Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутиз

Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов

Подведены итоги амбициозного проекта Internet Census 2012, нацеленного на полное сканирование портов для всех IPv4-адресов в сети Интернет. Сканирование осуществлялось с марта по декабрь 2012 года с использование ботнета, построенного на базе незащищённых маршрутизаторов. В результате удалось собрать самую полную в истории статистику по активности хостов и распределению сетевых портов в сети Интернет. Для загрузки доступен полный архив со всеми собранными данными (565 Гб при использовании сжатия ZPAQ, архив gzip занимает 1.5 Тб), подборка отчётов с общей статистикой по распределению сервисов и набор изображений с наглядным представлением распределения адресов по странам и подсетям. Особенно интересна визуализация изменения доступности IP в зависимости от времени суток и интерактивная карта, позволяющая использовать типовые фильтры и допускающая масштабирования для увеличения детализации вплоть до выделенных провайдерам подсетей. Предпосылкой к проведению полного сканирования всего диапазона IPv4-адресов послужили ранее проводимые эксперименты по автоматизации сканирования портов с использование пакета Nmap и доступного в нём движка NSE (Nmap Scripting Engine), позволяющего автоматизировать выполнение любых действий по сканированию и накоплению результатов. В итоге ранних экспериментов было выявлено, что Сеть просто изобилует незащищёнными встраиваемыми устройствами, многие из которых оснащены стандартным Linux-окружением с BusyBox и открыты для доступа под заданным производителем паролем или вообще не защищены (пустой или тривиальный пароль, вида root:root и admin:admin ). Всего было выявлено около 420 тысяч подобных незащищённый устройств, на основе которых был создан ботнет, выполнявший в течение 10 месяцев задачи по распределённому сканированию сетевых портов. Так как для реализации проекта использовались незаконные методы, исследователи не раскрывают своих имён и действуют анонимно. Тем не менее, заявлено, что в процессе эксперимента ни одно из взломанных устройств не пострадало (конфигурация не была изменена, промышленные системы и маршрутизаторы провайдеров пропускались), влияние сканирования был сведено к минимуму (использовалась низкая интенсивность сканирования - 10 IP в секунду), а ботнет после завершения сканирования был ликвидирован. Вместе с загружаемым на устройство файлом, выполняющим сканирование, поставлялся текстовый файл с описанием сути проекта и email для связи. В число выполняемых для каждого IP-адреса проверок входила оценка доступности наиболее часто используемых портов, ICMP ping, запрос DNS-записи для IP и SYN-сканирование. Сканирование проводилось в дублирующем режиме, для накопления статистики с разрезе времени и учёта систем, включаемых лишь на время. В итоге было накоплено около 9 Тб данных, включающих информацию о 52 миллиардах проверок через ICMP ping; 10.5 миллиарда DNS-записей; 180 миллиардов записей о сетевых портах; 2.8 миллиарда параметров SYN-сканирования для 660 млн IP и 71 миллиарда протестированных сетевых портов; 80 млн проверок слепков TCP/IP; 75 млн IP ID-последовательностей; 68 млн трассировок маршрута (traceroute).

21/03/2013
http://www.uinc.ru/news/sn19707.html​

 

Завершен скандальный исследовательский проект в Интернете



Эксперт в области информационной безопасности, пожелавший остаться неизвестным, предоставил на суд общественности результаты одного из наиболее скандальных и противоречивых исследовательских проектов в истории глобальной сети. Исследователь сообщает, что ему удалось сформировать «ботнет» из 420 000 незащищенных устройств и использовать его ресурсы для создания карты Интернета.

В отчете под названием «Internet Census 2012» автор рассказывает, что амбициозная мысль возникла у него во время экспериментов со скриптовым движком Nmap Scripting Engine. Этот инструмент позволил обнаружить в сети большое количество незащищенных устройств IPv4, для доступа к которым достаточно было указать имя пользователя и пароль, заданный по умолчанию (типа «admin/admin» или «root/root»).

«Мне пришло в голову, что указанные устройства можно использовать для создания масштабного ботнета, и теперь мне не придется до конца жизни строить предположения о жизнеспособности этой идеи, – сообщает организатор исследования. – Я мог управлять сотнями тысяч устройств одним нажатием на кнопку мыши, осуществлять сканирование портов и создавать карту Интернета с использованием методик, которые ранее не применялись никем».

Универсальным «ключом» к глобальной сети стало небольшое приложение на языке C, размером около 60 килобайт. Этот файл использовался для сканирования внешних IP-адресов сетевых устройств и попыток подключения к ним по протоколу telnet с указанием «заводских» логина и пароля. «Червь» также был наделен способностью к автоматическому копированию на скомпрометированные устройства.

420 000 уязвимых устройств, обнаруженных за короткий период времени, были включены в состав ботнета Carna. Причем речь идет лишь об оборудовании, располагающем достаточным количеством ресурсов для записи исполняемого файла. Если принимать во внимание менее мощные устройства, эту цифру можно свободно умножать на четыре. Большинство уязвимых систем оказались домашними роутерами или ТВ-приставками, однако, в списке также можно обнаружить оборудование от Cisco и Juniper, системы на базе архитектуры x86, промышленные системы контроля и системы безопасности, отвечающие за управление физическим доступом.

«В то время, когда все говорят о высококачественных эксплойтах и современном оружии для войн в киберпространстве, простая комбинация из четырех логинов и паролей, установленных по умолчанию, позволяет получить доступ к сотням тысяч потребительских, а также к десяткам тысяч промышленных устройств по всему миру» – заявляет автор проекта.

За последующие несколько месяцев хакерская сеть успешно просканировала все адресное пространство IPv4, а результаты сканирования (внушительная база данных весом более 9 терабайт) были выложены автором в открытый доступ. В базе можно найти исчерпывающую информацию об отправленных запросах и полученных откликов, количестве реально используемых адресов IPv4, миллионы записей Traceroute и другую информацию, которая может представлять интерес для специалистов

Исследователь подчеркивает, что его действия не причинили обитателям глобальной сети никакого ущерба. Код запускался на удаленной системе с минимальным приоритетом и практически не оказывал влияния на работу устройства. Более того, ботнет-клиент комплектовался текстовым файлом с описанием целей проекта и адресом электронной почты, по которому «жертвы», обнаружившие вредоносное приложение, могли связаться с автором.

По материалам сайтов The Register и ArsTechnica.

http://soft.mail.ru/pressrl_page.php?id=51084
22.03