Ym mis Chwefror, cyhoeddodd y Cristion o Awstria Haschek erthygl ddiddorol ar ei flog o'r enw . Wrth gwrs, dechreuais ymddiddori yn yr hyn a fyddai'n digwydd pe bai'r astudiaeth hon yn cael ei hailadrodd, ond gyda'r Wcráin. Sawl wythnos o gasglu gwybodaeth bob awr o'r dydd a'r nos, ychydig ddyddiau eraill i baratoi'r erthygl, ac yn ystod yr ymchwil hwn, sgyrsiau gyda gwahanol gynrychiolwyr o'n cymdeithas, yna egluro, yna darganfod mwy. Os gwelwch yn dda o dan y toriad...
TL; DR
Ni ddefnyddiwyd unrhyw offer arbennig i gasglu gwybodaeth (er bod nifer o bobl wedi cynghori defnyddio'r un OpenVAS i wneud yr ymchwil yn fwy trylwyr ac addysgiadol). Gyda diogelwch IPs sy'n ymwneud â Wcráin (mwy ar sut y penderfynwyd isod), mae'r sefyllfa, yn fy marn i, yn eithaf gwael (ac yn bendant yn waeth na'r hyn sy'n digwydd yn Awstria). Nid oes unrhyw ymdrechion wedi'u gwneud na'u cynllunio i fanteisio ar y gweinyddion bregus a ddarganfuwyd.
Yn gyntaf: sut allwch chi gael yr holl gyfeiriadau IP sy'n perthyn i wlad benodol?
Mae'n syml iawn mewn gwirionedd. Nid yw cyfeiriadau IP yn cael eu cynhyrchu gan y wlad ei hun, ond yn cael eu dyrannu iddi. Felly, mae rhestr (ac mae'n gyhoeddus) o'r holl wledydd a'r holl IPs sy'n perthyn iddynt.
Gall pawb ac yna ei hidlo grep Wcráin IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, yn eich galluogi i ddod â'r rhestr i ffurf fwy defnyddiadwy.
Mae Wcráin yn berchen ar bron cymaint o gyfeiriadau IPv4 ag Awstria, mwy nag 11 miliwn 11 i fod yn union (er mwyn cymharu, mae gan Awstria 640).
Os nad ydych chi eisiau chwarae gyda chyfeiriadau IP eich hun (ac ni ddylech chi!), yna gallwch chi ddefnyddio'r gwasanaeth .
A oes unrhyw beiriannau Windows heb eu clytio yn yr Wcrain sydd â mynediad uniongyrchol i'r Rhyngrwyd?
Wrth gwrs, ni fydd un Wcreineg ymwybodol yn agor mynediad o'r fath i'w cyfrifiaduron. Neu a fydd?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lDarganfuwyd 5669 o beiriannau Windows gyda mynediad uniongyrchol i'r rhwydwaith (dim ond 1273 sydd yn Awstria, ond mae hynny'n llawer).
Wps. A oes unrhyw rai yn eu plith y gellid ymosod arnynt gan ddefnyddio campau ETHERNALBLUE, sydd wedi bod yn hysbys ers 2017? Nid oedd un car o’r fath yn Awstria, ac roeddwn yn gobeithio na fyddai i’w gael yn yr Wcrain ychwaith. Yn anffodus, nid yw'n ddefnydd. Daethom o hyd i 198 o gyfeiriadau IP nad oeddent yn cau’r “twll” hwn ynddynt eu hunain.
DNS, DDoS a dyfnder y twll cwningen
Digon am Windows. Gadewch i ni weld beth sydd gennym gyda gweinyddwyr DNS, sy'n ddatryswyr agored ac y gellir eu defnyddio ar gyfer ymosodiadau DDoS.
Mae'n gweithio rhywbeth fel hyn. Mae'r ymosodwr yn anfon cais DNS bach, ac mae'r gweinydd bregus yn ymateb i'r dioddefwr gyda phecyn sydd 100 gwaith yn fwy. Boom! Gall rhwydweithiau corfforaethol gwympo'n gyflym o'r fath swm o ddata, ac mae ymosodiad yn gofyn am y lled band y gall ffôn clyfar modern ei ddarparu. Ac roedd ymosodiadau o'r fath hyd yn oed ar GitHub.
Gadewch i ni weld a oes gweinyddwyr o'r fath yn yr Wcrain.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lY cam cyntaf yw dod o hyd i'r rhai sydd â phorthladd agored 53. O ganlyniad, mae gennym restr o 58 o gyfeiriadau IP, ond nid yw hyn yn golygu y gellir defnyddio pob un ohonynt ar gyfer ymosodiad DDoS. Rhaid bodloni'r ail ofyniad, sef rhaid iddynt fod yn ddatryswyr agored.
I wneud hyn, gallwn ddefnyddio gorchymyn cloddio syml a gweld y gallwn “gloddio” cloddio + short test.openresolver.com TXT @ip.of.dns.server. Pe bai'r gweinydd yn ymateb gyda datrysiad agored wedi'i ganfod, yna gellir ei ystyried yn darged ymosodiad posibl. Mae datrysiadau agored yn cyfrif am tua 25%, sy'n debyg i Awstria. O ran cyfanswm, mae hyn tua 0,02% o'r holl IPs Wcreineg.
Beth arall allwch chi ddod o hyd iddo yn yr Wcrain?
Falch eich bod wedi gofyn. Mae'n haws (a'r mwyaf diddorol i mi yn bersonol) edrych ar yr IP gyda phorthladd agored 80 a beth sy'n rhedeg arno.
gweinydd gwe
Mae 260 IPs Wcreineg yn ymateb i borthladd 849 (http). Ymatebodd 80 o gyfeiriadau yn gadarnhaol (statws 125) i gais GET syml y gall eich porwr ei anfon. Cynhyrchodd y gweddill un gwall neu'i gilydd. Mae'n ddiddorol bod 444 o weinyddion wedi cyhoeddi statws o 200, a'r statws prinnaf oedd 853 (cais am awdurdodiad dirprwy) a'r 500 cwbl ansafonol (IP nad yw yn y “rhestr wen”) ar gyfer un ymateb.
Mae Apache yn gwbl amlwg - mae gweinyddwyr 114 yn ei ddefnyddio. Y fersiwn hynaf a ddarganfyddais yn yr Wcrain yw 544, a ryddhawyd ar Hydref 1.3.29, 29 (!!!). mae nginx yn yr ail safle gyda 2003 o weinyddion.
Mae gweinyddwyr 11 yn defnyddio WinCE, a ryddhawyd ym 1996, ac fe wnaethant orffen ei glytio yn 2013 (dim ond 4 o'r rhain sydd yn Awstria).
Mae'r protocol HTTP/2 yn defnyddio 5 o weinyddion, HTTP/144 - 1.1, HTTP/256 - 836.
Argraffwyr... oherwydd... pam lai?
2 HP, 5 Epson a 4 Canon, sy'n hygyrch o'r rhwydwaith, rhai ohonynt heb unrhyw awdurdodiad.
gwe-gamerâu
Nid yw'n newyddion bod yna LOT o we-gamerâu yn yr Wcrain yn darlledu eu hunain i'r Rhyngrwyd, wedi'u casglu ar amrywiol adnoddau. Mae o leiaf 75 o gamerâu yn darlledu eu hunain i'r Rhyngrwyd heb unrhyw amddiffyniad. Gallwch chi edrych arnyn nhw .
Beth sydd nesaf?
Mae Wcráin yn wlad fach, fel Awstria, ond mae ganddi'r un problemau â gwledydd mawr yn y sector TG. Mae angen inni ddatblygu gwell dealltwriaeth o'r hyn sy'n ddiogel a beth sy'n beryglus, a rhaid i weithgynhyrchwyr offer ddarparu cyfluniadau cychwynnol diogel ar gyfer eu hoffer.
Yn ogystal, rwy'n casglu cwmnïau partner (), a all eich helpu i sicrhau cywirdeb eich seilwaith TG eich hun. Y cam nesaf rwy'n bwriadu ei wneud yw adolygu diogelwch gwefannau Wcrain. Peidiwch â newid!
Ffynhonnell: hab.com