Ich habe die Ukraine gescannt

Im Februar veröffentlichte der Österreicher Christian Haschek in seinem Blog einen interessanten Artikel mit dem Titel „Ich habe ganz Österreich gescannt“. Natürlich war ich neugierig, was passieren würde, wenn man diese Untersuchung nun für die Ukraine wiederholt. Mehrere Wochen 24/7 Informationssammlung, ein paar Tage, um den Artikel zu verfassen, und während dieser Recherche Gespräche mit verschiedenen Vertretern unserer Gesellschaft, um zu klären und mehr zu erfahren. Ich bitte um Aufmerksamkeit…

TL;DR

Für die Informationssammlung wurden keine speziellen Mittel eingesetzt (obwohl einige Personen empfohlen haben, dasselbe OpenVAS zu verwenden, um die Untersuchung gründlicher und informativer zu gestalten). Die Sicherheit der IPs, die zur Ukraine gehören (darüber, wie wir das bestimmt haben, später mehr), ist meiner Meinung nach ziemlich schlecht (und definitiv schlechter als das, was in Österreich passiert). Es wurden keine Versuche unternommen, die entdeckten verwundbaren Server zu nutzen oder dies zu planen.

Zunächst einmal: Wie kann man alle IP-Adressen erhalten, die zu einem bestimmten Land gehören?

Es ist tatsächlich ganz einfach. IP-Adressen werden nicht von einem Land generiert, sondern diesem zugeteilt. Daher gibt es eine Liste (und sie ist öffentlich) aller Länder und aller IPs, die ihnen gehören.

Jeder kann sie herunterladen, um sie dann mit grep Ukraine IP2LOCATION-LITE-DB1.CSV > ukraine.csv herauszufiltern.

Ein einfacher Skript, den Christian erstellt hat,, ermöglicht es, die Liste in ein besser nutzbares Format zu bringen.

Die Ukraine verfügt über fast so viele IPv4-Adressen wie Österreich, mehr als 11 Millionen. Genauer gesagt 11 640 409 (zum Vergleich: in Österreich sind es 11 170 487).

Wenn Sie nicht selbst mit IP-Adressen herumspielen möchten (und das sollten Sie nicht tun!), können Sie den Dienst Shodan.io.

nutzen. Gibt es in der Ukraine ungeschützte Windows-Systeme, die direkten Internetzugang haben?

Natürlich wird kein verantwortungsbewusster Ukrainer solch einen Zugang für seine Computer öffnen. Oder doch?

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

5669 Windows-Maschinen mit direktem Netzwerzugang wurden gefunden (in Österreich sind es nur 1273, aber das ist auch schon viel).

Ups. Gibt es darunter welche, die durch die ETHERNALBLUE-Exploits angreifbar sind, die seit 2017 bekannt sind? In Österreich gab es keine einzige solche Maschine, und ich hoffte, dass auch in der Ukraine keine gefunden wird. Leider war das vergeblich. Es wurden 198 IP-Adressen gefunden, die dieses 'Loch' nicht geschlossen haben.

DNS, DDoS und die Tiefe des Kaninchenbaus

Genug über Windows. Schauen wir uns an, wie es mit den DNS-Servern steht, die offene Resolver sind und für DDoS-Attacken verwendet werden können.

So funktioniert das ungefähr. Der Angreifer sendet eine kleine DNS-Anfrage, und der verwundbare Server antwortet dem Opfer mit einem Paket, das 100 Mal größer ist. Boom! Unternehmensnetzwerke können bei einem solchen Datenvolumen recht schnell zusammenbrechen, und für den Angriff wird eine Bandbreite benötigt, die von einem modernen Smartphone bereitgestellt werden kann. Solche Angriffe gab es nicht selten sogar auf GitHub.

Lassen Sie uns sehen, ob es solche Server in der Ukraine gibt.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

Der erste Schritt besteht darin, diejenigen zu identifizieren, die einen offenen Port 53 haben. Das Ergebnis ist eine Liste mit 58.730 IP-Adressen, aber das bedeutet noch nicht, dass alle für einen DDoS-Angriff genutzt werden können. Es muss das zweite Kriterium erfüllt sein, nämlich dass sie als Open-Resolver fungieren.

Dazu kann man den einfachen Befehl dig verwenden und sehen, dass wir "ausgraben" können: dig +short test.openresolver.com TXT @ip.of.dns.server. Wenn der Server mit open-resolver-detected antwortet, kann er als potentielles Ziel für einen Angriff betrachtet werden. Open-Resolver machen etwa 25% aus, was mit Österreich vergleichbar ist. Insgesamt betrachtet machen sie etwa 0,02% aller ukrainischen IPs aus.

Was kann man noch in der Ukraine finden?

Ich freue mich, dass Sie gefragt haben. Am einfachsten (und am interessantesten für mich persönlich) ist es, IPs mit offenem Port 80 anzuschauen und zu sehen, was darauf "läuft".

Webserver

260.849 ukrainische IPs antworten auf Port 80 (http). 125.444 Adressen haben positiv (Status 200) auf eine einfache GET-Anfrage, die Ihr Browser senden könnte, geantwortet. Die übrigen gaben verschiedene Fehler aus. Interessanterweise haben 853 Server den Status 500 zurückgegeben, während die seltensten Status 407 (Anfrage zur Proxy-Authentifizierung) und der absolut unübliche Status 602 (IP nicht in der "Whitelist") jeweils nur einmal antworteten.

Apache dominiert vollständig – 114.544 Server nutzen ihn. Die älteste Version, die ich in der Ukraine fand, ist 1.3.29, die am 29. Oktober 2003 veröffentlicht wurde (!!!). nginx liegt mit 61.659 Servern auf dem zweiten Platz.

11 Server nutzen WinCE, das 1996 herauskam und 2013 nicht mehr gepatcht wurde (in Österreich sind es nur 4).

Das Protokoll HTTP/2 wird von 5.144 Servern genutzt, HTTP/1.1 von 256.836, und HTTP/1 von 13.491.

Drucker… weil… warum nicht?

2 HP, 5 Epson und 4 Canon, die aus dem Netzwerk erreichbar sind, einige von ihnen ohne jegliche Authentifizierung.

Ich habe die Ukraine gescannt

Webcams

Es ist keine Neuigkeit, dass es in der Ukraine SEHR viele Webcams gibt, die sich ins Internet übertragen, gesammelt auf verschiedenen Ressourcen. Mindestens 75 Kameras übertragen sich ohne jeglichen Schutz ins Internet. Man kann sie ansehen. hier.

Ich habe die Ukraine gescannt

Wie geht es weiter?

Die Ukraine ist ein kleines Land, ähnlich wie Österreich, hat jedoch dieselben Herausforderungen im IT-Sektor wie größere Länder. Es ist notwendig, ein besseres Verständnis dafür zu entwickeln, was sicher ist und was gefährlich, zudem müssen Gerätehersteller eine sichere Grundkonfiguration für ihre Produkte bereitstellen.

Außerdem suche ich nach Partnerunternehmen (um Partner zu werden), die Ihnen helfen können, Ihre IT-Infrastruktur zu schützen. Der nächste Schritt wird eine Sicherheitsüberprüfung ukrainischer Websites sein. Bleiben Sie dran!

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster