De SQL Slammer-worm zorgde bijna acht jaar geleden voor chaos op het internet en is vandaag de dag nog steeds actief, maar uiteindelijk droeg de malware bij aan een veiliger internet. Begin 2003 infecteerde Slammer elke minuut duizenden servers via een lek in Microsoft's SQL Server software. Uiteindelijk werd het de snelst verspreidende worm in de geschiedenis en zorgde het ervoor dat Microsoft op een andere manier met beveiliging omging.

Beveiligingsonderzoeker en voormalig Oracle-plaaggeest David Litchfield ontdekte het lek en schreef de exploitcode die later door de Slammer auteurs als onderdeel van de worm werd gebruikt. Al in 2008 liet Litchfield weten dat de worm het werk van de twee malwaremakers was. In dit artikel beschrijft hij de aanloop naar de ontdekking van het lek in Microsoft SQL Server 2000 en de uiteindelijke verspreiding van de worm.

Litchfield waarschuwde Microsoft voor de problemen die hij in de software ontdekte, waarop de softwaregigant snel reageerde. De onderzoeker vroeg of hij tijdens de Blackhat conferentie in de zomer van 2002 over de lekken mocht spreken, iets wat volgens Microsoft geen probleem was, aangezien er dan al een patch zou zijn. Tijdens de conferentie waarschuwde Litchfield dat als mensen de patch niet installeerden, dit een aanvalsvector voor de volgende grote worm zou zijn. "Zes maanden later bewees iemand dat ik gelijk had." Uiteindelijk werd de dader of daders nooit gepakt.

Zondebok
Slammer is nog altijd actief en op zijn hoogst irritant, merkt Litchfield op. De worm had geen kwaadaardige lading, maar het geeft aan dat er nog steeds ongepatchte SQL en MSDE machines zijn. "Dit vind ik niet te geloven", aldus de onderzoeker. De worm had een positief effect op het installeren van patches. Voor de uitbraak van Slammer schat Litchfield dat 90% van de SQL Servers ongepatcht was. Na Slammer was dit slechts 10%. "Patchen was 100% effectief in het voorkomen van een nieuwe infectie, en dus op zijn eigen ironische manier, hielp Slammer om het internet iets veiliger te maken."

Daarnaast had de worm ook een positief effect op Microsoft, dat besloot om de code van SQL Server 2000 op andere fouten te doorlopen. Een operatie die succes had, want het eerste lek in opvolger 'Yukon' werd pas drie jaar na de release ontdekt. In SQL Server 2008 zijn tot nu toe geen lekken gevonden. "Niet slecht voor een bedrijf dat jarenlang de zondebok van de beveiligingswereld was", besluit Litchfield.