Het is tien jaar geleden dat één van de meest beruchte computerwormen ooit zich verspreidde. De Slammerworm, ook bekend als Sapphire of SQL Slammer, infecteerde Windows 2000 servers die Microsoft SQL Server draaiden of Microsoft SQL Data Engine (MSDE) gebruikten. De malware gebruikte een beveiligingslek in de software om zich van machine naar machine te verspreiden.

Daarbij veroorzaakte het veel netwerkverkeer. De worm besmette geen bestanden, waardoor beheerders de malware eenvoudig konden verwijderen door de server te resetten.

Omvang
"Het is opmerkelijk hoe klein Slammer was", zegt Mikko Hypponen van het Finse anti-virusbedrijf F-Secure. Met slechts 376 bytes in omvang zou de worm in 5 tweets hebben gepast. Slammer zorgde voor problemen bij de luchtverkeersleiding van een Amerikaans vliegveld, infecteerde een kernreactor en legde een 911 alarmdienst en het geldautomatennetwerk van de Bank of America plat.

Volgens Jeff Jarmoc van Dell SecureWorks was Slammer een belangrijke gebeurtenis in de geschiedenis van internet. "Slammer hielp bij het vormen van het huidige dreigingslandschap en zal nog jaren een effect hebben."

Patch
Het beveiligingslek waar Slammer misbruik van maakte was zes maanden eerder al door Microsoft gepatcht, maar de update was nauwelijks geïnstalleerd. Sommige rapporten schatten dat binnen 10 minuten alle kwetsbare machines op het internet door de worm waren geïnfecteerd. Het veroorzaakte netwerkverkeer was zo omvangrijk dat veel grote netwerken plat gingen.

"Slammer legde verschillende flagrante zwakheden in de algehele security in 2003 bloot", gaat Jarmoc verder. Het gaat dan om zaken als patchmanagement, ingress firewall filtering en incident response, iets wat een aantal bedrijven op hardhandige wijze leerde.

Oorzaak
De kwetsbaarheid waardoor Slammer de servers infecteerde was door beveiligingsonderzoeker David Litchfield ontdekt en aan Microsoft gerapporteerd. In juli 2002 publiceerde Microsoft de update, terwijl Litchfield in oktober 2002 tijdens de Black Hat conferentie een lezing over het lek gaf.

Zo'n drie maanden later, op 25 januari 2003, verscheen de worm. Drie jaar geleden stelde Litchfield dat het verschijnen van Slammer het internet een veiligere plek heeft gemaakt.

Voor de uitbraak van Slammer schat Litchfield dat 90% van de SQL Servers ongepatcht was. Na Slammer was dit slechts 10%. "Patchen was 100% effectief in het voorkomen van een nieuwe infectie, en dus op zijn eigen ironische manier, hielp Slammer om het internet iets veiliger te maken."

Wie er achter de worm zit is nooit bekend geworden, maar Litchfield dacht in 2008 dat Slammer het werk van twee mensen was

Marketing
Een andere terugblik op Slammer komt van Robert Graham. De beveiligingsexpert ontwikkelde een intrusion detectiesysteem genaamd BlackICE, dat speciaal ontwikkeld was om internetwormen te herkennen.

Het bedrijf werd later door Internet Security Systems (ISS) overgenomen, wat nu een afdeling van IBM is. De oplossingen van ISS, met de technologie van Graham, waren de enige die Slammer proactief detecteerden en stopten.

"Geen concurrerend product deed hetzelfde. Toch kwam elk concurrerend beveiligingsbedrijf met marketingverhalen hoe goed hun product met betrekking tot Slammer presteerde", merkt Graham op.

Dit heeft me een belangrijke les geleerd: het is zinloos om hackers te slim af te zijn, het enige dat je nodig hebt om in deze industrie succesvol te zijn, is goede marketing die de klanten te slim af is",