由于爆发时间正值农历春节前夕,再加上是周末,SQL Slammer病毒给全球带来严重危害,但中国的网络却损失不大。但是,没有永远的幸运儿,专家们提出告诫――安全是个过程,任何侥幸心理都是极其危险的,安全防护应该从日常点滴做起。
1月25日,周六,中国农历春节的前夕,大部分的中国企业已经进入了过节的状态。就在这时,2003年第一个最厉害的病毒正在悄悄走来,它就是SQL Slammer病毒。
在亚洲,上网普及率占总人口七成的韩国受影响最重,韩国两大网络公司KFT及韩国电信系统全部陷入瘫痪,其官方声称,该国网络遭到全面攻击;我国台湾省有几十万的网上游戏者无法上网,或上网状态不稳定;美国某银行表示,该行13000台ATM机当天无法正常交易……
SQL Slammer病毒在一个局域网里的传播就像是乒乓球一样弹来弹去,瞬间使网络瘫痪
该病毒在一天内,给全球网络造成了致命危害,由此造成的损失估计为12亿美元。中国由于反应及时,再加上是周末和春节前夕的原因,基本躲过了这一劫。
普遍认为,2002年是病毒平静的一年,由此,有人开始庆幸――在红色代码和Nimda病毒之后,病毒制造者已经黔驴技穷,新的、有危害性的病毒从此销声匿迹了。但是,令他们吃惊的是,这个梦如此快就被打破了。可以说,SQL Slammer病毒巧夺天工的设计思路毫不逊色于红色代码和Nimda病毒,它开创了病毒史上的又一个奇迹。
最小的蠕虫病毒
趋势科技公司的工程师齐军是这样评价SQL Slammer病毒的:这种病毒是目前为止发现的体积最小的蠕虫病毒,其整个长度不超过4K。它与红色代码病毒极其相似,同样是利用系统漏洞进行攻击,同样具有DDOS攻击的特征――染毒主机在可以触及的网络范围内发动攻击,整个网络由于染毒主机发送的海量数据包陷入瘫痪状态。但是,它又与红色代码不同,这种恶意代码并不破坏主机中存放的数据,而只是感染内存,让内存染毒后,在进行数据处理的同时“慢慢变疯,并且把这种疯狂继续向外传播”。 正是因为该病毒仅存在于内存当中,导致在文件系统中,人们对它根本无迹可寻,使得传统的针对文件进行过滤的防毒方案根本无计可施,因此说,它开创了病毒史上的一个新方向,使病毒的爆发变得更容易、更智能,而且,其短小精悍的程度,让你很难察觉出它的存在。
此DDOS恶意程序利用微软SQL Server 2000的漏洞,专门攻击安装了微软SQL 2000的服务器和MSDE 2000的客户端。而且,据介绍,在一个百兆网络中,如果有一台主机染毒了,这种病毒的传播就会像“乒乓球一样弹来弹去”,瞬间使整个网络瘫痪。
松懈猛于虎
对于SQL Slammer蠕虫病毒能在短时间内,给全球造成严重危害性的原因,安全厂商们的分析很一致――人们的松懈心理是罪魁祸首。美国NAI公司中国区产品经理侯海龙和趋势科技公司的齐军都不约而同地表示:SQL Slammer病毒的制造者非常聪明,首先,他选择病毒的发作时间在周六,这是所有的人们,包括网管员们最放松的时候;第二,在微软无数个漏洞中,它挑选了这样一个不起眼的漏洞,利用如此小的病毒程序,向全世界的网络发起攻击。因为,病毒制造者明白,面对数以百计的微软系统补丁,人们不可能有耐心一一对待。果不其然,事实证明,虽然这种漏洞的补丁早在半年前就出台了,但是,关注它的人寥寥无几。正因为这种松懈,造成了数以亿计的损失。
事情发生后,有心人难免要问几个为什么,大家想的最多的恐怕就是,到底在这个事件中谁应该付主要责任。有人说是微软,如果不是它设计出的系统有漏洞,病毒就不会可乘之机。猛一听,这种说法有道理,但是仔细想一想,难免有点牵强。如果不用微软的操作系统,其他的操作系统就没有漏洞了吗?据行家介绍,当Oracle9i面市9个月后,同样被发现存在漏洞。看来,没有漏洞的操作系统是不存在的,正像世界上没有不犯错的人一样。更何况微软在发现漏洞后,已经及时地在网站上做出了公布,并且提出了相应的补丁。之所以染毒,是因为有用户没有及时地打补丁。看来,主要的责任还在于用户自身,如果他们当时对于这个补丁能及时关注、事先补好的话,那么在这场浩劫中,就不会有这么大的损失。
专家说,在网络中,应该提倡“自扫门前雪”的责任制,只有每个用户把自己的门守好了,才能保证整个网络的安全,才能保证你的系统不出事。NAI公司技术工程师侯海龙这样建议用户:在日常网络的维护中,首先应该规范系统的操作流程,不在系统中安装影响机器安全性的软件;网管员对于网络中所有用户的终端以及使用情况都应该有所了解,而且要为所有的设备做好安全防护,其中包括PDA这样容易被忽略的设备。他反复提醒用户:安全是个过程,任何半点的松懈都可能造成终身的、影响全局的危害。
减少松懈的解决方案
虽然对于“网络中公布的漏洞,应该及时打补丁”这个道理大家都懂,但是用户也有他们的苦衷:微软的系统漏洞补丁那么多,数不胜数,一个网络管理员每天面对数台甚至几十、几百台机器,单单是日常的维护工作就够他们焦头烂额的了,怎么可能时刻关注,并且做到对每个漏洞、每台机器都及时地打好补丁?有人甚至戏称,“这是不可完成的任务”。 这种说法的确有道理,但是我们也不能因噎废食,有没有办法帮助用户可以多快好省地做好补丁工作呢?现在有厂商提出了相应的解决方案。
一、以专业服务来应对。趋势科技公司推出的EPS企业级安全服务计划就可以有效地解决这个问题。对于那些未知的新病毒,趋势科技采取预代码的方式,帮助用户在没有合适的病毒解决方案出台前应不时之需。趋势科技的齐军举了一个例子,在SQL Slammer病毒爆发前,他们在荷兰的一个用户的网络管理员在下班前,照例对系统做了这样的设置――“自动接受来自趋势科技的安全策略”。当他星期一到公司来上班时,在已经了解了SQL Slammer病毒的爆发信息后,他对整个网络中的机器进行了扫描,发现其中有SQL Server 2000漏洞的就有若干台,这让他吓出了一身冷汗,不过,因为事先做了这种设置,他幸运地躲过了这场灾难。
二、用专业产品来帮忙。美国NAI公司的最新产品McAfee VirusScan 7.0目前已经可以查杀这种驻留在内存中的新病毒,此外,它的AVD系列结合Maggic产品可以做到自动分发补丁软件工具给客户端,帮助用户节省精力,减少这种疏忽。
另外一种声音
对于以上这种由厂商将补丁或是解决方案的工具主动推给用户的解决方案,记者专门咨询了有关专家,他们提出,这种解决方案对于用户来说,虽然增加了便利性,但同时,带来了更多安全威胁的可能。因为,这意味着对用户系统较高的权限,而这种权限应该是基于对对方的高度信任基础上的,正像把自家的钥匙不能交给陌生人一样,因此,是否采取这样的解决方案,需要慎重
