一位不愿意透露姓名的研究人員劫持了大約42萬臺采用默認或者無需登錄密碼的在線嵌入式設備，并將其組成為一張規模龐大的僵尸網絡以實現為整個互聯網繪制全景地圖的目標。

星期日，這位研究人員在一家致力于該項目的網站上進行了說明。在2012年3月到12月之間，這張以羅馬生命女神卡納為綽號的僵尸網絡一直在進行“比互聯網協議版本4[IPv4]時代以往的任何時候規模都大內容都全面的普查工作”。

該僵尸網絡收集到的所有數據——總體積為9TB——已經公開發布在網上，任何人都可以選擇下載并進行分析。它包括有各種各樣的端口掃描結果，清楚地顯示出互聯網上最經常使用的服務都是什么以及人們都是采用哪些軟件來運行這些服務的，所有正在使用IPv4地址的具體信息，數以百萬計的路由追蹤記錄以及更多的其它項目。

其它研究人員指出，盡管該僵尸網絡并沒有表現出惡意目的，但也充分反映出配置不當的嵌入式設備確實存在有遭遇網絡犯罪分子濫用的潛力。

該僵尸網絡運行在不安全設備上的客戶端軟件是采用標準C所編寫，體積僅為60KB，包含有自我傳播以及設備再感染機制。該傳播機制可以通過對公網IP地址進行掃描，進而找出不安全設備，再選擇利用telnet協議來嘗試進行遠程連接。這時間，它會利用根用戶：根用戶、管理員：管理員、不需密碼的根用戶或不需密碼的管理員等默認登錄方式進行多次嘗試。

盡管只要受感染設備選擇重新啟動，卡納僵尸網絡客戶端就會自動刪除。但是，其余的活動客戶端依然會在設備再次上線后重新進入。

這位不愿意透露姓名的研究人員聲稱，為防止給被感染設備的正常運行造成破壞，在設計僵尸網絡客戶端的時間，他就已經采取了一些預防措施。他指出：“我們的二進制文件是在優先級最低的情況下運行，并且還配備有看門狗的監控，一旦發生問題，可執行文件就會立即停止運行”。此外，“我們的掃描器還將同時連接的總數限制為128個，并且運行時間最長也不會超過12秒”。

這位研究人員聲稱，該僵尸網絡在底層次就忽略掉了被入侵設備在內部網絡中的所有活動情況。“由于，我們僅僅希望將這些設備作為互聯網層次的工具來使用;因此，在使用過程中我們竭盡全力選擇出侵害性最小的控制方式，并對設備常規用戶的隱私表示出最大程度的尊重”。

在星期二的時間，安全漏洞與風險管理公司Rapid7的研究員馬克·施勒塞爾通過電子郵件指出：即便如此，在全球絕大多數國家中，這個“互聯網普查2012”項目所采用的方法都屬于嚴重違法的情況。“在使用不安全配置以及默認密碼來訪問的遠程設備上運行代碼本身就屬于不道德行為;即便事前采取預防措施，不會給任何使用中設備的正常運行帶來干擾，也不等于法律問題就此消失了。”

星期二的時間，負責該項目的研究人員通過電子郵件表示，自己之所以更喜歡保持匿名，正是因為并不想弄清楚法律方面的細節而被繩之以法。

盡管卡納僵尸網絡最終獲得到大約42萬個客戶端，但設備的實際“開放”數量——使用默認或者無需訪問密碼的設備——則還要高得多。在互聯網普查2012網站上，這位研究人員指出：“在所有開放設備中，大約有70%的屬于資源實在是太有限的情況;它們根本無法運行Linux，或者僅配備了功能極為有限的遠程登錄界面，這導致我們幾乎無法將一段二進制代碼上傳進去”。

這些不安全設備被按照CPU與RAM的情況進行了分類，僵尸網絡的二進制代碼僅僅部署在屬于更多更大群體的一部分系統上，至于具體原因則是它們可能代表了使用廣泛的消費級設備與工業控制或關鍵任務系統。

這42萬臺運行僵尸網絡客戶端的設備大約代表了所有被找到未受保護設備的25%。這位研究人員將所有未受保護設備的MAC地址——分配給網絡接口的唯一硬件標識符

——都匯總了起來，最終統計顯示這一數字是大約120萬。

這位研究人員指出：“在研究過程中，我們發現了大量絕對不應該連接到互聯網上的設備以及服務”。他進一步解釋說，即便人們確信某些類型設備絕對被不會用來連接互聯網，也可能至少有上千用戶選擇了這么做。以此類推，如果人們認為某些設備或許不應該被連接上互聯網的話，實際上網的數量可能就會達到幾十萬臺。他聲稱：“光打印機就有50萬臺，網絡攝像頭則有100萬個，擁有根用戶密碼作為超級用戶口令的設備就更不用說了”。

這位研究人員聲稱：“我們希望其它研究人員能夠從收集到的數據中找到有價值的內容，這次公開發布將會給公眾當前對于網絡安全的錯誤認識敲響警鐘;盡管所有人都在熱衷于談論頂級威脅以及網絡戰爭，但只要四個簡單到甚至毫無智商檔次的telnet默認遠程登錄密碼就給予我們訪問幾十萬消費者以及世界各地成千上萬臺工業設備的權力”。

在電子郵件中，這位研究人員還指出：這類設備被用于潛在惡意行為之上的幾率非常高。實際上，在部署卡納僵尸網絡的時間，他就發現了一種被稱作Aidra的分布式拒絕服務(DDoS)自運行病毒已經運行在數千臺公共設備上了。

于是，他決定對網絡進行一下調整，讓自有僵尸網絡客戶端控制的設備能夠避免被Aidra感染。他解釋說：“我們并沒有對任何設備進行徹底改變，只要選擇重新啟動就可以清除所有調整”。也就是說，“我們認為這種做法帶來的附加損害會遠遠低于Aidra利用這些設備可以帶來的風險”。

這位研究人員聲稱，隨著時間的推移，卡納僵尸網絡不僅從Aidra手里獲得了越來越多的系統，而且也成功地將這種惡意程序清除了出去。最終，只有大約3萬臺運行不含互鎖機制的管線階層微處理器(MIPS)的平臺無法實現有效清除，原因就是Aidra早已經在上面扎根了。

防病毒軟件廠商比特梵德的一位高級電子威脅分析師波格丹·博泰扎圖在電子郵件中指出，運行嵌入式操作系統的設備為網絡犯罪行為提供了一片潛力巨大的沃土。“盡管這些設備有能力運行惡意軟件，但它們依然很少會使用入侵檢測模式。事實上，這些高度專業化的設備本身就屬于計算機;唯一的差別之處就是運行的軟件不同而已”。

博泰扎圖指出，這位研究人員發現有僵尸網絡客戶端運行在這些設備之上，已經證明了嵌入式領域也會發生類似問題，但由于目前并不存在相應的檢測機制，這樣的觀點往往就會被忽視。

施勒塞爾聲稱：“當前的現實情況就是，成千上萬臺連接到互聯網上的設備在安全方面的問題比人們通常預計到的情況糟糕得多”。并且，“在這些設備里的一種上找到另一張僵尸網絡也不會是什么大新聞——在過去的時間，其它研究已經證實了公共互聯網上的安全狀況屬于非常令人擔憂的情況”。

一月份，一項來自Rapid7的安全研究人員公布的研究結果就已經顯示出，由于通用即插即用(UPnP)協議標準在部署過程中存在有危險漏洞，從而導致包括路由器、打印機、媒體服務器、IP攝像機、智能電視以及更多其它類型在內數以千萬計擁有網絡功能的設備都可以被攻擊者通過互聯網入侵。

施勒塞爾進一步指出，不幸的是，這個普遍存在的問題是無法利用一種簡單解決方案來予以徹底消除的。“只有設備制造商在處理安全方面出現的問題時保持更為認真的態度，并與學術界共同努力確認并清除掉潛藏的漏洞，嵌入式設備的安全性才能獲得真正意義上的提高”。

施勒塞爾介紹說，市面上已經出現了針對其中一些問題的技術解決方案，供應商也已經選擇使用。“舉例來說，供應商可以預先就為設備設置好隨機密碼，并將包含具體信息的口令貼在機身上。盡管這種做法會導致成本上升一點，但卻屬于物有所值的解決方案。此外，利用二維條碼來提供“初始安裝網址”也屬于一種可行選擇。實際上，任何解決方案都比脆弱的默認初始密碼強得多”。

這位不愿意透露姓名的研究人員通過電子郵件指出：“這屬于供應商的責任”。關鍵的問題就在于，“它們絕不能指望用戶利用遠程方式進行登錄并修改密碼”。

博泰扎圖同意供應商存在更喜歡默認密碼而忽視安全方面問題，并且不愿意逼迫用戶進行調整的觀點。不過，他也指出，對用戶進行基本培訓也是非常有必要的。他認為，只有所有者才能決定如何使用設備，將什么服務暴露在互聯網上，以及部署哪些安全控件。

他認為：“用戶之所以需要獲得連接上互聯網的設備應該采取什么最佳措施的說明，就在于確保能夠安全接入網絡就屬于供應商的責任”。

否則的話，隨著從汽車到冰箱，以及咖啡壺在內越來越多的設備都被連接到互聯網上，安全方面的問題只會變得更加糟糕。

博泰扎圖指出：“就如同任何其它計算機一樣，這些設備也很容易遭遇攻擊并被利用”。