slammer", este programa no usaba el lenguaje SQL. En cambio, aprovechó un error en los programas de base de datos de Microsoft, como Microsoft SQL Server y Microsoft SQL Server Data Engine. Microsoft ya había lanzado una solución para este error seis meses antes, pero muchos sistemas no la habían instalado.
Este gusano también es conocido por otros nombres, como W32.SQLExp.Worm, DDOS.SQLP1434.A, el gusano Sapphire, SQL_HEL, W32/SQLSlammer y Helkern.
Contenido
¿Cómo funcionaba el gusano SQL Slammer?
El gusano SQL Slammer se basó en ideas presentadas por David Litchfield, quien había descubierto la falla de seguridad que el gusano aprovechó. Era un programa muy pequeño que hacía algo sencillo: generaba direcciones IP al azar y se enviaba a sí mismo a esas direcciones.
Si una de las direcciones elegidas pertenecía a un servidor que usaba Microsoft SQL Server sin la actualización de seguridad, ese servidor se infectaba de inmediato. Una vez infectado, el servidor empezaba a enviar muchas copias del gusano a otras direcciones de Internet.
¿Quiénes eran vulnerables al gusano?
Las computadoras personales de casa no solían ser afectadas por este gusano, a menos que tuvieran instalado el programa MSDE. El gusano era tan pequeño que no podía guardarse en el disco duro; solo permanecía en la memoria del ordenador. Por eso, era fácil de eliminar. Por ejemplo, se podía quitar reiniciando el programa SQL Server, aunque la máquina podía volver a infectarse rápidamente si no se aplicaba la solución.
La existencia de este gusano fue posible porque muchos sistemas no habían instalado una actualización de seguridad que Microsoft había lanzado seis meses antes, el 24 de julio de 2002. Incluso algunas instalaciones dentro de la propia Microsoft no estaban actualizadas.
¿Por qué el gusano ralentizó Internet?
La lentitud de Internet fue causada porque muchos enrutadores (dispositivos que dirigen el tráfico de Internet) se sobrecargaron con la enorme cantidad de datos que enviaban los servidores infectados. Normalmente, cuando hay demasiado tráfico, los enrutadores deberían ralentizarlo o detenerlo temporalmente.
Sin embargo, algunos enrutadores fallaron y dejaron de funcionar. Los enrutadores cercanos se dieron cuenta de esto y dejaron de enviarles información. Esto provocó que los enrutadores enviaran muchos avisos a otros enrutadores para actualizar sus tablas de rutas. Esta avalancha de avisos hizo que más enrutadores fallaran, empeorando el problema.
Pronto, una gran parte del ancho de banda de Internet se usaba solo para que los enrutadores se comunicaran entre sí. Esto hizo que el tráfico normal de datos se volviera muy lento o se detuviera por completo. Curiosamente, como el gusano SQL Slammer era tan pequeño, a veces lograba pasar incluso cuando el tráfico normal no podía.
Dos cosas clave ayudaron a que SQL Slammer se extendiera tan rápido:
- El gusano infectaba nuevos sistemas usando un protocolo llamado UDP, que es muy rápido.
- Todo el gusano, que medía solo 376 bytes, cabía en un solo paquete de datos.
Gracias a esto, cada sistema infectado podía enviar cientos de copias del gusano por segundo, sin esperar confirmación.
¿Quién descubrió el gusano SQL Slammer?
Hay un poco de debate sobre quién fue el primero en encontrar el gusano "Slammer". Sin embargo, en cuanto a quién alertó primero al público, se le atribuye a Michael Bacarella. Él envió un mensaje a una lista de correo de seguridad llamada Bugtraq el 25 de enero de 2003, a las 07:11:41 UTC, con el título "¡EL GUSANO MS SQL ESTÁ DESTRUYENDO INTERNET BLOQUEE PUERTO 1434!".
A menudo se le da crédito a Ben Koshy por ser el primero, y la empresa para la que trabajaba incluso publicó un comunicado de prensa al respecto. Pero su alerta pública, enviada a otra lista de correo (NTBugtraq), no se envió hasta las 10:28 UTC. Robert Boyle envió una alerta a NTBugtraq a las 08:35 UTC, antes que Koshy pero después de Bacarella. La empresa ISS, a través de Chris Rouland, envió alertas más tarde, a las 11:54 UTC y 11:56 UTC. Un análisis publicado por Symantec tiene una fecha de 07:45 GMT, lo que sería antes de estos anuncios públicos.
Véase también
En inglés: SQL Slammer Facts for Kids
