Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

600 Millionen Geräte: „Gutartiges“ Botnet zeigt, wie groß das Netz ist

Ein neues „Experiment“ sorgt für jede Menge Aufregung. Eine Gruppe von Hackern hat ein nicht-schädliches Botnet erschaffen, das im letzten Jahr das gesamte Internet vermessen und kartografiert hat. Über unsichere telnet-Zugänge verschafften sich die Hacker Zugriff zu 420.000 Routern, PCs und Servern und ließen diese gemeinsam alle IP-Adressbereiche des Internets scannen.

Falsche Assoziation: Botnet = böse

Normalerweise sind Botnets bösartige Computer-Netzwerke. Durch diverse Sicherheitslücken verschaffen sich Angreifer Zugriff auf tausende Rechner und verwenden diese anschließend für koordinierte Angriffe (DDoS-Attacken) auf einzelne Zielsysteme. Dass so ein Botnetz nicht immer Schaden anrichten muss, zeigt jetzt ein neues und spektakuläres Beispiel.

Carna-Botnet: Schnapsidee wird zu mächtigem Computernetzwerk

Eine Gruppe von Hackern, die über sich selbst logischerweise kaum Informationen preisgeben, hat ein nicht-schädliches Botnet aufgebaut und es auf den Namen „Carna“ getauft. Die Idee dazu entstand mehr oder weniger zufällig, als die Entwickler feststellten, wie viele Geräte im Internet schlecht abgesichert sind, und über Standard-Kombinationen von Benutzernamen und Passwort (etwa root:root oder admin:admin) mit einem telnet-Zugang kontrolliert werden können. Nutzt man all diese „infizierten“ Geräte, um damit jeweils einen Teil des gesamten Adressbereichs der IPv4-Adressen zu scannen, so lässt sich mit einigen tausend Bots relativ schnell das gesamte Internet scannen und statistisch erfassen.

Ein grafischer Vergleich der Auslastung verschiedener IP-Adressbereiche zwischen den Jahren 2006 und dem neuen Datensatz des Carna-Botnetz von 2012.

Hauptsächlich Router und Set-Top-Boxen aus dem Consumer-Bereich

Über eine raffinierte Netzwerk-Struktur unter den Bots und ein Web-Interface ließ sich das gesamte und wahnsinnig mächtige Netzwerk, bestehend aus rund 420.000 kompromittierten Clients kontrollieren. Zu den betroffenen Geräten gehören vor allem Embedded-Geräte mit Linux-Betriebssystem, zum Beispiel Netzwerk-Router für das Heimnetzwerk oder Set-Top-Boxen für den Fernseher, mit Internetanbindung. Aber auch hochspezialisierte Industrieanlagen, Schließanlagen und Drucker finden sich haufenweise unter den kompromittierten Systemen.

Carna-Code richtete keinen Schaden an

Die Macher des Carna-Botnetzes sorgten dafür, dass ihr Fremdcode keinen Schaden bei den betreffenden Geräten anrichtete. Das Scan-Programm war stets nur für ein paar Stunden aktiv, und lief mit geringer Priorität, um die Produktivität der jeweiligen Systeme so wenig wie möglich zu beeinträchtigen. Bei einem Neustart der Geräte wurde der Fremdcode wieder vollständig gelöscht, und es blieben keine Spuren zurück. Im Gegenteil: Auf vielen übernommenen Geräten entdeckten die Carna-Programmierer sogar Spuren eines bösartigen Botnetzes und entschieden sich dazu, dessen Nutzung auf dem Gerät zu unterbinden.

Dokumentation ist einzigartig und wertvoll

Das Carna-Botnetz und seine Auswirkungen zeichnet sich aber vor allem durch die hervorragende Dokumentation seitens der Macher aus. Auf der zugehörigen Webseite finden sich zahlreiche Grafiken, Statistiken und Code-Beispiele. Insgesamt handelt es sich um einen 1,5 Terabyte großen Datensatz, der jedoch nur Bruchteile des gesamten Projekts enthält, sodass böswillige Nachahmer nicht ohne weiteres das Prinzip kopieren können. Besonders interessant und anschaulich sind die Grafiken, welche die geografische Anordnung der gescannten und gepingten IP-Adressen aufzeigen.

Die Grafik zeigt die Verteilung von 420 Millionen Geräten mit Internet-Zugang, deren Standpunkt sich mehr oder weniger genau durch das Carna-Botnetz lokalisieren ließ.

600 Millionen Geräte direkt an das Internet angebunden und aktiv

Insgesamt antworteten rund 420 Millionen individuelle Geräte auf eine Ping-Anfrage. Weitere 177 Millionen IP-Adressen waren durch eine Firewall geschützt oder antworteten stattdessen auf einen Port-Scan, so dass auch diese Geräte als aktive Internetteilnehmer gezählt werden können. Das ergibt insgesamt eine Summe von rund 600 Millionen Geräten im Internet. Dabei handelt es sich in vielen Fällen um Router und Gateways, das heißt, hinter einem solchen Gerät können weiterhin dutzende, sogar tausende Geräte mit Internetzugriff stehen.

Weiterführende Links

Bitte beachte unsere Community-Richtlinien

8 Reaktionen
JenZzzz

Schädlich ist für mich aber schon, dass sich jemand an meinem Router und/oder dem dahinter stehenden Rechner zu schaffen macht, ob der nun scannt oder Mails verschickt ist mir einerlei, mein Router gehört mir und soll nur für mich arbeiten! Es gibt für mich also keine FREUNDLICHEN Botnetze!

Gut und artig

Die meisten haben einen DSL-Router. D.h. das entspricht eher einer Zählung aller Haustüren und nicht aller Wohnungen dahinter oder aller Wohnungstüren aber nicht aller Bewohner dahinter.

Es werden immer mehr single-man-Projekte auftauchen.
Firmen und Verantwortlichen ist es ja egal, wenn ihre Boni-Büro-Tower mit zigtausenden PCs gigantische Spam-Bot-Schleudern sind.
Das merkt man weil Weihnachten viele Büros ausgeschaltet werden und der Spam zusammenbricht weil die Bot-Büro-PCs in den Büros und Ministerien ausgeschaltet wurden.

Nachteilig ist, das die Spammer jetzt auf die Idee kommen könnten, Drucker o.ä. zu übernehmen. Oder das die das schon lange machen aber die Antiviren-Firmen das bisher ignorierten.

Die Provider sollten ihre Kunden dazu bringen, sauber zu bleiben bzw. Infektionen erkennen und den Kunden informieren.

mega

Auf dieser Basis könnte man ja jetzt einen Botnetz-Virenscanner bauen...

michael

ist ja toll das ihr alle mehrere geräte habt, mit denen ihr ins internet geht.
es gibt aber auch genug haushalte, in denen sich mehrere menschen einen pc teilen (müssen).

Timo

WOW! Kann man diese Weltkarte irgendwo bekommen? Ich finde die wunderschön :) Tolle Aktion! Gar nichts von mitbekommen!

cephei

"nicht-schädliches Botnet erschaffen, das im letzten Jahr das gesamte Internet vermessen und kartografiert hat"
Sowas in der Art hat doch Robert Morris auch gesagt....

Markus

Coole Aktion, vorallem dass gleich versucht wurde, bösartige Botnetzte zu deaktivieren. Hoffen wir, dass auch alles so abgelaufen ist wie beschrieben und nicht doch noch mehr dahinter steckt ;)

Btw:
Im Artikel: "Eine Gruppe von Hackern hat ein nicht-schädliches Botnet erschaffen [...]"

In der Quelle: "In reality, we is me. I chose we as a form for this documentation because its nicer to read, and mentioning myself a thousand times just sounded egotistical."

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst