Antbleed: Gefährliche Backdoor in Antminer-Geräten?

Ein Bericht über “Antbleed”, eine Backdoor, die das Unternehmen Bitmain in seine eigenen Mining-Geräte eingeschleust haben soll. Was ist dran an der Geschichte?
Was ist eine Backdoor?

Max Kops
von Max Kops
Teilen
Door to new opportunity

Beitragsbild: © Sergey Nivens - Fotolia.com

Was ist eine Backdoor?

Eine Backdoor wird in Softwares installiert, um von außen Zugriff auf das Gerät zu erhalten, der in der Regel unerwünscht ist. Wer also Hardware verkauft, könnte eine solche Backdoor auf allen Geräten installieren, damit er sie anschließend fernsteuern kann. Genau das wird dem Unternehmen Bitmain derzeit unterstellt.

Die Wikipedia-Definition einer Backdoor lautet:

Backdoor (auch Trapdoor oder Hintertür) bezeichnet einen (oft vom Autor eingebauten) Teil einer Software, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.”

Was genau wird Bitmain vorgeworfen?

Bitmain wird vorgehalten, auf seiner Antminer-Serie von Minern eine Backdoor installiert zu haben. In der Firmware seien entsprechende Komponenten verbaut, über die zufällig alle 1-11 Minuten eine Verbindung zum zentralen Online-Service aufgebaut werde, berichtet die Website. Bei jedem Checkin werde die Antminer Seriennummer, MAC-Adresse und die IP-Adresse übermittelt.

Wie betrifft mich die Backdoor?

Die Quelle warnt davor, dass Bitmain die Checkin-Daten sowohl zur Identifizierung einzelner Nutzer missbrauchen könnte und zudem die vollständige Kontrolle über die Geräte erhielt: So könne der Service einfach eine negative Antwort (false return) senden und die Miner zum Stillstand bringen. Da das Unternehmen mit seinen Geräten einen geschätzten Marktanteil von 70% an der Hashpower halte, könnte dies eine Gefahr für das gesamte Bitcoin-Netzwerk darstellen, weil so bspw. Angriffe wie die 51%-Attacke denkbar wären.

Selbst wenn Bitmain es nicht auf böse Strategien abgesehen habe, könnten bspw. Domain-Hijacker bösartige Angriffe durchführen. Erhielten sie Zugriff auf die Domain bzw. den Service, der von den Minern kontaktiert wird, könnten die Service-Antworten manipuliert werden.

Was betroffene Nutzer tun können

Alle vergangenen S9-geräte seien betroffen, meldet antbleed.com. Ausnahmefälle seien sehr frühe Generationen des Geräts. L3, T9 R4 Geräte “könnten” ebenfalls betroffen sein. Genau gesagt wurde die Backdoor laut der Code-Analyse am 11. Juli 2016 über einen Patch eingeschleust. Wer eine Firmware nutzt, die nach diesem Datum herausgegeben wurde, sollte besonders aufmerksam sein.

Diagnose: Prüfen, ob ich betroffen bin

Die Website antbleed.com bietet einen  Service an, der zeigen soll, ob das eigene Gerät infiziert ist. Dazu ändert man die Adresse, mit der sich der Miner verbinden soll. Das führt dazu, dass der Miner sich mit dem Server von antbleed.com verbindet. Dieser liefert false-Ergebnisse zurück, sodass der Miner innerhalb der nächsten elf Minuten zu stoppen beginnen müsste.

Dazu ändert man die Datei /etc/hosts über SSH und bindet folgende Zeile ein:

139.59.36.141 auth.minerlink.com

Problemlösung: Serveradresse auf sich selbst ändern

Geraten wird, die Adresse auf sich selbst zu lenken, sodass man den Checkin umgehen kann. Dazu ändert man /etc/hosts noch einmal auf:

127.0.0.1 auth.minerlink.com

Achtung: Auch wir kennen antbleed.com nicht. Ob es sich um einen vertrauenswürdigen Herausgeber und Server handelt, können wir nicht sagen.

BTC-ECHO

Jetzt kostenlosen Newsletter abonnieren
Top-Themen, Top- & Flop-Coins, Kursentwicklungen, Wirtschaftskalender. Alle wichtigen Updates zu Bitcoin, Blockchain & Co. kostenlos per E-Mail!
Jetzt anmelden