Veebruaris avaldas austerlane Christian Haschek oma ajaveebis huvitava artikli pealkirjaga . Muidugi hakkas mind huvitama, mis saab siis, kui seda uuringut korratakse, aga Ukrainaga. Mitu nädalat ööpäevaringset info kogumist, paar päeva veel artikli ettevalmistamiseks ja selle uurimistöö käigus vestlused meie ühiskonna erinevate esindajatega, siis täpsustamine, siis uurimine. Palun lõike alla...
TL; DR
Teabe kogumiseks ei kasutatud spetsiaalseid tööriistu (kuigi mitmed inimesed soovitasid uurimistöö põhjalikumaks ja informatiivsemaks muutmiseks kasutada sama OpenVAS-i). Ukrainaga seotud IP-de turvalisusega (rohkem selle määramise kohta allpool) on olukord minu arvates üsna halb (ja kindlasti hullem kui Austrias). Avastatud haavatavaid servereid ei ole tehtud ega plaanitud ära kasutada.
Esiteks: kuidas saada kõik IP-aadressid, mis kuuluvad teatud riigile?
See on tegelikult väga lihtne. IP-aadresse ei genereeri riik ise, vaid need eraldatakse talle. Seetõttu on olemas nimekiri (ja see on avalik) kõigist riikidest ja kõigist neile kuuluvatest IP-dest.
Igaüks saab ja seejärel filtreerige see grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, võimaldab tuua loendi kasutatavamasse vormi.
Ukrainale kuulub peaaegu sama palju IPv4-aadresse kui Austriale, täpsemalt üle 11 miljoni 11 640 409 (võrdluseks, Austrial on 11 170 487).
Kui te ise IP-aadressidega mängida ei soovi (ja ei peaks!), siis saate teenust kasutada .
Kas Ukrainas on paigatamata Windowsi masinaid, millel on otsene juurdepääs Internetile?
Loomulikult ei ava ükski teadlik ukrainlane sellist juurdepääsu oma arvutitele. Või saab olema?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lLeiti 5669 Windowsi masinat, millel on otsene juurdepääs võrgule (Austrias on neid ainult 1273, kuid seda on palju).
Oih. Kas nende hulgas on kedagi, keda saaks rünnata 2017. aastast tuntud ETHERNALBLUE rünnakute abil? Austrias polnud ainsatki sellist autot ja ma lootsin, et seda ei leia ka Ukrainast. Kahjuks pole sellest kasu. Leidsime 198 IP-aadressi, mis seda "auku" endas ei sulgenud.
DNS, DDoS ja jäneseaugu sügavus
Aitab Windowsi kohta. Vaatame, mis meil on DNS-serveritega, mis on avatud lahendusega ja mida saab kasutada DDoS-i rünnakute jaoks.
See töötab midagi sellist. Ründaja saadab väikese DNS-päringu ja haavatav server vastab ohvrile 100 korda suurema paketiga. buum! Ettevõtete võrgud võivad sellise andmemahu tõttu kiiresti kokku kukkuda ja rünnak nõuab ribalaiust, mida tänapäevane nutitelefon suudab pakkuda. Ja selliseid rünnakuid oli isegi GitHubis.
Vaatame, kas Ukrainas selliseid servereid leidub.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lEsimene samm on leida need, millel on avatud port 53. Selle tulemusena on meil loendis 58 730 IP-aadressi, kuid see ei tähenda, et neid kõiki saaks DDoS-i rünnakuks kasutada. Teine nõue peab olema täidetud, nimelt peavad need olema avatud lahendusega.
Selleks saame kasutada lihtsat dig-käsku ja näha, et saame “kaevata” dig + lühike test.openresolver.com TXT @ip.of.dns.server. Kui server vastas avatud lahendiga tuvastatud, siis võib seda pidada potentsiaalseks ründeobjektiks. Avatud lahendajaid on ligikaudu 25%, mis on võrreldav Austriaga. Koguarvu järgi on see umbes 0,02% kõigist Ukraina IP-dest.
Mida veel Ukrainast leida?
Tore, et küsisid. Lihtsam (ja minu jaoks isiklikult kõige huvitavam) on vaadata avatud pordiga 80 IP-d ja seda, mis sellel töötab.
veebiserver
260 849 Ukraina IP-d vastavad pordile 80 (http). 125 444 aadressi vastas positiivselt (200 olek) lihtsale GET-päringule, mille teie brauser saab saata. Ülejäänud tekitasid ühe või teise vea. Huvitav on see, et 853 serverit andsid ühe vastuse olekuks 500 ja kõige haruldasemad olekud olid 407 (puhverserveri volituse taotlus) ja täiesti ebastandardne 602 (IP pole “valges nimekirjas”).
Apache on absoluutselt domineeriv – seda kasutab 114 544 serverit. Vanim versioon, mille Ukrainas leidsin, on 1.3.29, mis ilmus 29. oktoobril 2003 (!!!). nginx on 61 659 serveriga teisel kohal.
11 serverit kasutavad WinCE-d, mis ilmus 1996. aastal ja nad lõpetasid selle lappimise 2013. aastal (Austrias on neid ainult 4).
HTTP/2 protokoll kasutab 5 serverit, HTTP/144 – 1.1 256, HTTP/836 – 1 13.
Printerid... sest... miks mitte?
2 HP, 5 Epson ja 4 Canon, mis on võrgust ligipääsetavad, mõned neist ilma igasuguse volituseta.
veebikaamerad
Pole uudis, et Ukrainas on PALJU veebikaameraid, mis edastavad end Internetti ja mis on kogutud erinevatele ressurssidele. Vähemalt 75 kaamerat edastavad end ilma igasuguse kaitseta Internetti. Saate neid vaadata .
Mis edasi?
Ukraina on väike riik, nagu Austria, kuid IT-sektoris on samad probleemid nagu suurtel riikidel. Peame arendama paremat arusaamist sellest, mis on ohutu ja mis ohtlik, ning seadmete tootjad peavad pakkuma oma seadmetele ohutuid algkonfiguratsioone.
Lisaks kogun partnerettevõtteid (), mis aitab teil tagada teie enda IT-infrastruktuuri terviklikkuse. Järgmise sammuna kavatsen üle vaadata Ukraina veebisaitide turvalisuse. Ära vaheta!
Allikas: www.habr.com