In u frivaru, l'austriacu Christian Haschek hà publicatu un articulu interessante nantu à u so blog intitulatu . Di sicuru, aghju diventatu interessatu in ciò chì succede si stu studiu hè stata ripetuta, ma cù l'Ucraina. Parechje settimane di cullizzioni di l'infurmazioni round-the-clock, un paru di ghjorni più per preparà l'articulu, è durante sta ricerca, conversazioni cù diversi rapprisentanti di a nostra sucetà, poi clarificà, dopu scopre di più. Per piacè sottu à u tagliu ...
TL; DR
Nisun arnesi spiciali sò stati utilizati per cullà l'infurmazioni (ancu se parechje persone cunsiglianu di utilizà u stessu OpenVAS per fà a ricerca più approfondita è informativa). Cù a sicurità di l'IP chì riguardanu l'Ucraina (più nantu à cumu hè stata determinata quì sottu), a situazione, in my opinion, hè abbastanza male (è definitu peghju di ciò chì succede in Austria). Nisun tentativu hè statu fattu o pianificatu per sfruttà i servitori vulnerabili scuperti.
Prima di tuttu: cumu pudete uttene tutti l'indirizzi IP chì appartenenu à un certu paese?
Hè veramente assai simplice. L'indirizzi IP ùn sò micca generati da u paese stessu, ma attribuiti à questu. Per quessa, ci hè una lista (è hè publica) di tutti i paesi è tutti l'IP chì appartenenu à elli.
Tutti ponu e poi filtrà grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, permette di portà a lista in una forma più utilizable.
L'Ucraina pussede quasi tanti indirizzi IPv4 cum'è l'Austria, più di 11 milioni 11 per esse precisu (per paragunà, l'Austria hà 640).
Se ùn vulete micca ghjucà cù l'indirizzi IP stessu (è ùn deve micca!), Allora pudete aduprà u serviziu. .
Ci hè qualchì macchina Windows senza patch in Ucraina chì anu accessu direttu à Internet?
Di sicuru, micca un ucrainu cuscente ùn apre tali accessu à i so computer. O serà?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Macchine Windows cù accessu direttu à a reta sò stati truvati (in Austria ci sò solu 1273, ma questu hè assai).
Oops. Ci hè qualchissia trà elli chì puderia esse attaccatu cù sfruttamenti ETHERNALBLUE, chì sò cunnisciuti da 2017? Ùn ci era micca una sola vittura in Austria, è spergu chì ùn si trova ancu in Ucraina. Sfurtunatamente, ùn hè micca utile. Avemu trovu 198 indirizzi IP chì ùn anu micca chjusu stu "buru" in elli stessi.
DNS, DDoS è a prufundità di u cunigliu
Basta nantu à Windows. Videmu ciò chì avemu cù i servitori DNS, chì sò open-resolvers è ponu esse utilizati per attacchi DDoS.
Funziona qualcosa cum'è questu. L'attaccu manda una piccula dumanda DNS, è u servitore vulnerabile risponde à a vittima cù un pacchettu chì hè 100 volte più grande. Boom ! E rete corporative ponu colapsà rapidamente da un tali voluminu di dati, è un attaccu precisa a larghezza di banda chì un smartphone mudernu pò furnisce. È ci sò stati tali attacchi ancu in GitHub.
Videmu s'ellu ci sò tali servitori in Ucraina.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lU primu passu hè di truvà quelli chì anu u portu apertu 53. In u risultatu, avemu una lista di 58 730 indirizzi IP, ma questu ùn significa micca chì tutti ponu esse usatu per un attaccu DDoS. U sicondu requisitu deve esse cumpletu, vale à dì ch'elli anu da esse aperti.
Per fà questu, pudemu usà un cumandamentu di scavà simplice è vede chì pudemu "scavà" dig + short test.openresolver.com TXT @ip.of.dns.server. Se u servitore hà rispostu cù open-resolver-detected, allura pò esse cunsideratu un scopu potenziale di attaccu. I resolutori aperti custituiscenu circa 25%, chì hè paragunabile à l'Austria. In quantu à u numeru tutale, questu hè circa 0,02% di tutti l'IP Ucraini.
Chì altru pudete truvà in Ucraina?
Felice chì avete dumandatu. Hè più faciule (è u più interessante per mè personalmente) per guardà l'IP cù u portu apertu 80 è ciò chì corre nantu à questu.
servitore web
260 849 IP ucraini rispundenu à u portu 80 (http). 125 indirizzi rispunniu pusitivu (statu 444) à una semplice dumanda GET chì u vostru navigatore pò mandà. U restu hà pruduciutu unu o un altru errore. Hè interessante chì i servitori 200 anu emessu un statutu di 853, è i stati più rari eranu 500 (richiesta per l'autorizazione di proxy) è u 407 completamente micca standard (IP micca in a "lista bianca") per una risposta.
Apache hè assolutamente dominante - 114 servitori l'utilizanu. A versione più antica chì aghju trovu in Ucraina hè 544, liberata u 1.3.29 d'ottobre di u 29 (!!!). nginx hè in u sicondu postu cù 2003 servitori.
11 servitori utilizanu WinCE, chì hè stata liberata in 1996, è anu finitu di patching in 2013 (ci sò solu 4 di questi in Austria).
U protocolu HTTP/2 usa 5 servitori, HTTP/144 - 1.1, HTTP/256 - 836.
Printers... perchè... perchè micca ?
2 HP, 5 Epson è 4 Canon, chì sò accessibili da a reta, alcuni di elli senza alcuna auturizazione.
webcams
Ùn hè nutizie chì in Ucraina ci sò assai webcams chì si trasmettenu in Internet, cullate nantu à diverse risorse. Almenu 75 camere si trasmettenu in Internet senza alcuna prutezzione. Pudete guardà elli .
Chi c'è vicinu?
L'Ucraina hè un picculu paese, cum'è l'Austria, ma hà i stessi prublemi chì i grandi paesi in u settore IT. Avemu bisognu di sviluppà una megliu comprensione di ciò chì hè sicuru è ciò chì hè periculosu, è i fabricatori di l'equipaggiu devenu furnisce cunfigurazioni iniziali sicure per i so equipaghji.
In più, aghju cullucatu cumpagnie partenarii (), chì pò aiutà à assicurà l'integrità di a vostra propria infrastruttura IT. U prossimu passu chì pensa à fà hè riviseghjà a sicurità di i siti web ucraini. Ùn cambiate micca!
Source: www.habr.com