Internet Forschung mit illegalem Botnetz: Die Vermessung des Internets
Für diesen Beitrag haben wir alle relevanten Fakten sorgfältig recherchiert. Eine Beeinflussung durch Dritte findet nicht statt.
Zum journalistischen Leitbild von t-online.
News folgen
Wie groß ist das Internet? Ein unbekannter Hacker beantwortet diese Frage jetzt – mit effektiven, aber illegalen Mitteln: Er verschaffte sich Zugriff auf Hunderttausende Router und nutzte sie als Forschungssonde. Das Ergebnis ist ein einzigartiges Abbild des Internets von heute.
Hamburg – Irgendwo auf diesem Planeten sitzt in diesen Tagen ein Hacker und schwankt zwischen Stolz und Angst. Stolz, weil er etwas getan hat, was vor ihm noch niemand getan hat. Angst, weil er damit gegen Gesetze verstoßen hat, und zwar in wohl fast jedem Land der Erde.
Internet vermessen
Der Mann hat das Internet vermessen. Das gesamte öffentliche Netz, so wie es im Jahr 2012 aussah. Eine Herkulesaufgabe. Der Mann, nennen wir ihn Herrn Carna, benutzte dafür ein Werkzeug, das er sich selbst gebastelt hatte – und zwar auf verbotene Weise: Er setzte Computer rund um den Globus ein, die ihm nicht gehören.
Er habe einfach einmal ausprobieren wollen, wie viele Rechner mit dem Standardpasswort "root" eigentlich ans Internet angeschlossen sind, schreibt er in einer Art Forschungsbericht über das Projekt. Und dabei festgestellt, dass es Hunderttausende von Computern gibt, die wirklich nur mit dem gängigsten aller Standardpasswörter gesichert sind – oder ganz ohne Passwortschutz waren.
Hunderttausende Computer ohne Passwortschutz
Das könnte auch auf Ihren Router zutreffen, und wir raten Ihnen, lieber Leser, dringend, das zu überprüfen. Wer einen Router von seinem Internetprovider bekommen hat, bei dem ist die Wahrscheinlichkeit hoch, dass das Administrator-Passwort genauso lautet: "root" oder "admin". Es gibt einige wenige Standardpasswörter, mit denen die Administratoren-Zugänge solcher Router üblicherweise gesichert werden. Die Hersteller gehen davon aus, dass der Nutzer dieses voreingestellte Passwort beim Einrichten umgehend ändern wird. Das aber passiert selten.
"Wie der Datensatz zeigt, findet man ungesicherte Geräte praktisch überall im Internet", schreibt Herr Carna nüchtern. Weit über eine Million Rechner mit weit geöffneten Eingangstüren fand er weltweit. Die überwiegende Mehrheit waren "Endkunden-Router oder Set-Top-Boxen". Es seien aber auch andere Gerätetypen dabeigewesen, darunter "industrielle Steueranlagen, physische Türsicherungssysteme". Die Sicherheitsrisiken, die das mit sich bringt, erscheinen schwindelerregend.
Das Heer der Sklaven wuchs innerhalb eines Tages auf 100.000 an
Um Verwechslungen vorzubeugen: Es geht hier nicht um das Passwort für Ihr WLAN, das Sie vermutlich selbst festgelegt oder von der Rückseite Ihres Routers abgetippt haben. Die Rede ist von dem Passwort, mit dem man Zugriff auf den Router selbst bekommt, das Administrator-Passwort. Eigentlich sollte dieses Interface für den Administrator gar nicht vom Internet aus zugänglich sein – ist es aber bei vielen Routern augenscheinlich doch.
Wenn Herrn Carnas Suchsoftware in einem Router oder anderen Rechner eine offene Tür und eine passende Umgebung vorgefunden hatte, legte sie dort eine Kopie ihrer selbst ab. Das Heer seiner Sklaven wuchs stündlich weiter. Nach einem einzigen Tag, schreibt er, habe er 100.000 Rechner in seiner Gewalt gehabt, die Keimzelle des Carna-Botnets, wie er selbst seine Schöpfung nannte, nach einer wenig bekannten römischen Göttin mit dem Fachgebiet innere Organe.
Volkszählung im Internet
Insgesamt 420.000 Rechner setzte Carna schließlich ein, um den Rest des Internets einer rasend schnellen Volkszählung zu unterziehen: Die übernommenen Router fragten IP-Adressbereiche ab und warteten auf Antwort. Meldete sich ein Rechner zurück, wurde er in die Zählung aufgenommen. Solche Bot-Netze anzulegen, ist selbstverständlich verboten – normalerweise werden sie für bösartige Zwecke wie Spam-Versand oder Denial-of-Service-Attacken verwendet.
Carna aber zählte nur, und auch dafür standen nie alle 420.000 Rechner gleichzeitig zur Verfügung: Jedesmal, wenn einer der Rechner heruntergefahren und neu gestartet wurde, löschte sich das Carna-Programm selbstständig aus dem Speicher und musste beim nächsten Scan neu installiert werden.
"Kontakt-Mail-Adresse für Feedback von Forschern oder Strafverfolgern"
Das war Teil eines Maßnahmenpakets, mit dem Herr Carna dafür sorgen wollte, dass sein illegales Forschungsprojekt möglichst wenig Schaden anrichtet: "Wir haben keine Passwörter geändert oder irgendwelche dauerhaften Änderungen vorgenommen. Nach dem Neustart war jedes Gerät wieder in seinem Originalzustand, inklusive schwachem oder gar keinem Passwort." Sogar eine kleine Textdatei mit Informationen zum Projekt und einer Kontaktadresse habe er auf jedem der übernommenen Geräte zurückgelassen, "als Feedback-Möglichkeit für Sicherheitsforscher, Internet-Provider oder Strafverfolger". Die eingeschleuste Software wurde angewiesen, möglichst ressourcenschonend und unauffällig ihren Dienst zu verrichten. Zudem habe man darauf geachtet, keinen Schaden anzurichten und "größten Respekt gegenüber der Privatsphäre der normalen Gerätenutzer" zu wahren.
Einen anderen, bösartigeren Eindringling will Carna sogar von vielen der von ihm übernommenen Geräte vertrieben haben: Das Aidra-Botnet, das von Kriminellen angelegt wurde. Carna sperrte Aidra aus allen Maschinen aus, die es selbst befiel – allerdings nur bis zum nächsten Neustart.
Ein gewaltiger Datensatz – Stoff für Kriminelle und Spione?
Die Besitzer der betroffenen Geräte dürften Carna dennoch nicht alle als harmlos betrachten - auch wenn Herrn Carnas Absichten augenscheinlich tatsächlich lauter waren. Den Datensatz, den sein Internet-Zensus abgeworfen hat, hat er vollständig ins Netz gestellt, IT-Sicherheitsforscher, aber auch Geheimdienste und organisierte Kriminelle dürften bereits mit der Auswertung begonnen haben. Es handelt sich um Abermilliarden von Datenpunkten, und es wird vermutlich Monate dauern, bis weitere Auswertungen genauere Erkenntnisse abwerfen. Nützen könnten die Daten tatsächlich nicht nur Forschern, sondern auch Kriminellen oder Spionen: So enthält der Datensatz beispielsweise Informationen darüber, welche Software auf manchen der gescannten Rechner läuft, welche Ports auf welche Art von Anfragen wie reagieren. Der Datensatz könnte Kriminellen oder Spionen, die nach Angriffspunkten suchen, somit viel Arbeit ersparen.
Gleichzeitig macht Carnas Husarenstück auf schmerzhafte Weise deutlich, wie enorm unsicher das Internet an vielen Stellen ist – und könnte dazu beitragen, dass sich daran etwas ändert.
Das Internet wächst rasant
Aber was hat der Zensus denn nun eigentlich ergeben, wie viele IP-Adressen gab es 2012? Carnas Antwort: "Das hängt davon ab, was man mitzählt." Direkt erreichbar waren während seiner Scans gut 450 Millionen Adressen, dazu kommen weitere, die etwa hinter Firewalls versteckt sind oder wenigstens DNS-Einträge haben, also Domainnamen beherbergen. Insgesamt ergäben alle zusammengezählt eine Zahl von 1,3 Milliarden in Gebrauch befindlichen IP-Adressen. Die Zahl deckt sich in etwa mit der, auf die der renommierte Sicherheitsexperte HD Moore von der Firma Rapid7 im vergangenen Jahr kam – mit legalen Mitteln. Was er vom Carna-Projekt bislang gesehen habe, erscheine ihm "ziemlich genau", sagte Moore ArsTechnica.
Beim letzten großen Internet-Zensus, dem "IPv4 Census" (PDF-Link) des Lander-Projektes, kam man, mit den gleichen Einschränkungen, noch auf 187 Millionen sichtbare IP-Adressen – das war im Jahr 2006. Mit anderen Worten: Das Internet wächst rasant, auch wenn diese Zahlen immer mit gewissen Unschärfen behaftet sind.
Computer mit Internet-Zugang
Zum Verständnis: Diese Zahlen sagen nichts über die Zahl der ans Internet angeschlossenen Rechner. Hinter jeder IP-Adresse liegen oft mehrere, manchmal Dutzende oder gar Hunderte Computer. Auch über die Größe von Intranets sagen die Zahlen nichts aus – sehen kann Carna nur die wirklich ans öffentliche Internet angekoppelten Zugangsrechner.
Das derzeit noch gültige Internetprotokoll IPv4 ermöglicht knapp 4,3 Milliarden mögliche Adressen, von denen viele allerdings für Sondernutzungen reserviert sind. Herr Carna schätzt, dass dennoch nach wie vor etwa 2,3 Milliarden IP-Adressen unter IPv4 brachliegen. Die Einführung des Nachfolgeprotokolls IPv6 hat aber längst begonnen. Sie wird die Zahl der Verfügbaren Adressen so gewaltig erhöhen, dass ähnliche Scans kaum mehr möglich sein werden. Der IPv6-Raum umfasst etwa 340 Sextillionen Adressen – eine Sextillion hat 36 Nullen. Der illegale Carna-Scan ist möglicherweise der letzte Schnappschuss des alten IPv4-Internets.
Warum er das gewaltige Risiko eingegangen ist, dieses Projekt im Alleingang durchzuführen, erklärt Herr Carna am Ende seines Berichts. Es sei darum gegangen, "Spaß mit Computern und dem Internet zu haben, wie ihn nur sehr wenige Menschen jemals erleben werden".
