Fevral ayında avstriyalı Kristian Haşek öz bloqunda maraqlı məqalə dərc edib . Təbii ki, bu araşdırma təkrarlansa, nə baş verəcəyi ilə maraqlandım, amma Ukrayna ilə. Bir neçə həftə gecə-gündüz məlumat toplamaq, məqalə hazırlamaq üçün daha bir neçə gün və bu araşdırma zamanı cəmiyyətimizin müxtəlif nümayəndələri ilə söhbətlər, sonra dəqiqləşdirin, sonra daha çox şey öyrənin. Zəhmət olmasa kəsik altında...
TL; DR
Məlumat toplamaq üçün heç bir xüsusi alətdən istifadə olunmayıb (baxmayaraq ki, bir neçə nəfər tədqiqatı daha dolğun və məlumatlı etmək üçün eyni OpenVAS-dan istifadə etməyi məsləhət görüb). Ukrayna ilə əlaqəli IP-lərin təhlükəsizliyi ilə (aşağıda necə müəyyən edildiyi haqqında daha çox), vəziyyət, mənim fikrimcə, olduqca pisdir (və mütləq Avstriyada baş verənlərdən daha pisdir). Aşkar edilmiş həssas serverlərdən istifadə etmək üçün heç bir cəhd edilməyib və ya planlaşdırılmayıb.
Hər şeydən əvvəl: müəyyən bir ölkəyə aid bütün IP ünvanlarını necə əldə etmək olar?
Əslində çox sadədir. IP ünvanları ölkənin özü tərəfindən yaradılmır, lakin ona ayrılır. Buna görə də, bütün ölkələrin və onlara aid olan bütün İP-lərin siyahısı (və açıqdır) var.
Hər kəs bilər və sonra onu süzün grep Ukrayna IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, siyahını daha faydalı formaya gətirməyə imkan verir.
Ukrayna, demək olar ki, Avstriya kimi çox sayda IPv4 ünvanına malikdir, dəqiq desək, 11 milyon 11-dan çox (müqayisə üçün Avstriyada 640 var).
İP ünvanları ilə özünüz oynamaq istəmirsinizsə (və etməməlisiniz!), onda xidmətdən istifadə edə bilərsiniz. .
Ukraynada İnternetə birbaşa çıxışı olan yamaqsız Windows maşınları varmı?
Əlbəttə ki, heç bir şüurlu ukraynalı öz kompüterlərinə belə girişi açmayacaq. Yoxsa olacaq?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lŞəbəkəyə birbaşa çıxışı olan 5669 Windows maşını tapıldı (Avstriyada cəmi 1273 var, lakin bu çoxdur).
vay. Onların arasında 2017-ci ildən bəri məlum olan ETHERNALBLUE istismarlarından istifadə edərək hücuma məruz qalanlar varmı? Avstriyada belə maşın yox idi və mən ümid edirdim ki, Ukraynada da tapılmayacaq. Təəssüf ki, faydası yoxdur. Bu “dəliyi” özlərində bağlamayan 198 IP ünvanı tapdıq.
DNS, DDoS və dovşan çuxurunun dərinliyi
Windows haqqında kifayətdir. Açıq həlledici olan və DDoS hücumları üçün istifadə edilə bilən DNS serverləri ilə nələrə sahib olduğumuzu görək.
Bu kimi bir şey işləyir. Təcavüzkar kiçik DNS sorğusu göndərir və həssas server qurbana 100 dəfə böyük paketlə cavab verir. Partlama! Korporativ şəbəkələr bu cür məlumat həcmindən tez bir zamanda dağa bilər və hücum müasir smartfonun təmin edə biləcəyi bant genişliyini tələb edir. Və belə hücumlar olub hətta GitHub-da.
Görək Ukraynada belə serverlər varmı?
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lİlk addım açıq port 53 olanları tapmaqdır. Nəticədə 58 730 İP ünvandan ibarət siyahıya sahibik, lakin bu, onların hamısının DDoS hücumu üçün istifadə oluna biləcəyi demək deyil. İkinci tələb yerinə yetirilməlidir, yəni onlar açıq həlledici olmalıdır.
Bunu etmək üçün sadə qazma əmrindən istifadə edə bilərik və görə bilərik ki, biz qazma + qısa test.openresolver.com TXT @ip.of.dns.server "qaz" edə bilərik. Əgər server açıq həlledici ilə cavab veribsə, o zaman potensial hücum hədəfi sayıla bilər. Açıq həlledicilər təxminən 25% təşkil edir ki, bu da Avstriya ilə müqayisə edilə bilər. Ümumi say baxımından bu, bütün Ukrayna İP-lərinin təxminən 0,02%-ni təşkil edir.
Ukraynada başqa nə tapa bilərsiniz?
soruşmağınıza sevindim. Açıq port 80 ilə IP-yə və onun üzərində işləyənlərə baxmaq daha asandır (və şəxsən mənim üçün ən maraqlısı).
veb server
260 849 Ukrayna İP-si 80 (http) portuna cavab verir. Brauzerinizin göndərə biləcəyi sadə GET sorğusuna 125 444 ünvan müsbət cavab verdi (200 status). Qalanları bu və ya digər səhvlərə səbəb oldu. Maraqlıdır ki, 853 server 500 statusu verdi və ən nadir statuslar bir cavab üçün 407 (proksi icazə tələbi) və tamamilə qeyri-standart 602 (IP “ağ siyahıda” yoxdur) idi.
Apache tamamilə dominantdır - 114 server ondan istifadə edir. Ukraynada tapdığım ən köhnə versiya 544-dur, 1.3.29 oktyabr 29-cü ildə buraxılmışdır (!!!). nginx 2003 61 serverlə ikinci yerdədir.
11 server 1996-cı ildə buraxılmış WinCE-dən istifadə edir və onlar onu 2013-cü ildə yamaqlamağı bitiriblər (Avstriyada bunlardan yalnız 4-ü var).
HTTP/2 protokolu 5 144 serverdən istifadə edir, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Printerlər... çünki... niyə olmasın?
Şəbəkədən əldə edilə bilən 2 HP, 5 Epson və 4 Canon, bəziləri heç bir icazə olmadan.
veb kameralar
Ukraynada müxtəlif mənbələrdə toplanmış, İnternetdə yayımlanan çoxlu veb-kameraların olması xəbər deyil. Ən azı 75 kamera heç bir qorunmadan internetə yayılır. Onlara baxa bilərsiniz .
Növbəti nədir?
Ukrayna Avstriya kimi kiçik ölkədir, lakin İT sektorunda böyük ölkələrlə eyni problemlər var. Biz nəyin təhlükəsiz və nəyin təhlükəli olduğunu daha yaxşı başa düşməliyik və avadanlıq istehsalçıları öz avadanlıqları üçün təhlükəsiz ilkin konfiqurasiyaları təmin etməlidirlər.
Bundan əlavə, tərəfdaş şirkətləri toplayıram (), öz İT infrastrukturunuzun bütövlüyünü təmin etməyə kömək edə bilər. Etməyi planlaşdırdığım növbəti addım Ukrayna saytlarının təhlükəsizliyini nəzərdən keçirməkdir. Dəyişməyin!
Mənbə: www.habr.com