Создание ботнета Carna, более известного как исследовательский проект Internet Census 2012, вызвало жаркие споры в security-сообществе. Ведущие эксперты узнали о нем из почтовой рассылки, проведенной в минувшем марте по ограниченным спискам адресатов. Безымянный экспериментатор сообщал о том, что обнаружил свыше 420 тыс. доступных из Сети устройств с дефолтными паролями, загрузил на них небольшой исполняемый код и использовал их как скан-боты для оценки размеров глобального адресного пространства IPv4.

Эта новость вновь поставила на повестку дня вопрос об этичности и правомерности подобных методов исследования. С другой стороны, реализация данного проекта позволила собрать огромный массив данных, пригодных для анализа, а также обнажила проблему, связанную с наличием огромного парка уязвимых к атакам сетевых устройств, систем управления производственными процессами и домашнего оборудования, остро нуждающегося в обновлении.

Одним из первых экспертов, получивших доступ к собранной с помощью Carna информации, стал Парт Шукла (Parth Shukla), новобранец австралийской национальной группы быстрого реагирования на компьютерные инциденты (AusCERT). Автор Internet Census 2012 прислал ему распакованный архив размером 910 МБ, который содержал около 1,2 млн строк неупорядоченных данных. Проведя реструктуризацию и анализ, Шукла сразу понял, что должен немедленно опубликовать свои находки. «Я должен был выложить эту информацию и довести до всех степень критичности ситуации», — заявил эксперт.

Шукла представил результаты своего анализа на недавно завершившейся ежегодной конференции AusCERT по информационной безопасности. Он также поведал Threatpost, что уже начал по запросу направлять данные зарубежным CERT. «Я узнал о проекте [Internet Census 2012] спустя неделю после публикации и сразу подумал: я присутствую при историческом событии, ведь Интернет удалось зафиксировать накануне кончины IPv4, — комментирует Шукла. — Такова была первая реакция, и эта мысль потрясла меня. Информация обнародована, плохие парни все знают и уже спешат это использовать, так что пора что-то предпринимать».

По словам Шуклы, его также поразил сам факт, что обнаружить плохо защищенные устройства онлайн не проблема, не говоря уже об их огромном количестве. Так, при глобальном сканировании со скоростью 10 IP-адресов в секунду отыскать такое устройство можно за пять минут. А если взять, к примеру, Китай, на долю которого пришлось наибольшее число IP в базе Carna, то при той же скорости скана уязвимые устройства фиксируются каждые 46 секунд. Концентрация этих устройств в Китае составила одно на 456 выделенных IP-адресов и 1,79 подсети. Тем не менее это соотношение не предел, есть такие страны, где ситуация намного серьезнее.

«Из 1,2 млн уязвимых устройств больше половины (57%) прописаны в Китае», — отметил Шукла, добавив, что понимает, насколько опасен его результат для этой страны.  Однако аналогичные цифры можно получить с помощью таких инструментов, как поисковик Shodan. Кроме того, не исключено, что большинство отмеченных в базе Carna устройств уже находятся под контролем злоумышленников, посему Шукла решил в срочном порядке поделиться своими находками с коллегами: «Это слишком важный показатель, чтобы его замалчивать. Пятьдесят секунд — и вы обнаружили Telnet-устройство с дефолтным паролем; admin/admin — и оно ваше».

Автор Internet Census 2012 создал бинарный код и, чтобы автоматизировать свой поиск, загрузил его на найденные в Сети устройства со слабой защитой. Часть бинарника представляет собой сканер Telnet-портов, который для получения доступа к устройству перебирает типовые логины и пароли, такие как root/root и admin/admin, или пытается войти без пароля. Второй компонент бинарного кода работает как менеджер: задает сканеру блоки IP-адресов и загружает результаты сканов на определенный IP-адрес.

«Мы загрузили бинарный код на IP‑адреса, найденные по контрольной выборке, и запустили сканирование IPv4-адресов на порту 23 (Telnet). Мы также активировали Telnet-сканер на каждом обнаруженном устройстве и просканировали все пространство буквально за ночь. После того как бинарник запустился примерно на 30 тыс. устройств, автоматическая загрузка была приостановлена, — пишет безымянный исследователь в своем отчете. — Проведение глобального сканирования подтвердило наши предположения. В Интернете присутствуют несколько сотен тысяч незащищенных устройств, что дает возможность построить сверхскоростную распределенную систему для сканирования портов».

Шукла надеется, что одними из первых его призыв к переменам услышат производители сетевого оборудования, установившие на него дефолтные пароли. Его оповещения не находят должного отклика у зарубежных CERT, телеоператоров и интернет-провайдеров: из-за отсутствия временных меток далеко не все из них могут этим воспользоваться, как, например, провайдеры, использующие DHCP. «Я потратил много времени, рассылая данные и объясняя, как их использовать, — говорит Шукла. — Очень надеюсь, что национальные CERT доведут эту информацию до производителей, к примеру, с такими словами: «Пятьдесят процентов сетевых устройств в стране ваши, и как вы теперь думаете исправлять ситуацию?».

В ближайшее время Шукла собирается заняться трассировкой уязвимых устройств, а также отслеживанием связанных с ними аномалий — например, появления идентичных IP-записей в нескольких странах. Он также надеется, что ему удастся систематизировать данные в разделении по континентам. «Хочу сделать предельно информативные подборки для каждой CERT, чтобы можно было принять какие-то меры, — говорит Шукла. — У меня еще много чисто аналитической работы».

Категории: Аналитика, Кибероборона