V únoru publikoval Rakušan Christian Haschek na svém blogu zajímavý článek s názvem . Samozřejmě mě začalo zajímat, co by se stalo, kdyby se tato studie opakovala, ale s Ukrajinou. Několik týdnů nepřetržitého shromažďování informací, ještě pár dní na přípravu článku a během tohoto výzkumu rozhovory s různými představiteli naší společnosti, pak objasňování a zjišťování více. Prosím pod řez...
TL, DR
Ke sběru informací nebyly použity žádné speciální nástroje (ačkoli několik lidí doporučilo používat stejný OpenVAS, aby byl výzkum důkladnější a informativnější). S bezpečností IP, které se týkají Ukrajiny (více o tom, jak se to určovalo níže), je situace podle mě dost špatná (a rozhodně horší než to, co se děje v Rakousku). Nebyly provedeny ani naplánovány žádné pokusy o zneužití zjištěných zranitelných serverů.
Za prvé: jak můžete získat všechny IP adresy, které patří určité zemi?
Je to vlastně velmi jednoduché. IP adresy nejsou generovány samotnou zemí, ale jsou jí přidělovány. Proto existuje seznam (a je veřejný) všech zemí a všech IP, které k nim patří.
Každý může a pak to filtrovat grep Ukrajina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, umožňuje převést seznam do použitelnější podoby.
Ukrajina vlastní téměř tolik IPv4 adres jako Rakousko, přesněji více než 11 milionů 11 640 409 (pro srovnání Rakousko jich má 11 170 487).
Pokud si sami nechcete hrát s IP adresami (a to byste neměli!), pak můžete službu využít .
Existují na Ukrajině nějaké neopravené počítače s Windows, které mají přímý přístup k internetu?
Takový přístup ke svým počítačům si samozřejmě neotevře ani jeden uvědomělý Ukrajinec. Nebo bude?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lBylo nalezeno 5669 počítačů s Windows s přímým přístupem k síti (v Rakousku je jich pouze 1273, ale to je hodně).
Jejda. Jsou mezi nimi nějaké, které by bylo možné napadnout pomocí exploitů ETHERNALBLUE, které jsou známé již od roku 2017? V Rakousku nebylo jediné takové auto a doufal jsem, že se nenajde ani na Ukrajině. Bohužel je to k ničemu. Našli jsme 198 IP adres, které samy o sobě tuto „díru“ neuzavřely.
DNS, DDoS a hloubka králičí nory
Dost o Windows. Podívejme se, co máme se servery DNS, které jsou open-resolvery a lze je použít pro útoky DDoS.
Funguje to nějak takhle. Útočník odešle malý požadavek DNS a zranitelný server odpoví oběti paketem, který je 100krát větší. Výložník! Firemní sítě se mohou z takového objemu dat rychle zhroutit a útok vyžaduje šířku pásma, kterou může poskytnout moderní smartphone. A takové útoky byly dokonce i na GitHubu.
Podívejme se, zda takové servery na Ukrajině existují.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPrvním krokem je najít ty, které mají otevřený port 53. Ve výsledku máme seznam 58 730 IP adres, ale to neznamená, že všechny lze použít k DDoS útoku. Musí být splněn druhý požadavek, a to musí být open-resolver.
K tomu můžeme použít jednoduchý příkaz dig a uvidíme, že můžeme „dig“ dig + krátký test.openresolver.com TXT @ip.of.dns.server. Pokud server odpověděl detekcí otevřeného řešení, lze jej považovat za potenciální cíl útoku. Otevřené resolvery tvoří přibližně 25 %, což je srovnatelné s Rakouskem. Z hlediska celkového počtu se jedná o cca 0,02 % všech ukrajinských IP.
Co dalšího na Ukrajině najdete?
Jsem rád, že ses zeptal. Jednodušší (a pro mě osobně nejzajímavější) je podívat se na IP s otevřeným portem 80 a na to, co na něm běží.
webový server
260 849 ukrajinských IP adres odpovídá portu 80 (http). 125 444 adres odpovědělo kladně (stav 200) na jednoduchý požadavek GET, který může váš prohlížeč odeslat. Zbytek způsobil jednu nebo druhou chybu. Zajímavé je, že 853 serverů vydalo stav 500 a nejvzácnější stavy byly 407 (žádost o autorizaci proxy) a zcela nestandardních 602 (IP není na „bílé listině“) na jednu odpověď.
Absolutně dominantní je Apache – používá jej 114 544 serverů. Nejstarší verze, kterou jsem na Ukrajině našel, je 1.3.29, vydaná 29. října 2003 (!!!). nginx je na druhém místě s 61 659 servery.
11 serverů používá WinCE, která byla vydána v roce 1996 a dokončili ji v roce 2013 (v Rakousku jsou pouze 4).
Protokol HTTP/2 používá 5 144 serverů, HTTP/1.1 – 256 836, HTTP/1 – 13 491.
Tiskárny... protože... proč ne?
2 HP, 5 Epson a 4 Canon, které jsou přístupné ze sítě, některé z nich bez jakéhokoli oprávnění.
webové kamery
Není novinkou, že na Ukrajině existuje HODNĚ webových kamer, které se samy vysílají na internet, shromážděných z různých zdrojů. Nejméně 75 kamer se vysílá na internet bez jakékoli ochrany. Můžete se na ně podívat .
Co bude dál?
Ukrajina je malá země jako Rakousko, ale má stejné problémy jako velké země v IT sektoru. Musíme lépe porozumět tomu, co je bezpečné a co nebezpečné, a výrobci zařízení musí poskytnout bezpečné počáteční konfigurace pro svá zařízení.
Kromě toho shromažďuji partnerské společnosti (), což vám může pomoci zajistit integritu vaší vlastní IT infrastruktury. Dalším krokem, který plánuji udělat, je kontrola zabezpečení ukrajinských webových stránek. Nepřepínejte!
Zdroj: www.habr.com