През февруари австриецът Кристиан Хашек публикува интересна статия в своя блог, озаглавена . Разбира се, стана ми интересно какво ще стане, ако това изследване се повтори, но с Украйна. Няколко седмици денонощно събиране на информация, още няколко дни за подготовка на статията и по време на това проучване разговори с различни представители на нашето общество, след това изясняване, след това разберете повече. Моля под разреза...
TL; DR
Не са използвани специални инструменти за събиране на информация (въпреки че няколко души посъветваха използването на същия OpenVAS, за да направят изследването по-задълбочено и информативно). Със сигурността на IP адресите, които се отнасят до Украйна (повече за това как е определено по-долу), ситуацията според мен е доста лоша (и определено по-лоша от това, което се случва в Австрия). Не са правени или планирани опити за използване на откритите уязвими сървъри.
Първо: как можете да получите всички IP адреси, които принадлежат на определена държава?
Всъщност е много просто. IP адресите не се генерират от самата държава, а се разпределят към нея. Следователно има списък (и той е публичен) на всички държави и всички IP адреси, които им принадлежат.
Всеки може и след това го филтрирайте grep Украйна IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ви позволява да приведете списъка в по-използваема форма.
Украйна притежава почти толкова IPv4 адреси, колкото Австрия, повече от 11 милиона 11 640 409, за да бъдем точни (за сравнение Австрия има 11 170 487).
Ако не искате сами да си играете с IP адреси (и не трябва!), тогава можете да използвате услугата .
Има ли Windows машини без корекция в Украйна, които имат директен достъп до интернет?
Разбира се, нито един съзнателен украинец няма да отвори такъв достъп до компютрите си. Или ще бъде?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lОткрити са 5669 Windows машини с директен достъп до мрежата (в Австрия са само 1273, но това е много).
опа Има ли сред тях такива, които могат да бъдат атакувани с експлойти на ETHERNALBLUE, които са известни от 2017 г.? В Австрия нямаше нито една такава кола, надявах се да не се намери и в Украйна. За съжаление, няма полза. Открихме 198 IP адреса, които не затвориха тази „дупка“ в себе си.
DNS, DDoS и дълбочината на заешката дупка
Стига за Windows. Нека да видим какво имаме с DNS сървърите, които са отворени преобразуватели и могат да се използват за DDoS атаки.
Работи нещо подобно. Нападателят изпраща малка DNS заявка и уязвимият сървър отговаря на жертвата с пакет, който е 100 пъти по-голям. Бум! Корпоративните мрежи могат бързо да се сринат от такъв обем данни, а атаката изисква честотната лента, която може да осигури модерен смартфон. И такива атаки имаше дори в GitHub.
Да видим дали има такива сървъри в Украйна.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lПървата стъпка е да намерите тези, които имат отворен порт 53. В резултат на това имаме списък от 58 730 IP адреса, но това не означава, че всички те могат да бъдат използвани за DDoS атака. Второто изискване трябва да бъде изпълнено, а именно те трябва да бъдат отворени за преобразуване.
За да направим това, можем да използваме проста команда dig и да видим, че можем да „копаем“ dig + кратък test.openresolver.com TXT @ip.of.dns.server. Ако сървърът отговори с open-resolver-detected, тогава той може да се счита за потенциална цел на атака. Отворените резолвери съставляват приблизително 25%, което е сравнимо с Австрия. По отношение на общия брой, това е около 0,02% от всички украински IP адреси.
Какво друго можете да намерите в Украйна?
Радвам се, че попита. По-лесно (и най-интересно за мен лично) е да гледам IP-то с отворен порт 80 и какво работи на него.
уеб сървър
260 849 украински IP отговарят на порт 80 (http). 125 444 адреса отговориха положително (статус 200) на проста GET заявка, която вашият браузър може да изпрати. Останалите дават една или друга грешка. Интересно е, че 853 сървъра издадоха статус 500, а най-редките статуси бяха 407 (заявка за прокси оторизация) и напълно нестандартното 602 (IP не е в „белия списък“) за един отговор.
Apache е абсолютно доминиращ - 114 544 сървъра го използват. Най-старата версия, която намерих в Украйна, е 1.3.29, издадена на 29 октомври 2003 г. (!!!). nginx е на второ място с 61 659 сървъра.
11 сървъра използват WinCE, който беше пуснат през 1996 г. и приключиха с корекцията му през 2013 г. (има само 4 от тях в Австрия).
Протоколът HTTP/2 използва 5 сървъра, HTTP/144 - 1.1 256, HTTP/836 - 1 13.
Принтери... защото... защо не?
2 HP, 5 Epson и 4 Canon, които са достъпни от мрежата, някои от тях без никакво разрешение.
уеб камери
Не е новина, че в Украйна има МНОГО уеб камери, излъчващи се в интернет, събрани на различни ресурси. Най-малко 75 камери се излъчват към интернет без никаква защита. Можете да ги разгледате .
Каква е следващата?
Украйна е малка държава, като Австрия, но има същите проблеми като големите държави в ИТ сектора. Трябва да развием по-добро разбиране за това какво е безопасно и какво е опасно, а производителите на оборудване трябва да предоставят безопасни първоначални конфигурации за своето оборудване.
Освен това събирам фирми партньори (), което може да ви помогне да осигурите целостта на вашата собствена ИТ инфраструктура. Следващата стъпка, която планирам да направя, е да прегледам сигурността на украинските уебсайтове. Не превключвайте!
Източник: www.habr.com