Evolusjonen av dataormer har ført til at de nå kan sno seg rundt på nettet i en helt utenkelig fart. For to uker siden skapte en av dem digitalt trafikkaos. Dette var den raskeste ormen noen sinne.
Denne artikkelen er over ti år gammel og kan inneholde utdatert informasjon.
Navnet på ormen er Sapphire eller Slammer. Den ble sendt ut i den digitale villmarken den 24. januar klokka 18:00 norsk tid, og paralyserte 75 000 servere over hele verden på under ti minutter.
Ormen skapte trafikkork på Internett, og slo blant annet ut nødtelefontjenester i USA, i tillegg til å sørge for at flere internettleverandører fikk problemer med å levere. Flere millioner kom seg ikke ut på Internett mens ormen herjet.
Sprer seg selv
Nettet gikk tregt over store deler av kloden. Vi merket det også her i Norge - først og fremst ved at det ikke var mulig å komme seg inn på enkelte nettsider.
Dataormer skiller seg fra datavirus som legger seg selv inn i programmer og ikke kan spres uten hjelp. Ormene klarer nemlig formeringsprosessen helt på egen hånd ved å utnytte datanettverk.
- Denne ormen representerer en stor og ny trussel. Selv om den ikke hadde med seg en ondartet last, gjorde den stor skade ved å spre seg så aggressivt og blokkere nettverk, sier Stuart Staniford, president og grunnlegger av Silicon Defense i en pressemelding.
Milliarder av kopier
Eksperter ved datasikkerhetsselskapet har sammen med en gruppe andre sikkerhetseksperter funnet ut at ormen spydde milliarder av kopier av seg selv inn i kyberrommet på null komma niks.
"De blå feltene viser spredningen av Sapphire/Slammer. (Illustrasjon: CAIDA)"
Forskerne fant ut at ormen fordoblet seg selv i antall med 8,5 sekunders mellomrom i de eksplosive første minuttene av angrepet. Innen ti minutter hadde den infisert over 75 000 sårbare servere. Tusenvis av andre servere kan også ha blitt smittet rundt om i verden.
Danker ut Code Red
Dette er faktisk 250 ganger raskere enn den forrige rekordholderen, ormen Code Red som oversvømte Internett i juli 2001. Sapphire vokste så fort at den faktisk bremset sin egen vekst, fordi den lagde propper i den tilgjengelige båndbredden.
Grunnen til at den kunne spre seg så raskt er at den er så bitte liten. Ormen er bare 376 byte lang, noe som tilsvarer omtrent lengden av de neste to avsnittene du leser her. Dermed klarte den å skvise seg selv inn i mange nettverkspakker som ble sendt til potensielle offer.
Nettverkspakker er datablokkene som sendes mellom datasystemer på nettet.
300 kopier i sekundet
Sleipingen utnyttet et kjent sikkerhetshull i Microsofts serverprogramvare SQL Server, og sendte seg selv av gårde i en fart på rundt 300 kopier i sekundet fra en typisk bredbåndsforbindelse, eller opp til 100 ganger raskere fra en server på et universitet eller hos et stort selskap.
Spredningen ble bare begrenset av kapasitetene i internettforbindelsene hos de individuelle nettverkene.
Code Red sendte bare ut seks kopier av seg selv i sekundet. Denne ormen infiserte til sammen bare 359 000 servere, og det brukte den hele 12 timer på før den ble stoppet. Rene sneglen sammenlignet med Sapphire.
Annonse
Etter 24 timer fikk ikke Sapphire formere seg mer, fordi nettverksadministratorer verden over lappet sammen hullet i systemet sitt med en såkalt patch fra Microsoft.
Frykter mer ondskapsfull orm
Dataekspertene frykter nå muligheten for en litt større og mye mer ondskapsfull orm. De tenker seg en på rundt 1 500 bytes - en datamengde stor nok til å inneholde instruksjoner om sletting eller andre stygge kommandoer.
De tror en slik sleiping kan være nesten like rask som Sapphire.
Sikkerhetsekspertene mener forskningen på ormen indikerer at det trengs en fundamentalt ny tilnærming til datasikkerhet. Vanligvis tar det flere timer å få fanget og analysert ormen, og å distribuere kuren til brukerne. Da kan mye datamateriale allerede være ødelagt.
