Abo
  • Services:

DDoS: 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht

Wer ein IoT-Botnetz aufbauen will, muss künftig nicht mal mehr das Internet abscannen. Unbekannte haben im Netz 30.000 unsichere Telnet-Zugänge gesammelt - von denen viele nach wie vor funktionieren.

Artikel veröffentlicht am ,
Internet of Things (Symbolbild)
Internet of Things (Symbolbild) (Bild: Alex Wong/Getty Images)

Auf Pastebin ist eine Liste mit zahlreichen unsicheren Zugängen für Internet-of-Things-Geräte veröffentlicht worden. Nach Angaben von Ars Technica zirkuliert das Dokument bereits seit längerem in Forscherkreisen, nun ist es auch der Öffentlichkeit zugänglich. Im vergangenen Jahr waren unsichere IoT-Geräte erstmals genutzt worden, um großflächige DDoS-Angriffe gegen zahlreiche beliebte Internetdienste zu führen - betroffen waren durch den Ausfall von Dyns DNS-Dienst unter anderem Amazon AWS und Netflix.

Stellenmarkt
  1. INSYS MICROELECTRONICS GmbH, Regensburg
  2. connect IT-Solutions GmbH, Darmstadt

In dem Dokument sind 8.232 einmalige IP-Adressen enthalten, insgesamt gibt es 30.000 Einträge. Da nach internetweiten Scans immer neue Geräte hinzugefügt wurden, existieren einige Duplikate. Bei einigen IP-Adressen gibt es aber auch mehrere Geräte mit unterschiedlichen Kombinationen aus Nutzername und Passwort. Der Sicherheitsforscher Troy Hunt sagte Ars Technica, dass die veröffentlichten Daten im Prinzip nichts Neues seien, aber "eine bekannte, schlechte Situation noch schlechter machen" würden. Wer unsichere IoT-Geräte ans Netz anschließt, kann bereits nach wenigen Minuten mit Malware infiziert werden.

Rund 1.800 Geräte nach wie vor online

Rund 1.800 der gelisteten Geräte seien nach wie vor online und ansprechbar, wie Victor Gevers von der niederländischen GDI-Stiftung Ars Technica sagte. Nur bei einigen wurden die Passwörter nach der Veröffentlichung geändert. Die allermeisten Geräte nutzen nach wie vor Standardpasswörter, das häufigste ist dabei "admin" mit 4.621 Erwähnungen, "123456" kommt 698 mal vor. Bei 782 Geräten ist ein Login mit dem Benutzernamen "root" ohne Passwort möglich, die beliebte Kombination "admin:admin" kommt 634 mal vor.

Nicht immer liegt die Schuld für unsicher konfigurierte Geräte bei den Nutzern: Viele Geräte lassen einen Wechsel der unsicheren Passwörter schlicht nicht zu, dies ist vor dem Kauf meist nicht ersichtlich. Um gegen unsichere IoT-Geräte vorzugehen, gibt es das umstrittene Projekt Bricker-Bot. Dieses sucht nach Geräten mit Standardlogin und macht die Geräte auf Dauer unbrauchbar. Das erste Botnetz aus Überwachungskameras wurde bereits im Jahr 2015 entdeckt.



Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 55,11€ (Bestpreis!)
  4. 299€ + 4,99€ Versand oder Abholung im Markt

My1 29. Aug 2017

aber wenn die leute nicht wissen was telnet ist haben die doch gar keinen grund es aktiv...

chefin 29. Aug 2017

Das wäre das schlechteste was dem Botnetbetreiber passieren könnte und daher ist deren...


Folgen Sie uns
       


AMD Ryzen 7 2700X - Test

Wie gut ist der Ryzen-Refresh? In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.

AMD Ryzen 7 2700X - Test Video aufrufen
Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. SteamVR Tracking 2.0 36 m² Spielfläche kosten 1.400 Euro
  2. VR-Headset HTCs Vive Pro kostet 880 Euro
  3. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

    •  /