En februaro, la aŭstra Christian Haschek publikigis interesan artikolon en sia blogo titolita . Kompreneble, mi interesiĝis pri tio, kio okazus, se tiu ĉi studo estus ripetita, sed kun Ukrainio. Kelkajn semajnojn da ĉiutage kolekto de informoj, kelkajn tagojn pli por prepari la artikolon, kaj dum ĉi tiu esplorado, konversacioj kun diversaj reprezentantoj de nia socio, poste klarigi, poste ekscii pli. Bonvolu sub la tranĉo...
TL; DR
Neniuj specialaj iloj estis uzataj por kolekti informojn (kvankam pluraj homoj konsilis uzi la saman OpenVAS por fari la esploradon pli ĝisfunda kaj informa). Kun la sekureco de IP-oj kiuj rilatas al Ukrainio (pli pri kiel ĝi estis determinita sube), la situacio, laŭ mi, estas sufiĉe malbona (kaj certe pli malbona ol kio okazas en Aŭstrio). Neniuj provoj estis faritaj aŭ planitaj por ekspluati la malkovritajn vundeblajn servilojn.
Antaŭ ĉio: kiel vi povas akiri ĉiujn IP-adresojn kiuj apartenas al certa lando?
Ĝi estas efektive tre simpla. IP-adresoj ne estas generitaj de la lando mem, sed asignitaj al ĝi. Tial, estas listo (kaj ĝi estas publika) de ĉiuj landoj kaj ĉiuj IP-oj kiuj apartenas al ili.
Ĉiuj povas kaj poste filtru ĝin grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, permesas al vi alporti la liston en pli uzeblan formon.
Ukrainio posedas preskaŭ tiom da IPv4-adresoj kiom Aŭstrio, pli ol 11 milionoj 11 por esti ĝusta (por komparo, Aŭstrio havas 640).
Se vi mem ne volas ludi kun IP-adresoj (kaj vi ne devus!), tiam vi povas uzi la servon .
Ĉu estas neflakitaj Vindozaj maŝinoj en Ukrainio, kiuj havas rektan aliron al Interreto?
Kompreneble, eĉ ne unu konscia ukraino malfermos tian aliron al siaj komputiloj. Aŭ ĉu estos?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Vindozaj maŝinoj kun rekta aliro al la reto estis trovitaj (en Aŭstrio estas nur 1273, sed tio estas multe).
Ho! Ĉu ekzistas iuj el ili, kiuj povus esti atakitaj uzante ekspluataĵojn de ETHERNALBLUE, kiuj estas konataj ekde 2017? Tia aŭtomobilo ne estis en Aŭstrio, kaj mi esperis, ke ĝi ankaŭ ne troviĝos en Ukrainio. Bedaŭrinde, ĝi ne utilas. Ni trovis 198 IP-adresojn, kiuj ne fermis ĉi tiun "truon" en si mem.
DNS, DDoS kaj la profundo de la kuniklotruo
Sufiĉe pri Vindozo. Ni vidu, kion ni havas kun DNS-serviloj, kiuj estas malfermaj solvantoj kaj uzeblaj por DDoS-atakoj.
Ĝi funkcias io tia. La atakanto sendas malgrandan DNS-peton, kaj la vundebla servilo respondas al la viktimo per pakaĵeto, kiu estas 100 fojojn pli granda. Eksplodo! Korporaciaj retoj povas rapide kolapsi de tia volumo de datumoj, kaj atako postulas la bendolarĝon, kiun moderna inteligenta telefono povas provizi. Kaj estis tiaj atakoj eĉ sur GitHub.
Ni vidu ĉu ekzistas tiaj serviloj en Ukrainio.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lLa unua paŝo estas trovi tiujn, kiuj havas malfermitan havenon 53. Kiel rezulto, ni havas liston de 58 IP-adresoj, sed ĉi tio ne signifas, ke ĉiuj ili povas esti uzataj por DDoS-atako. La dua postulo devas esti plenumita, nome ili devas esti malfermitaj solveblaj.
Por fari tion, ni povas uzi simplan dig-komandon kaj vidi, ke ni povas "dig" dig + mallonga test.openresolver.com TXT @ip.of.dns.server. Se la servilo respondis per malferma-solvilo-detektita, tiam ĝi povas esti konsiderata ebla celo de atako. Malfermaj solvantoj konsistigas proksimume 25%, kio estas komparebla al Aŭstrio. Laŭ totala nombro, ĉi tio estas ĉirkaŭ 0,02% de ĉiuj ukrainaj IP-oj.
Kion alian vi povas trovi en Ukrainio?
Mi ĝojas, ke vi demandis. Estas pli facile (kaj la plej interesa por mi persone) rigardi la IP kun malfermita haveno 80 kaj kio funkcias sur ĝi.
retservilo
260 ukrainaj IP-oj respondas al haveno 849 (http). 80 adresoj respondis pozitive (125 statuso) al simpla GET-peto kiun via retumilo povas sendi. La resto produktis unu aŭ alian eraron. Estas interese, ke 444 serviloj donis statuson de 200, kaj la plej maloftaj statusoj estis 853 (peto por prokura rajtigo) kaj la tute ne-norma 500 (IP ne en la "blanka listo") por unu respondo.
Apache estas absolute domina - 114 serviloj uzas ĝin. La plej malnova versio, kiun mi trovis en Ukrainio, estas 544, publikigita la 1.3.29-an de oktobro 29 (!!!). nginx estas en la dua loko kun 2003 serviloj.
11 serviloj uzas WinCE, kiu estis publikigita en 1996, kaj ili finis fliki ĝin en 2013 (estas nur 4 el tiuj en Aŭstrio).
La HTTP/2 protokolo uzas 5 servilojn, HTTP/144 - 1.1, HTTP/256 - 836.
Presiloj... ĉar... kial ne?
2 HP, 5 Epson kaj 4 Canon, kiuj estas alireblaj de la reto, iuj el ili sen ajna rajtigo.
retkameraoj
Ne estas novaĵo, ke en Ukrainio estas MULTE da retkameraoj, kiuj elsendas sin al Interreto, kolektitaj per diversaj rimedoj. Almenaŭ 75 fotiloj elsendas sin al la Interreto sen ajna protekto. Vi povas rigardi ilin .
Kio sekvas?
Ukrainio estas malgranda lando, kiel Aŭstrio, sed havas la samajn problemojn kiel grandaj landoj en la IT-sektoro. Ni devas evoluigi pli bonan komprenon pri kio estas sekura kaj kio estas danĝera, kaj ekipaĵproduktantoj devas provizi sekurajn komencajn agordojn por sia ekipaĵo.
Krome mi kolektas partnerajn kompaniojn (), kiu povas helpi vin certigi la integrecon de via propra IT-infrastrukturo. La sekva paŝo, kiun mi planas fari, estas revizii la sekurecon de ukrainaj retejoj. Ne ŝanĝu!
fonto: www.habr.com