Un anonimo ricercatore ha creato la botnet effettuando la scansione di quasi 4 miliardi di indirizzi IPv4 in nove mesi.
Un anonimo ricercatore ha realizzato una botnet formata da oltre 420.000 dispositivi
connessi ad Internet, raccogliendo circa 9 TB di dati che gli hanno
permesso di stilare un approfondito report sui pericoli derivanti
dall’errata configurazione dei sistemi embedded. La botnet Carna,
dal nome della dea romana protettrice della salute fisica, è stata
creata effettuando la scansione di quasi 4 miliardi di indirizzi IPv4,
scoprendo che 36 milioni di dispositivi (in prevalenza router, modem e
stampanti) hanno una o più porte aperte.Il ricercatore ha scritto un piccolo software in linguaggio C (60 KB) che ha setacciato Internet alla ricerca di device privi di credenziali di accesso o per gli quali non sono stati modificati i valori predefiniti, ad esempio le coppie root:root o admin:admin.
Se il tool trovava un dispositivo “aperto”, installava se stesso e lo
aggiungeva alla botnet. In un solo giorno sono stati infettati oltre
100.000 dispositivi. Per evitare di rendere inutilizzabili i prodotti,
lo scanner ha eseguito un massimo di 128 connessioni.
Anche se la botnet non è stata usata per distribuire malware,
i cybercriminali potrebbero ottenere questo scopo, grazie alla facilità
con cui si può avere accesso ai dispositivi connessi ad Internet senza
nessuna protezione. Circa mezzo milione di stampanti e un milione di
webcam hanno root come password di root. Tutto l’archivio contenente i 9 TB di dati può essere scaricato dal sito Internet Census 2012.
Il ricercatore ha pubblicato anche una rappresentazione grafica degli
indirizzi che hanno risposto alle richieste di ping ICMP. Mediante il
Reverse DNS ha classificato i dispositivi in base al TLD (Top Level
Domain). In Italia ci sono oltre 28 milioni di device non protetti collegati ad Internet.L’anonimo “hacker” spera che la pubblicazione della sua ricerca possa
contribuire ad aumentare la consapevolezza che, mentre tutti parlano di
exploit complessi e cyberwar, «bastano quattro stupide password telnet predefinite per avere accesso a centinaia di migliaia di utenti, nonché a decine di migliaia di dispositivi industriali in tutto il mondo».
