Ein Security Researcher, oder altmodisch auch gerne "Hacker" genannt, verschaffte sich Zugriff auf 420.000 unsichere Embedded-Geräte im Netz. Darunter finden sich zahllose Webcams, Router und Drucker die er mit Standard-Logindaten für Telnet-Verbindungen wie "admin:admin", "root:root" oder sogar ohne jeglichen Kennwortschutz (offenbar mit einem Forschungskollegen) unter seine Kontrolle brachte.
Eine überraschend große Anzahl an diversen netzfähigen Geräten ließ sich hiermit zur Kooperation überreden und nahm somit an seinem Botnetz teil, das er "Carna" taufte. Viele Embedded-Geräte nutzen Linux als Betriebssystem und akzeptieren die Standard-Logindaten für BusyBox-Sessions, wenn sie nicht vollständig von ihren Usern konfiguriert werden.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Botnets: Viele Rechner/Geräte in einer gehorsamen Zombie-Herde vereint
Normalerweise kennen wir Botnets eher aus ziemlich unangenehmen Kontexten wie Spamming, Scamming oder DDOS-Attacken. Diesmal kam aber kein Gerät zu Schaden, wie der Hacker es formulierte. Das riesige Netz aus "Zombie-Geräten" wurde nur zu Forschungszwecken eingesetzt.
Außerdem wurde das Botnetz nach den Untersuchungen deaktiviert und es fanden keine permanenten Veränderungen statt. Die für die Forschungsaktivitäten benutzte Binärdatei schaltete sich nach wenigen Tagen von selbst aus und lief bei Aktivität nur mit der geringsten Systempriorität, um nicht unnötig in die Funktion des jeweiligen infizierten Geräts einzugreifen.
Was genau wurde mit den Geräten im "Carna"-Botnet veranstaltet? Die Untersuchung hierzu lief auf den Namen "Internet Census 2012" und konzentrierte sich auf die Anzahl der IPv4-Clients im globalen Netz. Also eine Volkszählung der mehr oder minder aktiven Geräte und der tatsächlich belegten IP-Adressen.
Der Wechsel von IPv4 nach IPv6: Vorsorglicher Umzug aus Platzgründen
Im Juni 2012 begann der Vorstoß in die IPv6-Bereiche, der mit erheblich mehr Adressraum genügend Platz für die wachsende Anzahl an Geräten bietet. IPv4 beherbergt etwa 4,3 Milliarden IP-Adressen für Geräte im Netz (einige sind reserviert), während IPv6 Platz für 340 undezillionen Adressen bzw. Geräte hat. Eine Undezillion hat übrigens sechsundsechzig (!) Nullen, nur mal so am Rande.
Da sich das Netz im Sommer 2012 am Beginn der "Völkerwanderung" von IPv4 nach IPv6 befand, war das letzte Jahr auch gleichzeitig eine der letzten Gelegenheiten für eine Völkerwählung im Netz. Mit dem Botnet bewaffnet konnte der Sicherheitsforscher also das Internet nach aktiven IP-Adressen durchforsten und eine Probe entnehmen, wie sie bislang in diesem Umfang noch nicht getätigt wurde. Mit einem einzelnen Rechner hätte man diese Abfrage aus Geschwindigkeitsgründen nicht effizient tätigen können.
Internet Census 2012 - Das Projekt
Der Ablauf
Jeder Bot suchte zunächst weitere "offene" Geräte zum Aufbau eines superschnellen Port-Scanner-Netzwerks, mit dem "der Rest" des Internets per Ping und anderen Abfragen kontaktiert werden konnte. Etwa 420.000 Bots (oder 25% der weltweit gefundenen ungeschützten Geräte, wenn es nach den Schätzungen des Forschers geht) waren Bestandteil des Netzwerks.
Der eigentliche Scan wurde in Aufgabenteile in Größe von 15.000 IP-Adressen aufgeteilt, die insgesamt eine Summe von etwa 240.000 Listen ergaben. Die Such-Strategie, das Administrationsbackend und die Infrastruktur wurden innerhalb von 6 Monaten erarbeitet.
Im Ergebnis fanden sich schließlich etwa 460 Millionen IP-Adressen, davon antworteten 420 Millionen mehr als einmal auf eine ICMP Ping-Anfrage. Der Scan umfasste außerdem diverse andere Parameter, wie die 150 gängigsten Ports, von denen jeweils mindestens einer bei 165 Millionen weiteren IP-Adressen offen war.
Weltkarte mit 24-Stunden-Aktivität im NetzWie groß ist also das Internet?
Laut dem Forscher ist es davon abhängig, wie nun tatsächlich gezählt wird. Grob lässt sich in allumfassender Summe unter Einbezug aller Parameter (Reverse-DNS-Einträge, firewalled Clients, bestimmte Ports geöffnet) von einer Zahl á la 1,3 Milliarden in irgendeiner Form benutzter IP-Adressen sprechen. 2,3 Milliarden IPs seien demzufolge nicht in Gebrauch gewesen, als die Studie stattfand. Im Versuchszeitraum pingbar (mit mindestens zweifacher Antwort zur Verifikation) waren hingegen 420 Millionen IP-Adressen.
Der Zeitraum der Studie war auf Juni 2012 bis Oktober 2012 beschränkt. Mittlerweile können wir anhand der Zuwachsraten sicherlich von einer größeren Zahl ausgehen, schließlich kommen täglich neue Geräte mit eigener IP ins Netz hinzu.
Im Paper finden sich zahlreiche weitere Statistiken, die nicht nur für einige IT-Geeks von Interesse sein dürften. Der am häufigsten identifizierte Drucker mit IP war beispielsweise der HP LaserJet Serie P2055. Apple AirTunes rtspd ist als Dienst auf Platz 7 der Services bei etwa 0,25 Prozent anzufinden. Was das reverse DNS-Mapping (Sprich: Auf welche Domain+Endung zeigt eine IP-Adresse) angeht ist die .net-Endung am häufigsten und beinahe doppelt so oft vertreten wie .com-Domains. Auf Platz 6 der Service-Probes findet sich die deutsche Top-Level-Domain mit der .de-Endung.
Das Internet Census 2012 Projekt ist ein beeindruckendes Denkmal für eine clevere Idee eines Hackers, die im Alleingang umgesetzt wurde und einen gigantischen, faszinierenden Datenberg produzierte. Selten werden Botnets für einen guten Zweck eingesetzt, diesmal war es augenscheinlich durchaus sinnvoll, dass einige Embedded-Geräte ungeschützt im Netz herumgurken.
source Internet Census 2012 Paper via CNET
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
