U februaru je Austrijanac Christian Haschek objavio zanimljiv članak na svom blogu pod naslovom . Naravno, zainteresovalo me je šta bi se desilo da se ova studija ponovi, ali sa Ukrajinom. Nekoliko sedmica danonoćnog prikupljanja informacija, još par dana za pripremu članka, a tokom ovog istraživanja razgovori sa raznim predstavnicima našeg društva, pa pojašnjenje, pa saznanje više. Molim vas ispod reza...
TL; DR
Za prikupljanje informacija nisu korišteni posebni alati (iako je nekoliko ljudi savjetovalo korištenje istog OpenVAS-a kako bi istraživanje bilo temeljnije i informativnije). Sa sigurnošću IP adresa koje se odnose na Ukrajinu (više o tome kako je utvrđeno u nastavku), situacija je, po mom mišljenju, dosta loša (i definitivno gora od onoga što se dešava u Austriji). Nisu učinjeni niti planirani pokušaji eksploatacije otkrivenih ranjivih servera.
Prije svega: kako možete dobiti sve IP adrese koje pripadaju određenoj zemlji?
To je zapravo vrlo jednostavno. IP adrese ne generiše sama država, već joj se dodeljuju. Dakle, postoji lista (i ona je javna) svih zemalja i svih IP adresa koje im pripadaju.
Svi mogu a zatim ga filtrirajte grep Ukrajina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, omogućava vam da dovedete listu u upotrebljiviji oblik.
Ukrajina posjeduje skoro isto toliko IPv4 adresa kao Austrija, tačnije više od 11 miliona 11 (za poređenje, Austrija ima 640).
Ako se ne želite sami igrati sa IP adresama (a ne biste trebali!), onda možete koristiti uslugu .
Da li u Ukrajini postoje Windows mašine bez zakrpe koje imaju direktan pristup internetu?
Naravno, nijedan svesni Ukrajinac neće otvoriti takav pristup svojim kompjuterima. Ili će biti?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lPronađeno je 5669 Windows mašina sa direktnim pristupom mreži (u Austriji ih ima samo 1273, ali to je mnogo).
Ups. Ima li među njima koji bi mogli biti napadnuti korištenjem ETHERNALBLUE eksploata, koji su poznati od 2017. godine? U Austriji nije postojao nijedan takav auto, a nadao sam se da se neće naći ni u Ukrajini. Nažalost, nema koristi. Pronašli smo 198 IP adresa koje nisu zatvorile ovu „rupu“ u sebi.
DNS, DDoS i dubina zečje rupe
Dosta o Windowsima. Hajde da vidimo šta imamo sa DNS serverima, koji su open-resolveri i mogu se koristiti za DDoS napade.
Radi otprilike ovako. Napadač šalje mali DNS zahtjev, a ranjivi server odgovara žrtvi paketom koji je 100 puta veći. Boom! Korporativne mreže mogu se brzo urušiti od takve količine podataka, a napad zahtijeva propusni opseg koji moderni pametni telefon može pružiti. I bilo je takvih napada čak i na GitHubu.
Hajde da vidimo da li postoje takvi serveri u Ukrajini.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPrvi korak je pronaći one koji imaju otvoren port 53. Kao rezultat, imamo listu od 58 IP adresa, ali to ne znači da se sve mogu koristiti za DDoS napad. Drugi uslov mora biti ispunjen, odnosno moraju biti otvoreni za rješavanje.
Da bismo to uradili, možemo koristiti jednostavnu komandu dig i vidjeti da možemo "kopati" dig + kratki test.openresolver.com TXT @ip.of.dns.server. Ako je server odgovorio sa open-resolver-detected, onda se može smatrati potencijalnom metom napada. Otvoreni rezolveri čine oko 25%, što je uporedivo sa Austrijom. U pogledu ukupnog broja, ovo je oko 0,02% svih ukrajinskih IP-ova.
Šta još možete pronaći u Ukrajini?
Drago mi je da ste pitali. Lakše je (i meni lično najzanimljivije) pogledati IP sa otvorenim portom 80 i šta se na njemu radi.
web server
260 ukrajinskih IP adresa odgovara na port 849 (http). 80 adresa je odgovorilo pozitivno (125 status) na jednostavan GET zahtjev koji vaš pretraživač može poslati. Ostalo je proizvelo jednu ili drugu grešku. Zanimljivo je da su 444 servera dala status 200, a najrjeđi statusi su bili 853 (zahtjev za proxy autorizaciju) i potpuno nestandardni 500 (IP nije na “bijeloj listi”) za jedan odgovor.
Apache je apsolutno dominantan - koristi ga 114 servera. Najstarija verzija koju sam našao u Ukrajini je 544, objavljena 1.3.29. oktobra 29. (!!!). nginx je na drugom mjestu sa 2003 servera.
11 servera koristi WinCE, koji je objavljen 1996. godine, a zakrpe su završili 2013. (u Austriji ih ima samo 4).
HTTP/2 protokol koristi 5 servera, HTTP/144 - 1.1, HTTP/256 - 836.
Štampači... jer... zašto ne?
2 HP, 5 Epson i 4 Canon, koji su dostupni sa mreže, neki od njih bez ikakve autorizacije.
web kamere
Nije novost da u Ukrajini postoji MNOGO web kamera koje se emituju na Internet, prikupljenih na raznim resursima. Najmanje 75 kamera se emituje na Internet bez ikakve zaštite. Možete ih pogledati .
Što je sljedeće?
Ukrajina je mala zemlja, poput Austrije, ali ima iste probleme kao i velike zemlje u IT sektoru. Moramo bolje razumjeti šta je sigurno, a šta opasno, a proizvođači opreme moraju obezbijediti sigurne početne konfiguracije za svoju opremu.
Osim toga prikupljam partnerske kompanije (), što vam može pomoći da osigurate integritet vlastite IT infrastrukture. Sljedeći korak koji planiram učiniti je pregledati sigurnost ukrajinskih web stranica. Ne menjaj se!
izvor: www.habr.com