Forschung mit illegalem Botnetz: Die Vermessung des Internets

Von und

Wie groß ist das Internet? Ein unbekannter Hacker beantwortet diese Frage jetzt - mit effektiven, aber illegalen Mitteln: Er verschaffte sich Zugriff auf Hunderttausende Router und nutzte sie als Forschungssonde. Das Ergebnis ist ein einzigartiges Abbild des Internets von heute.

Erde online: Die Vernetzung der Welt Fotos
Carna Botnet

Hamburg - Irgendwo auf diesem Planeten sitzt in diesen Tagen ein Hacker und schwankt zwischen Stolz und Angst. Stolz, weil er etwas getan hat, was vor ihm noch niemand getan hat. Angst, weil er damit gegen Gesetze verstoßen hat, und zwar in wohl fast jedem Land der Erde.

Der Mann hat das Internet vermessen. Das gesamte öffentliche Netz, so wie es im Jahr 2012 aussah. Eine Herkulesaufgabe. Der Mann, nennen wir ihn Herrn Carna, benutzte dafür ein Werkzeug, das er sich selbst gebastelt hatte - und zwar auf verbotene Weise: Er setzte Computer rund um den Globus ein, die ihm nicht gehören.

Er habe einfach einmal ausprobieren wollen, wie viele Rechner mit dem Standardpasswort "root" eigentlich ans Internet angeschlossen sind, schreibt er in einer Art Forschungsbericht über das Projekt. Und dabei festgestellt, dass es Hunderttausende von Computern gibt, die wirklich nur mit dem gängigsten aller Standardpasswörter gesichert sind - oder ganz ohne Passwortschutz waren.

Internet-Weltkarte: Nachts wenig Aktivität (blaue Färbung), tags viel (gelb und rot) Zur Großansicht
Carna Botnet

Internet-Weltkarte: Nachts wenig Aktivität (blaue Färbung), tags viel (gelb und rot)

Das könnte auch auf Ihren Router zutreffen, und wir raten Ihnen, lieber Leser, dringend, das zu überprüfen. Wer einen Router von seinem Internetprovider bekommen hat, bei dem ist die Wahrscheinlichkeit hoch, dass das Administrator-Passwort genauso lautet: "root" oder "admin". Es gibt einige wenige Standardpasswörter, mit denen die Administratoren-Zugänge solcher Router üblicherweise gesichert werden. Die Hersteller gehen davon aus, dass der Nutzer dieses voreingestellte Passwort beim Einrichten umgehend ändern wird. Das aber passiert selten.

"Wie der Datensatz zeigt, findet man ungesicherte Geräte praktisch überall im Internet", schreibt Herr Carna nüchtern. Weit über eine Million Rechner mit weit geöffneten Eingangstüren fand er weltweit. Die überwiegende Mehrheit waren "Endkunden-Router oder Set-Top-Boxen". Es seien aber auch andere Gerätetypen dabeigewesen, darunter "industrielle Steueranlagen, physische Türsicherungssysteme". Die Sicherheitsrisiken, die das mit sich bringt, erscheinen schwindelerregend.

Das Heer der Sklaven wuchs innerhalb eines Tages auf 100.000 an

Um Verwechslungen vorzubeugen: Es geht hier nicht um das Passwort für Ihr W-Lan, das Sie vermutlich selbst festgelegt oder von der Rückseite Ihres Routers abgetippt haben. Die Rede ist von dem Passwort, mit dem man Zugriff auf den Router selbst bekommt, das Administrator-Passwort. Eigentlich sollte dieses Interface für den Administrator gar nicht vom Internet aus zugänglich sein - ist es aber bei vielen Routern augenscheinlich doch.

Wenn Herrn Carnas Suchsoftware in einem Router oder anderen Rechner eine offene Tür und eine passende Umgebung vorgefunden hatte, legte sie dort eine Kopie ihrer selbst ab. Das Heer seiner Sklaven wuchs stündlich weiter. Nach einem einzigen Tag, schreibt er, habe er 100.000 Rechner in seiner Gewalt gehabt, die Keimzelle des Carna-Botnets, wie er selbst seine Schöpfung nannte, nach einer wenig bekannten römischen Göttin mit dem Fachgebiet innere Organe.

Insgesamt 420.000 Rechner setzte Carna schließlich ein, um den Rest des Internets einer rasend schnellen Volkszählung zu unterziehen: Die übernommenen Router fragten IP-Adressbereiche ab und warteten auf Antwort. Meldete sich ein Rechner zurück, wurde er in die Zählung aufgenommen. Solche Bot-Netze anzulegen, ist selbstverständlich verboten - normalerweise werden sie für bösartige Zwecke wie Spam-Versand oder Denial-of-Service-Attacken verwendet.

Carna aber zählte nur, und auch dafür standen nie alle 420.000 Rechner gleichzeitig zur Verfügung: Jedesmal, wenn einer der Rechner heruntergefahren und neu gestartet wurde, löschte sich das Carna-Programm selbstständig aus dem Speicher und musste beim nächsten Scan neu installiert werden.

"Kontakt-Mail-Adresse für Feedback von Forschern oder Strafverfolgern"

Das war Teil eines Maßnahmenpakets, mit dem Herr Carna dafür sorgen wollte, dass sein illegales Forschungsprojekt möglichst wenig Schaden anrichtet: "Wir haben keine Passwörter geändert oder irgendwelche dauerhaften Änderungen vorgenommen. Nach dem Neustart war jedes Gerät wieder in seinem Originalzustand, inklusive schwachem oder gar keinem Passwort." Sogar eine kleine Textdatei mit Informationen zum Projekt und einer Kontaktadresse habe er auf jedem der übernommenen Geräte zurückgelassen, "als Feedback-Möglichkeit für Sicherheitsforscher, Internet-Provider oder Strafverfolger". Die eingeschleuste Software wurde angewiesen, möglichst ressourcenschonend und unauffällig ihren Dienst zu verrichten. Zudem habe man darauf geachtet, keinen Schaden anzurichten und "größten Respekt gegenüber der Privatsphäre der normalen Gerätenutzer" zu wahren.

Einen anderen, bösartigeren Eindringling will Carna sogar von vielen der von ihm übernommenen Geräte vertrieben haben: Das Aidra-Botnet, das von Kriminellen angelegt wurde. Carna sperrte Aidra aus allen Maschinen aus, die es selbst befiel - allerdings nur bis zum nächsten Neustart.

Ein gewaltiger Datensatz - Stoff für Kriminelle und Spione?

Die Besitzer der betroffenen Geräte dürften Carna dennoch nicht alle als harmlos betrachten - auch wenn Herrn Carnas Absichten augenscheinlich tatsächlich lauter waren. Den Datensatz, den sein Internet-Zensus abgeworfen hat, hat er vollständig ins Netz gestellt, IT-Sicherheitsforscher, aber auch Geheimdienste und organisierte Kriminelle dürften bereits mit der Auswertung begonnen haben. Es handelt sich um Abermilliarden von Datenpunkten, und es wird vermutlich Monate dauern, bis weitere Auswertungen genauere Erkenntnisse abwerfen. Nützen könnten die Daten tatsächlich nicht nur Forschern, sondern auch Kriminellen oder Spionen: So enthält der Datensatz beispielsweise Informationen darüber, welche Software auf manchen der gescannten Rechner läuft, welche Ports auf welche Art von Anfragen wie reagieren. Der Datensatz könnte Kriminellen oder Spionen, die nach Angriffspunkten suchen, somit viel Arbeit ersparen.

Gleichzeitig macht Carnas Husarenstück auf schmerzhafte Weise deutlich, wie enorm unsicher das Internet an vielen Stellen ist - und könnte dazu beitragen, dass sich daran etwas ändert.

Das Internet wächst rasant

Aber was hat der Zensus denn nun eigentlich ergeben, wie viele IP-Adressen gab es 2012? Carnas Antwort: "Das hängt davon ab, was man mitzählt." Direkt erreichbar waren während seiner Scans gut 450 Millionen Adressen, dazu kommen weitere, die etwa hinter Firewalls versteckt sind oder wenigstens DNS-Einträge haben, also Domainnamen beherbergen. Insgesamt ergäben alle zusammengezählt eine Zahl von 1,3 Milliarden in Gebrauch befindlichen IP-Adressen. Die Zahl deckt sich in etwa mit der, auf die der renommierte Sicherheitsexperte HD Moore von der Firma Rapid7 im vergangenen Jahr kam - mit legalen Mitteln. Was er vom Carna-Projekt bislang gesehen habe, erscheine ihm "ziemlich genau", sagte Moore "ArsTechnica".

Beim letzten großen Internet-Zensus, dem "IPv4 Census" (PDF-Link) des Lander-Projektes, kam man, mit den gleichen Einschränkungen, noch auf 187 Millionen sichtbare IP-Adressen - das war im Jahr 2006. Mit anderen Worten: Das Internet wächst rasant, auch wenn diese Zahlen immer mit gewissen Unschärfen behaftet sind.

Zum Verständnis: Diese Zahlen sagen nichts über die Zahl der ans Internet angeschlossenen Rechner. Hinter jeder IP-Adresse liegen oft mehrere, manchmal Dutzende oder gar Hunderte Computer. Auch über die Größe von Intranets sagen die Zahlen nichts aus - sehen kann Carna nur die wirklich ans öffentliche Internet angekoppelten Zugangsrechner.

Das derzeit noch gültige Internetprotokoll IPv4 ermöglicht knapp 4,3 Milliarden mögliche Adressen, von denen viele allerdings für Sondernutzungen reserviert sind. Herr Carna schätzt, dass dennoch nach wie vor etwa 2,3 Milliarden IP-Adressen unter IPv4 brachliegen. Die Einführung des Nachfolgeprotokolls IPv6 hat aber längst begonnen. Sie wird die Zahl der Verfügbaren Adressen so gewaltig erhöhen, dass ähnliche Scans kaum mehr möglich sein werden. Der IPv6-Raum umfasst etwa 340 Sextillionen Adressen - eine Sextillion hat 36 Nullen. Der illegale Carna-Scan ist möglicherweise der letzte Schnappschuss des alten IPv4-Internets.

Warum er das gewaltige Risiko eingegangen ist, dieses Projekt im Alleingang durchzuführen, erklärt Herr Carna am Ende seines Berichts. Es sei darum gegangen, "Spaß mit Computern und dem Internet zu haben, wie ihn nur sehr wenige Menschen jemals erleben werden".

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 158 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Das Internet wächst überall
gesterngingsnoch 21.03.2013
Nur in Deutschland muß sich der User mit Uralt-Superlahm-Leitungen begnügen!!! Ich war aus der japanischen Provinz zu Zeiten des Tsunami 2011 schneller auf der SPON-Seite, als zwei Jahre später aus der rund 200 km entfernten norddeutschen Provinz... Noch Fragen, Kienzle?
2. Die Frage:
ein_mitforist 21.03.2013
Die Frage ist, falls er gefunden wird, in welchem Land er angeklagt und nach welchem Strafmaß er behandelt wird.
3. Vermutlich ...
frontmann22 21.03.2013
Zitat von sysopWie groß ist das Internet? Ein unbekannter Hacker beantwortet diese Frage jetzt - mit effektiven, aber illegalen Mitteln: Er verschaffte sich Zugriff auf Hunderttausende Router und nutzte sie als Forschungssonde. Das Ergebnis ist ein einzigartiges Abbild des Internets von heute. Carna-Botnet: Internet-Zensus mit Hacker-Methoden - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/carna-botnet-internet-zensus-mit-hacker-methoden-a-890225.html)
sieht die Erde genauso aus, wenn man die Beleuchtungskörper von einem Sateliten aus registriert. Ich finds ja recht ästhetisch, aber man kann sein Leben auch mit was Wichtigem verbringen.
4.
moen2 21.03.2013
Zitat von frontmann22sieht die Erde genauso aus, wenn man die Beleuchtungskörper von einem Sateliten aus registriert. Ich finds ja recht ästhetisch, aber man kann sein Leben auch mit was Wichtigem verbringen.
Wie z.B. im Spon-Forum vermeintlich unwichtige Artikel kommentieren? Und bzgl. ihrer Vermutung: Am Tag ist es schwierig irgendwelche Beleuchtungskörper zu erkennen. Selbst mit Satelliten. Desweiteren geht es hier nicht um Licht, sondern um die Nutzung des Internets.
5. stimmt
hinzkunz001 21.03.2013
Zitat von gesterngingsnochNur in Deutschland muß sich der User mit Uralt-Superlahm-Leitungen begnügen!!! Ich war aus der japanischen Provinz zu Zeiten des Tsunami 2011 schneller auf der SPON-Seite, als zwei Jahre später aus der rund 200 km entfernten norddeutschen Provinz... Noch Fragen, Kienzle?
ich hatte in Holland schon bradband ueber TV, da hat Schmitd noch seine Webseite stolz auf Sat1 angekuendigt.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 158 Kommentare
  • Zur Startseite


E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.