Image Image Image Image

Botnet veranstaltet Volkszählung: Internet Census 2012

Botnet veranstaltet Volkszählung: Internet Census 2012

Ein Security Researcher, oder altmodisch auch gerne "Hacker" genannt, verschaffte sich Zugriff auf 420.000 unsichere Embedded-Geräte im Netz. Darunter finden sich zahllose Webcams, Router und Drucker die er mit Standard-Logindaten für Telnet-Verbindungen wie "admin:admin", "root:root" oder sogar ohne jeglichen Kennwortschutz (offenbar mit einem Forschungskollegen) unter seine Kontrolle brachte.

Eine überraschend große Anzahl an diversen netzfähigen Geräten ließ sich hiermit zur Kooperation überreden und nahm somit an seinem Botnetz teil, das er "Carna" taufte. Viele Embedded-Geräte nutzen Linux als Betriebssystem und akzeptieren die Standard-Logindaten für BusyBox-Sessions, wenn sie nicht vollständig von ihren Usern konfiguriert werden.

Botnets: Viele Rechner/Geräte in einer gehorsamen Zombie-Herde vereint

Normalerweise kennen wir Botnets eher aus ziemlich unangenehmen Kontexten wie Spamming, Scamming oder DDOS-Attacken. Diesmal kam aber kein Gerät zu Schaden, wie der Hacker es formulierte. Das riesige Netz aus "Zombie-Geräten" wurde nur zu Forschungszwecken eingesetzt.

Außerdem wurde das Botnetz nach den Untersuchungen deaktiviert und es fanden keine permanenten Veränderungen statt. Die für die Forschungsaktivitäten benutzte Binärdatei schaltete sich nach wenigen Tagen von selbst aus und lief bei Aktivität nur mit der geringsten Systempriorität, um nicht unnötig in die Funktion des jeweiligen infizierten Geräts einzugreifen.

Was genau wurde mit den Geräten im "Carna"-Botnet veranstaltet? Die Untersuchung hierzu lief auf den Namen "Internet Census 2012" und konzentrierte sich auf die Anzahl der IPv4-Clients im globalen Netz. Also eine Volkszählung der mehr oder minder aktiven Geräte und der tatsächlich belegten IP-Adressen.

Der Wechsel von IPv4 nach IPv6: Vorsorglicher Umzug aus Platzgründen

Im Juni 2012 begann der Vorstoß in die IPv6-Bereiche, der mit erheblich mehr Adressraum genügend Platz für die wachsende Anzahl an Geräten bietet. IPv4 beherbergt etwa 4,3 Milliarden IP-Adressen für Geräte im Netz (einige sind reserviert), während IPv6 Platz für 340 undezillionen Adressen bzw. Geräte hat. Eine Undezillion hat übrigens sechsundsechzig (!) Nullen, nur mal so am Rande.

Da sich das Netz im Sommer 2012 am Beginn der "Völkerwanderung" von IPv4 nach IPv6 befand, war das letzte Jahr auch gleichzeitig eine der letzten Gelegenheiten für eine Völkerwählung im Netz. Mit dem Botnet bewaffnet konnte der Sicherheitsforscher also das Internet nach aktiven IP-Adressen durchforsten und eine Probe entnehmen, wie sie bislang in diesem Umfang noch nicht getätigt wurde. Mit einem einzelnen Rechner hätte man diese Abfrage aus Geschwindigkeitsgründen nicht effizient tätigen können.

Internet Census 2012 - Das Projekt

Der Ablauf

Jeder Bot suchte zunächst weitere "offene" Geräte zum Aufbau eines superschnellen Port-Scanner-Netzwerks, mit dem "der Rest" des Internets per Ping und anderen Abfragen kontaktiert werden konnte. Etwa 420.000 Bots (oder 25% der weltweit gefundenen ungeschützten Geräte, wenn es nach den Schätzungen des Forschers geht) waren Bestandteil des Netzwerks.

Der eigentliche Scan wurde in Aufgabenteile in Größe von 15.000 IP-Adressen aufgeteilt, die insgesamt eine Summe von etwa 240.000 Listen ergaben. Die Such-Strategie, das Administrationsbackend und die Infrastruktur wurden innerhalb von 6 Monaten erarbeitet.

Im Ergebnis fanden sich schließlich etwa 460 Millionen IP-Adressen, davon antworteten 420 Millionen mehr als einmal auf eine ICMP Ping-Anfrage. Der Scan umfasste außerdem diverse andere Parameter, wie die 150 gängigsten Ports, von denen jeweils mindestens einer bei 165 Millionen weiteren IP-Adressen offen war.

Weltkarte mit 24-Stunden-Aktivität im Netz

Wie groß ist also das Internet?

Laut dem Forscher ist es davon abhängig, wie nun tatsächlich gezählt wird. Grob lässt sich in allumfassender Summe unter Einbezug aller Parameter (Reverse-DNS-Einträge, firewalled Clients, bestimmte Ports geöffnet) von einer Zahl á la 1,3 Milliarden in irgendeiner Form benutzter IP-Adressen sprechen. 2,3 Milliarden IPs seien demzufolge nicht in Gebrauch gewesen, als die Studie stattfand. Im Versuchszeitraum pingbar (mit mindestens zweifacher Antwort zur Verifikation) waren hingegen 420 Millionen IP-Adressen.

Der Zeitraum der Studie war auf Juni 2012 bis Oktober 2012 beschränkt. Mittlerweile können wir anhand der Zuwachsraten sicherlich von einer größeren Zahl ausgehen, schließlich kommen täglich neue Geräte mit eigener IP ins Netz hinzu.

Im Paper finden sich zahlreiche weitere Statistiken, die nicht nur für einige IT-Geeks von Interesse sein dürften. Der am häufigsten identifizierte Drucker mit IP war beispielsweise der HP LaserJet Serie P2055. Apple AirTunes rtspd ist als Dienst auf Platz 7 der Services bei etwa 0,25 Prozent anzufinden. Was das reverse DNS-Mapping (Sprich: Auf welche Domain+Endung zeigt eine IP-Adresse) angeht ist die .net-Endung am häufigsten und beinahe doppelt so oft vertreten wie .com-Domains. Auf Platz 6 der Service-Probes findet sich die deutsche Top-Level-Domain mit der .de-Endung.

Das Internet Census 2012 Projekt ist ein beeindruckendes Denkmal für eine clevere Idee eines Hackers, die im Alleingang umgesetzt wurde und einen gigantischen, faszinierenden Datenberg produzierte. Selten werden Botnets für einen guten Zweck eingesetzt, diesmal war es augenscheinlich durchaus sinnvoll, dass einige Embedded-Geräte ungeschützt im Netz herumgurken.

Karte mit 460m IP-Adressen, die auf Ping oder Portscan reagierten

source Internet Census 2012 Paper via CNET


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home