Al febrer, l'austríac Christian Haschek va publicar un interessant article al seu blog titulat . Per descomptat, em vaig interessar què passaria si aquest estudi es repetia, però amb Ucraïna. Diverses setmanes de recollida d'informació les XNUMX hores del dia, un parell de dies més per preparar l'article i durant aquesta investigació, converses amb diferents representants de la nostra societat, després aclarir, després saber-ne més. Si us plau, sota el tall...
TL; DR
No es van utilitzar eines especials per recollir informació (tot i que diverses persones van aconsellar utilitzar el mateix OpenVAS per fer la recerca més exhaustiva i informativa). Amb la seguretat de les IP que es relacionen amb Ucraïna (més sobre com es va determinar a continuació), la situació, al meu entendre, és força dolenta (i definitivament pitjor del que està passant a Àustria). No s'ha fet ni s'ha previst cap intent d'explotar els servidors vulnerables descoberts.
Primer de tot: com podeu obtenir totes les adreces IP que pertanyen a un determinat país?
En realitat és molt senzill. Les adreces IP no les genera el propi país, sinó que li assignen. Per tant, hi ha una llista (i és pública) de tots els països i totes les IP que els pertanyen.
Tothom pot i després filtra-lo grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, us permet portar la llista a una forma més utilitzable.
Ucraïna posseeix gairebé tantes adreces IPv4 com Àustria, més d'11 milions 11 per ser exactes (en comparació, Àustria en té 640).
Si no voleu jugar amb les adreces IP vosaltres mateixos (i no ho hauríeu de fer!), podeu utilitzar el servei .
Hi ha màquines Windows sense pegats a Ucraïna que tinguin accés directe a Internet?
Per descomptat, ni un sol ucraïnès conscient obrirà aquest accés als seus ordinadors. O serà?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lS'han trobat 5669 màquines Windows amb accés directe a la xarxa (a Àustria només n'hi ha 1273, però això és molt).
Vaja! Hi ha algun d'ells que pugui ser atacat mitjançant exploits ETHERNALBLUE, que es coneixen des del 2017? No hi havia cap cotxe així a Àustria, i esperava que tampoc no es trobés a Ucraïna. Malauradament, no serveix de res. Hem trobat 198 adreces IP que no tancaven aquest "forat" en si mateixes.
DNS, DDoS i la profunditat del forat del conill
Ja n'hi ha prou amb Windows. Vegem què tenim amb els servidors DNS, que són solucionadors oberts i es poden utilitzar per a atacs DDoS.
Funciona una cosa així. L'atacant envia una petita sol·licitud de DNS i el servidor vulnerable respon a la víctima amb un paquet 100 vegades més gran. Bum! Les xarxes corporatives poden col·lapsar-se ràpidament a partir d'aquest volum de dades, i un atac requereix l'ample de banda que pot proporcionar un telèfon intel·ligent modern. I va haver-hi atacs així fins i tot a GitHub.
A veure si hi ha aquests servidors a Ucraïna.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lEl primer pas és trobar aquells que tinguin el port obert 53. Com a resultat, tenim una llista de 58 adreces IP, però això no vol dir que totes es puguin utilitzar per a un atac DDoS. S'ha de complir el segon requisit, és a dir, han de ser resolutoris oberts.
Per fer-ho, podem utilitzar una senzilla ordre dig i veure que podem "cavar" dig + short test.openresolver.com TXT @ip.of.dns.server. Si el servidor va respondre amb open-resolver-detected, es pot considerar un objectiu potencial d'atac. Els solucionadors oberts representen aproximadament el 25%, que és comparable a Àustria. En termes de nombre total, això és al voltant del 0,02% de totes les IP d'Ucraïna.
Què més pots trobar a Ucraïna?
M'alegro que hagis preguntat. És més fàcil (i el més interessant per a mi personalment) mirar la IP amb el port obert 80 i què s'hi executa.
servidor web
260 IP ucraïneses responen al port 849 (http). 80 adreces van respondre positivament (estat 125) a una simple sol·licitud GET que el vostre navegador pot enviar. La resta va produir un o altre error. És interessant que 444 servidors van emetre un estat de 200, i els estats més rars van ser 853 (sol·licitud d'autorització de proxy) i el 500 completament no estàndard (IP no a la "llista blanca") per a una resposta.
Apache és absolutament dominant: l'utilitzen 114 servidors. La versió més antiga que vaig trobar a Ucraïna és la 544, publicada el 1.3.29 d'octubre de 29 (!!!). nginx ocupa el segon lloc amb 2003 servidors.
11 servidors utilitzen WinCE, que es va llançar l'any 1996, i el van acabar de pegar el 2013 (només n'hi ha 4 a Àustria).
El protocol HTTP/2 utilitza 5 servidors, HTTP/144 - 1.1, HTTP/256 - 836.
Impressores... perquè... per què no?
2 HP, 5 Epson i 4 Canon, accessibles des de la xarxa, alguns d'ells sense cap autorització.
càmeres web
No és notícia que a Ucraïna hi hagi MOLTES càmeres web que s'emeten a Internet, recopilades en diversos recursos. Almenys 75 càmeres s'emeten a Internet sense cap protecció. Els pots mirar .
Què serà el següent?
Ucraïna és un país petit, com Àustria, però té els mateixos problemes que els grans països del sector informàtic. Hem d'entendre millor què és segur i què és perillós, i els fabricants d'equips han de proporcionar configuracions inicials segures per als seus equips.
A més, recullo empreses col·laboradores (), que us pot ajudar a garantir la integritat de la vostra pròpia infraestructura informàtica. El següent pas que penso fer és revisar la seguretat dels llocs web d'Ucraïna. No canvieu!
Font: www.habr.com