Анонимный исследователь создал ботнет из 420 тыс. доступных через Интернет устройств с Linux, на которых не сменили пароли, установленные по умолчанию.
Ботнет, получивший название Carna, работал с марта по декабрь 2012 года. Все данные, собранные им, — 9 Тбайт — исследователь выложил в открытый доступ: результаты сканирования портов, показывающие наиболее часто используемые сервисы, сведения об общем числе реально задействованных адресов IPv4, миллионы записей traceroute и т. п.
Клиент ботнета был написан на Си и занимал всего 60 Кбайт. Он работал, сканируя внешние IP-адреса и пытаясь заходить на них по telnet с использованием верительных данных наподобие root:root, admin:admin и т. п. Исследователь утверждает, что клиент был написан так, чтобы не нарушать нормальную работу устройств и игнорировать активность во внутренних сетях. По словам автора, в реальности незащищенных устройств было найдено вчетверо больше (вебкамеры, принтеры и т. п.), но на большинстве либо не было Linux, либо не было возможности загрузить двоичный файл.
Выяснилось, что на некоторых из устройств также работает вредоносный ботнет Adira, пользующийся тем же способом заражения, сообщил исследователь. По его утверждению, такие устройства дезинфицировались.
Не удивительно, что именно Linux-устройства, безопасность мнимая, сильно расхалаживает и притупляет чувство страха у юзеров!!! А у тех кто слез с микрософта тем более! С другой стороны генетически предрасположенному линуксоиду, боятся в принципе глупо и смешно: разрешение на выполнение двоичных файлов и куча открытых портов в сеть - это скорее нонсен!?
А у меня есть другое подозрение. А не Болмером ли зовут этого "анонимного исследователя"? ;) Слишком много сомнительного в статье. Например, я сомневаюсь, что устройство разрешит себя перепрошить с внешнего адреса. В большинстве девайсов web-морда и все сервисы завязаны на внутренний интерфейс.
Судя по использованным дефолтным парам логин/пароль (admin/admin и root/root) этими самыми устройствами были роутеры с Lin-прошивкой.
Одно время роутеры TP-Link "прославились" тем, что в них отсутствовал вменяемый аппаратный фаервол и при этом они шли/идут с открытой "по дефолту" админкой на внешку, и это с заводской учеткой admin/admin, которую рядовой юзер не меняет, добавим к этому, что "специалисты" провайдера обыкновенно настраивают эти мопеды бриджем в Win с открытыми "портками наружу".
ага и с древними ядрами 2.4 и 2.6 версий, и еще с открытым портом telnet!?:)))))
Смысл затеи был в том, что с помощью этого бот-нета они просканировали все IP4-адреса, и собрали с них всякую информацию.
http://census2012.sourceforge.net/images/worldmap_16to9_1600x900.png
http://www.opennet.ru/opennews/art.shtml?num=36454
Отправить комментарий