Itävaltalainen Christian Haschek julkaisi helmikuussa mielenkiintoisen artikkelin blogissaan otsikolla . Tietysti kiinnostuin siitä, mitä tapahtuisi, jos tämä tutkimus toistetaan, mutta Ukrainan kanssa. Useita viikkoja ympärivuorokautista tiedonkeruuta, pari päivää vielä artikkelin valmisteluun ja tämän tutkimuksen aikana keskusteluja yhteiskuntamme eri edustajien kanssa, sitten selvennystä, sitten lisätietoa. Ole hyvä ja alta...
TL; DR
Tiedon keräämiseen ei käytetty erityisiä työkaluja (vaikka useat ihmiset neuvoivat käyttämään samaa OpenVAS:ia, jotta tutkimus olisi perusteellisempaa ja informatiivisempaa). Ukrainaan liittyvien IP-osoitteiden turvallisuuden suhteen (lisätietoja siitä, miten se määritettiin alla), tilanne on mielestäni melko huono (ja ehdottomasti huonompi kuin Itävallassa). Löydettyjä haavoittuvia palvelimia ei ole yritetty tai suunniteltu hyödyntämään.
Ensinnäkin: kuinka saat kaikki IP-osoitteet, jotka kuuluvat tiettyyn maahan?
Se on itse asiassa hyvin yksinkertaista. Maa ei itse luo IP-osoitteita, vaan ne jaetaan sille. Siksi on olemassa luettelo (ja se on julkinen) kaikista maista ja kaikista niihin kuuluvista IP-osoitteista.
Kaikki voivat ja suodata se sitten grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, voit tuoda luettelon käyttökelpoisempaan muotoon.
Ukraina omistaa melkein yhtä monta IPv4-osoitetta kuin Itävalta, tarkalleen yli 11 miljoonaa 11 640 409 (vertailun vuoksi, Itävallalla on 11 170 487).
Jos et halua leikkiä IP-osoitteilla itse (eikä pidäkään!), voit käyttää palvelua .
Onko Ukrainassa korjaamattomia Windows-koneita, joilla on suora yhteys Internetiin?
Tietenkään yksikään tietoinen ukrainalainen ei avaa tällaista pääsyä tietokoneisiinsa. Vai tuleeko se olemaan?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lLöytyi 5669 Windows-konetta, joilla on suora yhteys verkkoon (Itävallassa niitä on vain 1273, mutta se on paljon).
Oho. Onko niiden joukossa sellaisia, joihin voitaisiin hyökätä käyttämällä ETHERNALBLUE-hyökkäyksiä, jotka ovat olleet tiedossa vuodesta 2017 lähtien? Itävallassa ei ollut ainuttakaan tällaista autoa, ja toivoin, ettei sitä löytyisi myöskään Ukrainasta. Valitettavasti siitä ei ole hyötyä. Löysimme 198 IP-osoitetta, jotka eivät sulkeneet tätä "aukkoa" itsessään.
DNS, DDoS ja kanin reiän syvyys
Windowsista riittää. Katsotaanpa, mitä meillä on DNS-palvelimilla, jotka ovat avoimia ratkaisuja ja joita voidaan käyttää DDoS-hyökkäyksiin.
Se toimii jotenkin näin. Hyökkääjä lähettää pienen DNS-pyynnön, ja haavoittuva palvelin vastaa uhrille 100 kertaa suuremmalla paketilla. Puomi! Yritysverkot voivat romahtaa nopeasti tällaisesta datamäärästä, ja hyökkäys vaatii nykyaikaisen älypuhelimen tarjoaman kaistanleveyden. Ja sellaisia hyökkäyksiä oli jopa GitHubissa.
Katsotaan, onko Ukrainassa tällaisia palvelimia.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lEnsimmäinen askel on löytää ne, joilla on avoin portti 53. Tämän seurauksena meillä on 58 730 IP-osoitteen luettelo, mutta tämä ei tarkoita, että kaikkia niitä voidaan käyttää DDoS-hyökkäykseen. Toinen vaatimus on täytettävä, nimittäin niiden on oltava avoimia ratkaisuja.
Tätä varten voimme käyttää yksinkertaista dig-komentoa ja nähdä, että voimme "kaivaa" dig + lyhyt test.openresolver.com TXT @ip.of.dns.server. Jos palvelin vastasi avoimella resolverilla, sitä voidaan pitää mahdollisena hyökkäyksen kohteena. Avoimia ratkaisejia on noin 25 %, mikä on verrattavissa Itävaltaan. Kokonaismäärällä mitattuna tämä on noin 0,02 % kaikista Ukrainan IP-osoitteista.
Mitä muuta voit löytää Ukrainasta?
Kiva kun kysyit. On helpompaa (ja mielenkiintoisinta minulle henkilökohtaisesti) tarkastella IP-osoitetta, jossa on avoin portti 80, ja mitä siinä tapahtuu.
verkkopalvelin
260 849 ukrainalaista IP-osoitetta vastaa porttiin 80 (http). 125 444 osoitetta vastasi myönteisesti (200 tila) yksinkertaiseen GET-pyyntöön, jonka selaimesi voi lähettää. Loput aiheuttivat yhden tai toisen virheen. On mielenkiintoista, että 853 palvelinta antoi tilan 500, ja harvinaisimmat tilat olivat 407 (välityspalvelimen valtuutuspyyntö) ja täysin epästandardi 602 (IP ei ole "valkoisella listalla") yhdelle vastaukselle.
Apache on ehdottoman hallitseva - 114 544 palvelinta käyttää sitä. Vanhin Ukrainasta löytämäni versio on 1.3.29, julkaistu 29. lokakuuta 2003 (!!!). nginx on toisella sijalla 61 659 palvelimella.
11 palvelinta käyttää WinCE:tä, joka julkaistiin vuonna 1996, ja ne viimeistelivät sen vuonna 2013 (täitä on vain 4 Itävallassa).
HTTP/2-protokolla käyttää 5 144 palvelinta, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Tulostimet... koska... miksi ei?
2 HP, 5 Epson ja 4 Canon, jotka ovat käytettävissä verkosta, joista osa ilman lupaa.
web-kameroita
Ei ole uutinen, että Ukrainassa on PALJON web-kameroita, jotka lähettävät itsensä Internetiin ja jotka on kerätty eri resursseihin. Ainakin 75 kameraa lähettää itsensä Internetiin ilman suojausta. Voit katsoa niitä .
Mitä seuraavaksi?
Ukraina on pieni maa, kuten Itävalta, mutta sillä on samat ongelmat kuin suurilla IT-alan mailla. Meidän on kehitettävä parempi ymmärrys siitä, mikä on turvallista ja mikä vaarallista, ja laitevalmistajien on tarjottava turvalliset alkukokoonpanot laitteilleen.
Lisäksi kerään kumppaniyrityksiä (), jonka avulla voit varmistaa oman IT-infrastruktuurisi eheyden. Seuraava askel, jonka aion tehdä, on tarkistaa ukrainalaisten verkkosivustojen tietoturva. Älä vaihda!
Lähde: will.com