In Februarie het die Oostenryker Christian Haschek 'n interessante artikel op sy blog gepubliseer met die titel . Natuurlik het ek begin belangstel in wat sou gebeur as hierdie studie herhaal word, maar met Oekraïne. Etlike weke van inligtingversameling deurentyd, nog 'n paar dae om die artikel voor te berei, en tydens hierdie navorsing, gesprekke met verskeie verteenwoordigers van ons samelewing, dan verduidelik, kom dan meer uit. Asseblief onder die snit...
TL; DR
Geen spesiale hulpmiddels is gebruik om inligting in te samel nie (hoewel verskeie mense aangeraai het om dieselfde OpenVAS te gebruik om die navorsing meer deeglik en insiggewend te maak). Met die sekuriteit van IP's wat verband hou met Oekraïne (meer oor hoe dit hieronder bepaal is), is die situasie, na my mening, nogal erg (en beslis erger as wat in Oostenryk gebeur). Geen pogings is aangewend of beplan om die ontdekte kwesbare bedieners te ontgin nie.
Eerstens: hoe kan jy al die IP-adresse kry wat aan 'n sekere land behoort?
Dit is eintlik baie eenvoudig. IP-adresse word nie deur die land self gegenereer nie, maar aan dit toegewys. Daarom is daar 'n lys (en dit is publiek) van alle lande en al die IP's wat aan hulle behoort.
Almal kan en filter dit dan grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, laat jou toe om die lys in 'n meer bruikbare vorm te bring.
Oekraïne besit byna net soveel IPv4-adresse as Oostenryk, meer as 11 miljoen 11 640 409 om presies te wees (ter vergelyking, Oostenryk het 11 170 487).
As jy nie self met IP-adresse wil speel nie (en jy moet nie!), Dan kan jy die diens gebruik .
Is daar enige ongelapte Windows-masjiene in die Oekraïne wat direkte toegang tot die internet het?
Natuurlik sal nie 'n enkele bewuste Oekraïner sulke toegang tot hul rekenaars oopmaak nie. Of sal dit wees?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Windows-masjiene met direkte toegang tot die netwerk is gevind (in Oostenryk is daar net 1273, maar dit is baie).
Oeps. Is daar enige van hulle wat aangeval kan word deur gebruik te maak van ETHERNALBLUE-uitbuitings, wat sedert 2017 bekend is? Daar was nie 'n enkele so 'n motor in Oostenryk nie, en ek het gehoop dat dit ook nie in die Oekraïne gevind sou word nie. Ongelukkig is dit geen nut nie. Ons het 198 IP-adresse gevind wat nie hierdie "gat" in hulself toegemaak het nie.
DNS, DDoS en die diepte van die konyngat
Genoeg oor Windows. Kom ons kyk wat ons het met DNS-bedieners, wat oop-resolvers is en vir DDoS-aanvalle gebruik kan word.
Dit werk so iets. Die aanvaller stuur 'n klein DNS-versoek, en die kwesbare bediener reageer op die slagoffer met 'n pakkie wat 100 keer groter is. Boem! Korporatiewe netwerke kan vinnig ineenstort van so 'n volume data, en 'n aanval vereis die bandwydte wat 'n moderne slimfoon kan verskaf. En daar was sulke aanvalle selfs op GitHub.
Kom ons kyk of daar sulke bedieners in die Oekraïne is.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lDie eerste stap is om diegene te vind wat oop poort 53 het. As gevolg hiervan het ons 'n lys van 58 730 IP-adresse, maar dit beteken nie dat almal vir 'n DDoS-aanval gebruik kan word nie. Daar moet aan die tweede vereiste voldoen word, naamlik hulle moet oop-oplosser wees.
Om dit te doen, kan ons 'n eenvoudige grawe-opdrag gebruik en sien dat ons grawe + kort test.openresolver.com TXT @ip.of.dns.server kan "grawe". As die bediener gereageer het met oop-oplosser-bespeur, kan dit as 'n potensiële teiken van aanval beskou word. Oop resoleerders maak ongeveer 25% uit, wat vergelykbaar is met Oostenryk. Wat die totale getal betref, is dit ongeveer 0,02% van alle Oekraïense IP's.
Wat anders kan jy in die Oekraïne vind?
Bly jy het gevra. Dit is makliker (en die interessantste vir my persoonlik) om te kyk na die IP met oop poort 80 en wat daarop loop.
webbediener
260 849 Oekraïense IP's reageer op poort 80 (http). 125 444 adresse het positief gereageer (200 status) op 'n eenvoudige AOO-versoek wat jou blaaier kan stuur. Die res het een of ander fout opgelewer. Dit is interessant dat 853 bedieners 'n status van 500 uitgereik het, en die skaarsste statusse was 407 (versoek om volmagmagtiging) en die heeltemal nie-standaard 602 (IP nie in die "wit lys") vir een antwoord nie.
Apache is absoluut dominant - 114 544 bedieners gebruik dit. Die oudste weergawe wat ek in die Oekraïne gevind het, is 1.3.29, vrygestel op 29 Oktober 2003 (!!!). nginx is in die tweede plek met 61 659 bedieners.
11 bedieners gebruik WinCE, wat in 1996 vrygestel is, en hulle het dit in 2013 klaargemaak (daar is slegs 4 hiervan in Oostenryk).
Die HTTP/2-protokol gebruik 5 144 bedieners, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Drukkers... want... hoekom nie?
2 HP, 5 Epson en 4 Canon, wat toeganklik is vanaf die netwerk, sommige van hulle sonder enige magtiging.
webcams
Dit is nie nuus dat daar in die Oekraïne BAIE webkameras is wat hulself na die internet uitsaai, wat op verskillende bronne versamel is nie. Minstens 75 kameras saai hulself na die internet uit sonder enige beskerming. Jy kan na hulle kyk .
Wat is volgende?
Oekraïne is 'n klein land, soos Oostenryk, maar het dieselfde probleme as groot lande in die IT-sektor. Ons moet 'n beter begrip ontwikkel van wat veilig en wat gevaarlik is, en toerustingvervaardigers moet veilige aanvanklike konfigurasies vir hul toerusting verskaf.
Daarbenewens versamel ek vennootmaatskappye (), wat jou kan help om die integriteit van jou eie IT-infrastruktuur te verseker. Die volgende stap wat ek beplan om te doen, is om die sekuriteit van Oekraïense webwerwe te hersien. Moenie oorskakel nie!
Bron: will.com