Τον Φεβρουάριο, ο Αυστριακός Christian Haschek δημοσίευσε ένα ενδιαφέρον άρθρο στο blog του με τίτλο . Φυσικά, με ενδιέφερε τι θα γινόταν αν επαναλαμβανόταν αυτή η μελέτη, αλλά με την Ουκρανία. Αρκετές εβδομάδες XNUMXωρης συλλογής πληροφοριών, μερικές ακόμη ημέρες για την προετοιμασία του άρθρου και κατά τη διάρκεια αυτής της έρευνας, συζητήσεις με διάφορους εκπροσώπους της κοινωνίας μας, στη συνέχεια διευκρίνιση και μετά μάθετε περισσότερα. Παρακαλώ κάτω από το κόψιμο...
TL? DR
Δεν χρησιμοποιήθηκαν ειδικά εργαλεία για τη συλλογή πληροφοριών (αν και πολλά άτομα συνέστησαν τη χρήση του ίδιου OpenVAS για να γίνει η έρευνα πιο εμπεριστατωμένη και ενημερωτική). Με την ασφάλεια των IP που σχετίζονται με την Ουκρανία (περισσότερα για το πώς καθορίστηκε παρακάτω), η κατάσταση, κατά τη γνώμη μου, είναι αρκετά κακή (και σίγουρα χειρότερη από αυτό που συμβαίνει στην Αυστρία). Δεν έχουν γίνει ούτε έχουν προγραμματιστεί προσπάθειες για την εκμετάλλευση των ευάλωτων διακομιστών που ανακαλύφθηκαν.
Πρώτα απ 'όλα: πώς μπορείτε να λάβετε όλες τις διευθύνσεις IP που ανήκουν σε μια συγκεκριμένη χώρα;
Στην πραγματικότητα είναι πολύ απλό. Οι διευθύνσεις IP δεν δημιουργούνται από την ίδια τη χώρα, αλλά κατανέμονται σε αυτήν. Επομένως, υπάρχει μια λίστα (και είναι δημόσια) όλων των χωρών και όλων των IP που ανήκουν σε αυτές.
Ολοι μπορούν και μετά φιλτράρετε το grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, σας επιτρέπει να φέρετε τη λίστα σε πιο εύχρηστη μορφή.
Η Ουκρανία κατέχει σχεδόν τόσες διευθύνσεις IPv4 με την Αυστρία, περισσότερες από 11 εκατομμύρια 11 για την ακρίβεια (για σύγκριση, η Αυστρία έχει 640).
Εάν δεν θέλετε να παίξετε μόνοι σας με διευθύνσεις IP (και δεν πρέπει!), τότε μπορείτε να χρησιμοποιήσετε την υπηρεσία .
Υπάρχουν μη επιδιορθωμένα μηχανήματα Windows στην Ουκρανία που έχουν άμεση πρόσβαση στο Διαδίκτυο;
Φυσικά, ούτε ένας συνειδητός Ουκρανός δεν θα ανοίξει τέτοια πρόσβαση στους υπολογιστές του. Ή θα είναι;
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lΒρέθηκαν 5669 μηχανήματα Windows με άμεση πρόσβαση στο δίκτυο (στην Αυστρία υπάρχουν μόνο 1273, αλλά είναι πολλά).
Ωχ. Υπάρχουν κάποια από αυτά που θα μπορούσαν να δεχθούν επίθεση χρησιμοποιώντας κατορθώματα ETHERNALBLUE, τα οποία είναι γνωστά από το 2017; Δεν υπήρχε ούτε ένα τέτοιο αυτοκίνητο στην Αυστρία και ήλπιζα ότι δεν θα βρισκόταν ούτε στην Ουκρανία. Δυστυχώς, δεν ωφελεί. Βρήκαμε 198 διευθύνσεις IP που δεν έκλεισαν αυτήν την «τρύπα» από μόνα τους.
DNS, DDoS και το βάθος της τρύπας του κουνελιού
Αρκετά με τα Windows. Ας δούμε τι έχουμε με τους διακομιστές DNS, οι οποίοι είναι open-resolvers και μπορούν να χρησιμοποιηθούν για επιθέσεις DDoS.
Λειτουργεί κάπως έτσι. Ο εισβολέας στέλνει ένα μικρό αίτημα DNS και ο ευάλωτος διακομιστής απαντά στο θύμα με ένα πακέτο που είναι 100 φορές μεγαλύτερο. Κεραία! Τα εταιρικά δίκτυα μπορούν γρήγορα να καταρρεύσουν από έναν τέτοιο όγκο δεδομένων και μια επίθεση απαιτεί το εύρος ζώνης που μπορεί να προσφέρει ένα σύγχρονο smartphone. Και υπήρχαν τέτοιες επιθέσεις ακόμα και στο GitHub.
Ας δούμε αν υπάρχουν τέτοιοι διακομιστές στην Ουκρανία.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lΤο πρώτο βήμα είναι να βρείτε αυτά που έχουν ανοιχτή θύρα 53. Ως αποτέλεσμα, έχουμε μια λίστα με 58 διευθύνσεις IP, αλλά αυτό δεν σημαίνει ότι όλες μπορούν να χρησιμοποιηθούν για επίθεση DDoS. Η δεύτερη απαίτηση πρέπει να πληρούται, δηλαδή πρέπει να είναι ανοιχτής επίλυσης.
Για να το κάνουμε αυτό, μπορούμε να χρησιμοποιήσουμε μια απλή εντολή dig και να δούμε ότι μπορούμε να "σκάψουμε" το dig + short test.openresolver.com TXT @ip.of.dns.server. Εάν ο διακομιστής ανταποκρίθηκε με ανίχνευση ανοιχτής ανάλυσης, τότε μπορεί να θεωρηθεί πιθανός στόχος επίθεσης. Οι ανοιχτοί επιλύτες αποτελούν περίπου το 25%, το οποίο είναι συγκρίσιμο με την Αυστρία. Όσον αφορά τον συνολικό αριθμό, αυτό είναι περίπου το 0,02% όλων των ουκρανικών IP.
Τι άλλο μπορείτε να βρείτε στην Ουκρανία;
Χαίρομαι που ρώτησες. Είναι πιο εύκολο (και το πιο ενδιαφέρον για μένα προσωπικά) να κοιτάξω την IP με ανοιχτή θύρα 80 και τι τρέχει σε αυτήν.
διακομιστή ιστού
260 Ουκρανικές IP απαντούν στη θύρα 849 (http). 80 διευθύνσεις απάντησαν θετικά (κατάσταση 125) σε ένα απλό αίτημα GET που μπορεί να στείλει το πρόγραμμα περιήγησής σας. Τα υπόλοιπα παρήγαγαν το ένα ή το άλλο σφάλμα. Είναι ενδιαφέρον ότι 444 διακομιστές εξέδωσαν κατάσταση 200 και οι πιο σπάνιες καταστάσεις ήταν 853 (αίτημα για εξουσιοδότηση διακομιστή μεσολάβησης) και ο εντελώς μη τυπικός 500 (IP όχι στη "λευκή λίστα") για μία απάντηση.
Το Apache είναι απολύτως κυρίαρχο - το χρησιμοποιούν 114 διακομιστές. Η παλαιότερη έκδοση που βρήκα στην Ουκρανία είναι η 544, που κυκλοφόρησε στις 1.3.29 Οκτωβρίου 29 (!!!). Το nginx βρίσκεται στη δεύτερη θέση με 2003 διακομιστές.
11 διακομιστές χρησιμοποιούν το WinCE, το οποίο κυκλοφόρησε το 1996, και ολοκλήρωσαν την επιδιόρθωση το 2013 (υπάρχουν μόνο 4 από αυτούς στην Αυστρία).
Το πρωτόκολλο HTTP/2 χρησιμοποιεί 5 διακομιστές, HTTP/144 - 1.1, HTTP/256 - 836.
Εκτυπωτές... γιατί... γιατί όχι;
2 HP, 5 Epson και 4 Canon, τα οποία είναι προσβάσιμα από το δίκτυο, μερικά από αυτά χωρίς καμία εξουσιοδότηση.
webcams
Δεν είναι είδηση ότι στην Ουκρανία υπάρχουν ΠΟΛΛΕΣ κάμερες που μεταδίδονται στο Διαδίκτυο, συγκεντρωμένες σε διάφορους πόρους. Τουλάχιστον 75 κάμερες μεταδίδονται στο Διαδίκτυο χωρίς καμία προστασία. Μπορείτε να τα κοιτάξετε .
Ποιο είναι το επόμενο;
Η Ουκρανία είναι μια μικρή χώρα, όπως η Αυστρία, αλλά έχει τα ίδια προβλήματα με τις μεγάλες χώρες στον τομέα της πληροφορικής. Πρέπει να κατανοήσουμε καλύτερα τι είναι ασφαλές και τι είναι επικίνδυνο, και οι κατασκευαστές εξοπλισμού πρέπει να παρέχουν ασφαλείς αρχικές διαμορφώσεις για τον εξοπλισμό τους.
Επιπλέον, συλλέγω συνεργαζόμενες εταιρείες (), το οποίο μπορεί να σας βοηθήσει να διασφαλίσετε την ακεραιότητα της δικής σας υποδομής πληροφορικής. Το επόμενο βήμα που σκοπεύω να κάνω είναι να ελέγξω την ασφάλεια των ουκρανικών ιστοσελίδων. Μην αλλάζετε!
Πηγή: www.habr.com