Internet Census 2012: setki tysięcy przejętych urządzeń wykorzystane do przeskanowania całej Sieci

W Internecie pojawił się właśnie dokument, przedstawiającywyniki badania… Internetu. Co w tym niezwykłego, zapytacie? Badańtakich przecież zrealizowano do tej pory wiele – rozmaitefirmy i ośrodki badawcze regularnie publikują swoje raportydotyczące zagrożeń, obciążenia Sieci, zachowań internautówitp. Ten raport jest jednak niezwykły. Po pierwsze, nie wiadomo, ktojest jego autorem, po drugie powstał z wykorzystaniem nielegalnychmetod, po trzecie ujawnia pewien zaskakujący fakt, dotyczącysieciowej infrastruktury.Autor raportu pt. Internet Census 2012 tak pisze o swoichzamierzeniach: bawiąc się silnikiem skryptowym Nmapa odkryliśmyzaskakująco dużą liczbę otwartych urządzeń typuembedded podłączonych do Internetu. Wiele z nich działa naLinuksie i pozwala na logowanie do standardowego BusyBoksa zdomyślnym hasłem, albo nawet bez niego. Wykorzystaliśmy teurządzenia, aby zbudować rozproszony skaner portów, któryzeskanować miałby wszystkie adresy IPv4 (…) przeanalizowaliśmyzgromadzone dane, by uzyskać szacunkową ocenę wykorzystaniaprzestrzeni adresowej IP.To wydawało się początkowotylko zabawą w logowaniesię kombinacją root:root do losowych adresów IP.Szanse powodzenia są przecież znikome. Jednak okazało się,że skanując Sieć w tempie 10 adresów IP na sekundę, możnatrafić na otwarte urządzenie podpięte do sieci w ciągu pierwszej godziny. Agdyby to urządzenie zaprząc do dalszego skanowania? Anonimowybadacz przygotował więc oprogramowanie, które robiło właśniecoś takiego: zamieniało znalezione w Sieci urządzenia w elementyogromnego botnetu. Ujrzałem szansę popracowania z Internetem nawielką skalę, kliknięciem myszy rozkazywaniu setkom tysięcyurządzeń, skanując i mapując całą Sieć tak, jak jeszczenikt wcześniej tego nie robił – w zasadzie bawiącsię komputerami i Internetem tak, jak mało kto będzie miałkiedykolwiek okazję się bawić – wyznaje autorInternet Census 2012.[img=zombiebotnet]Przygotowany kod był prawdziwymmajstersztykiem. Składający się z dwóch części program napisanow C i skompilowano na dziewięć różnych architektur sprzętowych.Pierwszą częścią był skaner usługi telnet, próbujący logowaćsię do systemu i rozpowszechniać dalej, drugą kod kontrolny,wyznaczający zakresy skanowania i zwracający wyniki do autora. Dotego dochodził analityczny backend, stworzony w PHP, oraz skryptyPythonie do sterowania botnetem. Skaner przygotowano tak, bydziałał na zarażonym urządzeniu zużywając jak najmniej zasobówsystemowych, by nikt nie zauważył przeciążeń i odkrył intruza.Jeśli jednak jakiś czujny administrator zauważyłby podejrzanąaktywność, to w załączonym pliku readme mógł znaleźć opisprojektu i kontaktową skrzynkę pocztową.Wystarczyła jedna noc, by jegooprogramowanie (które otrzymało nazwę Carna, zarzymską boginią zdrowia narządów wewnętrznych) przejęło wSieci 420 tys. urządzeń z własnymi adresami IPv4, które miałydość pamięci i mocy obliczeniowej, by można je byłowykorzystać w botnecie. Raptem cztery kombinacje loginów i hasełpozwoliły przejąć kontrolę nad bardzo różnymi urządzeniami– nie tylko prostymi routerami czy settop boksami, ale teżprofesjonalnym sprzętem Cisco i Junipera, akceleratoramikryptograficznymi, a nawet urządzeniami, których nikt nigdy niepowinien podłączać do Internetu – systemami kontroli urządzeńprzemysłowych czy zabezpieczeń drzwi.[img=hilbert_icmp_map_lowquality]Badanie potrwało pół roku,zakończono je w październiku. Pozyskane dane, po przetworzeniu zapomocą Apache Hadoopa, autor postanowił upublicznić – zapomocą BitTorrenta pobraćmożna skompresowane do 565 gigabajtów archiwum, zawierającem.in. miliardy wyników skanowania aktywnych adresów IP. Z badaniawynika m.in., że pozostało nam około 1,3 mld wolnych adresówIPv4, 4,3 miliona sieci /24 zawierało wszystkie 420 mlnodpowiadających na pingi adresów, a spośród tych 420 milionów,165 milionów miało otwarty jeden lub więcej spośródnajpopularniejszych portów.[img=clientmap_16to9_1600x900]Na koniec warto wyjaśnićkwestię anonimowości autora badania. Najwyraźniej zdaje onsobie sprawę z tego, że np. w Stanach Zjednoczonych mógłbyza to, co zrobił, trafić na setki lat do więzienia, więc jedynyślad, jaki pozostawił po sobie, to klucz publiczny. Dlategoteż eksperci z branży bezpieczeństwa, choć z uznaniemwyrażają się o Internet Census 2012, to zwykle zajmująasekuranckie stanowisko, twierdząc, że badanie było nieetyczne,a następne badania tego typu powinny być przeprowadzane wzgodzie z prawem. Sam autor badania najwyraźniej prawa nie ma wwielkim poważaniu – wydaje się odpowiedzialnym żartownisiem.Czemu odpowiedzialnym? Choć udostępnił wyniki badania, tostwierdził, że samego kodu botnetu nigdy nie udostępni. Za dużejest bowiem ryzyko wykorzystania go do naprawdę złych celów.Artykuł pt. Internet Census 2012 –Port scanning /0 using insecure embedded devices, znaleźć możecietutaj.