У лютым аўстрыец Christian Haschek у сваім блогу апублікаваў цікавы артыкул пад назвай . Вядома, мне стала цікава, што будзе, калі паўтарыць гэтае даследаванне, але ўжо з Украінай. Некалькі тыдняў кругласутачнага збору інфармацыі, яшчэ пару дзён на тое, каб аформіць артыкул, а на працягу гэтага даследавання гутаркі з рознымі прадстаўнікамі нашага грамадства, то ўдакладніць, то даведацца больш. Прашу пад кат…
TL, д-р
Для збору інфармацыі не выкарыстоўвалася ніякіх спецыяльных сродкаў (хоць некалькі чалавек раілі выкарыстоўваць той жа OpenVAS, каб зрабіць даследаванне больш грунтоўным і інфарматыўным). З бяспекай IP, якія ставяцца да Ўкраіны (ніжэй аб тым, як вызначалі), сітуацыя, на мой погляд, даволі дрэнная (і сапраўды горш таго, што адбываецца ў Аўстрыі). Ніякіх спроб выкарыстоўваць выяўленыя ўразлівыя серверы не зроблена і не запланавана.
Перш за ўсё: як можна атрымаць усе IP адрасы, якія належаць да пэўнай краіны?
Гэта насамрэч вельмі проста. IP адрасы не генеруюцца самой краінай, а выдзяляюцца ёй. Таму ёсць спіс (і ён публічны) усіх краін і ўсіх IP, якія ім належаць.
Кожны можа , А затым адфільтраваць яго grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, дазваляе прывесці спіс у больш прыдатны да выкарыстання выгляд.
Украіне належыць амаль столькі ж IPv4 адрасоў, як і Аўстрыі, больш за 11 млн. 11, калі быць дакладным (для параўнання ў Аўстрыі - 640).
Калі вы не жадаеце гуляць з IP адрасамі самастойна (і гэта не варта рабіць!), то можна выкарыстоўваць сэрвіс .
Ці ёсць ва Украіне непрапатчаныя Windows машыны, якія маюць прамы доступ да інтэрнэту?
Вядома, ніводны свядомы ўкраінец не будзе адкрываць такі доступ для сваіх кампутараў. Ці будзе?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 машын пад Windows з прамым доступам да сеткі знойдзена (у Аўстрыі такіх толькі 1273, але і гэта шмат).
Упс. Ці ёсць сярод іх такія, што можна было б атакаваць з дапамогай эксплойтаў ETHERNALBLUE, які вядомы яшчэ з 2017 года? У Аўстрыі не было ніводнай такой машыны, і я спадзяваўся, што ва Ўкраіне таксама не будзе знойдзена. Нажаль, бескарысна. Знойдзена 198 IP адрасоў, якія не зачынілі гэтую «дзюру» у сябе.
DNS, DDoS і глыбіня трусінай нары
Досыць аб Windows. Давайце паглядзім, што ў нас з DNS серверамі, якія з'яўляюцца open-resolvers і могуць быць скарыстаны для DDoS нападу.
Гэта працуе прыкладна так. Атакуючы накіроўвае маленькі DNS запыт, а ўразлівы сервер адказвае ахвяры пакетам, які больш у 100 раз. Бум! Карпаратыўныя сеткі могуць даволі хутка зваліцца ад такога аб'ёму дадзеных, а для нападу патрэбная прапускная здольнасць, якую можа забяспечыць сучасны смартфон. І такія атакі былі нават на GitHub.
Паглядзім, ці ёсць такія серверы ва Ўкраіне.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lПершым крокам знойдзем тыя, якія маюць адчынены 53 порт. У выніку маем спіс з 58 IP адрасоў, але гэта яшчэ не значыць, што яны ўсё могуць быць скарыстаны для DDoS нападу. Трэба, каб выконвалася другое патрабаванне, а менавіта яны мусяць быць open-resolver.
Для гэтага можна выкарыстоўваць простую каманду dig і ўбачыць, што мы зможам "накапаць" dig + short test.openresolver.com TXT @ip.of.dns.server. Калі сервер адказваў open-resolver-detected, тое яго можна лічыць патэнцыйным аб'ектам нападу. Open resolver'ы складаюць прыкладна 25%, што параўноўваецца з Аўстрыяй. З пункту гледжання агульнай колькасці, то гэта каля 0,02, XNUMX% усіх украінскіх IP.
Што яшчэ можна знайсці ва Ўкраіне?
Рады, што вы спыталі. Прасцей (і самае цікавае для мяне асабіста) паглядзець, IP з адчыненым 80 портам і што на ім «круціцца».
вэбсервера
260 ўкраінскіх IP адказваюць на 849 порт (http). 80 адрасы адказалі станоўча (125 статус) на прасценькі GET запыт, які можа накіраваць ваш браўзэр. Астатнія выдалі тыя ці іншыя памылкі. Цікава, што 444 сервера выдалі 200 статут, а рэдкімі статутамі сталі 853 (запыт на проксі аўтарызацыю) і абсалютна нестандартны 500 (IP не ў «белым спісе») па адным адказе.
Apache дамінуе абсалютна – 114 серверы выкарыстоўваюць менавіта яго. Самая старая са знойдзеных мной версій ва Украіне - 544, якая выйшла 1.3.29 кастрычніка 29 года (!!!). nginx на другім месцы 2003 сервераў.
11 сервераў выкарыстоўваюць WinCE, якая выйшла ў 1996 годзе, а скончылі патчыць яе ў 2013 годзе (у Аўстрыі такіх толькі 4).
Пратакол HTTP/2 выкарыстоўвае 5 сервераў, HTTP / 144 - 1.1, HTTP / 256 - 836.
Прынтэры… таму што… чаму б не?
2 HP, 5 Epson і 4 Canon, якія даступныя з сеткі, некаторыя з іх без усялякай аўтарызацыі.
вэбкамеры
Гэта не навіна, што ва Ўкраіне ёсць ВЕЛЬМІ шмат вэбкамер, якія транслююць сябе ў інтэрнэт, сабраных на розных рэсурсах. Прынамсі 75 камер транслююць сябе ў інтэрнэт без усялякай абароны. Паглядзець на іх можна .
Што далей?
Украіна - невялікая краіна, як і Аўстрыя, але мае тыя ж праблемы, што і вялікія краіны ў сферы ІТ. Нам неабходна выпрацаваць лепшае разуменне таго, што з'яўляецца бяспечным, а што небяспечным, а таксама вытворцы абсталявання павінны даваць бяспечную пачатковую канфігурацыю свайго абсталявання.
Акрамя таго, я збіраю кампаніі-партнёры (), якія могуць дапамагчы вам забяспечыць недатыкальнасць уласнай ІТ інфраструктуры. Наступным крокам планую зрабіць агляд бяспекі ўкраінскіх сайтаў. Не перамыкайцеся!
Крыніца: habr.com