En février, l'Autrichien Christian Haschek a publié sur son blog un article intéressant intitulé . Bien sûr, je me suis intéressé à ce qui se passerait si cette étude était répétée, mais avec l'Ukraine. Plusieurs semaines de collecte d'informations XNUMX heures sur XNUMX, encore quelques jours pour préparer l'article, et lors de cette recherche, des conversations avec différents représentants de notre société, puis clarifier, puis en savoir plus. S'il vous plaît, sous la coupe...
TL; DR
Aucun outil spécial n'a été utilisé pour collecter des informations (bien que plusieurs personnes aient conseillé d'utiliser le même OpenVAS pour rendre la recherche plus approfondie et informative). Avec la sécurité des adresses IP liées à l'Ukraine (plus d'informations sur la façon dont cela a été déterminé ci-dessous), la situation, à mon avis, est assez mauvaise (et certainement pire que ce qui se passe en Autriche). Aucune tentative n'a été faite ou prévue pour exploiter les serveurs vulnérables découverts.
Tout d’abord : comment obtenir toutes les adresses IP appartenant à un certain pays ?
C'est en fait très simple. Les adresses IP ne sont pas générées par le pays lui-même, mais lui sont attribuées. Il existe donc une liste (et elle est publique) de tous les pays et de toutes les adresses IP qui leur appartiennent.
Tout le monde peut puis filtrez-le grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, vous permet de présenter la liste sous une forme plus utilisable.
L'Ukraine possède presque autant d'adresses IPv4 que l'Autriche, plus de 11 millions 11 640 409 pour être exact (à titre de comparaison, l'Autriche en possède 11 170 487).
Si vous ne voulez pas jouer vous-même avec les adresses IP (et vous ne devriez pas !), alors vous pouvez utiliser le service .
Existe-t-il en Ukraine des machines Windows non corrigées qui ont un accès direct à Internet ?
Bien entendu, pas un seul Ukrainien conscient n’ouvrira un tel accès à son ordinateur. Ou le sera-t-il ?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 machines Windows avec accès direct au réseau ont été trouvées (en Autriche il n'y en a que 1273, mais c'est beaucoup).
Oops. Y en a-t-il parmi eux qui pourraient être attaqués à l’aide des exploits ETHERNALBLUE, connus depuis 2017 ? Il n'y avait pas une seule voiture de ce type en Autriche et j'espérais qu'on n'en trouverait pas non plus en Ukraine. Malheureusement, cela ne sert à rien. Nous avons trouvé 198 adresses IP qui ne comblaient pas ce « trou » en elles-mêmes.
DNS, DDoS et la profondeur du terrier du lapin
Assez parlé de Windows. Voyons ce que nous avons avec les serveurs DNS, qui sont des résolveurs ouverts et peuvent être utilisés pour des attaques DDoS.
Cela fonctionne quelque chose comme ça. L'attaquant envoie une petite requête DNS et le serveur vulnérable répond à la victime avec un paquet 100 fois plus volumineux. Boom! Les réseaux d’entreprise peuvent rapidement s’effondrer à cause d’un tel volume de données, et une attaque nécessite la bande passante qu’un smartphone moderne peut fournir. Et il y a eu de telles attaques même sur GitHub.
Voyons s'il existe de tels serveurs en Ukraine.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lLa première étape consiste à trouver ceux qui ont le port 53 ouvert. En conséquence, nous disposons d’une liste de 58 730 adresses IP, mais cela ne signifie pas qu’elles peuvent toutes être utilisées pour une attaque DDoS. La deuxième condition doit être remplie, à savoir qu'ils doivent être à résolution ouverte.
Pour ce faire, nous pouvons utiliser une simple commande dig et voir que nous pouvons « creuser » dig + court test.openresolver.com TXT @ip.of.dns.server. Si le serveur a répondu avec open-resolver-detected, il peut alors être considéré comme une cible potentielle d'attaque. Les résolveurs ouverts représentent environ 25 %, ce qui est comparable à l'Autriche. En termes de nombre total, cela représente environ 0,02 % de toutes les adresses IP ukrainiennes.
Que pouvez-vous trouver d’autre en Ukraine ?
Heureux que vous ayez demandé. Il est plus facile (et le plus intéressant pour moi personnellement) de regarder l’adresse IP avec le port 80 ouvert et ce qui s’y déroule.
serveur Web
260 849 IP ukrainiennes répondent au port 80 (http). 125 444 adresses ont répondu positivement (200 statuts) à une simple requête GET que votre navigateur peut envoyer. Le reste a produit l’une ou l’autre erreur. Il est intéressant de noter que 853 serveurs ont émis un statut de 500, et les statuts les plus rares étaient 407 (demande d'autorisation de proxy) et le 602 totalement non standard (IP non dans la « liste blanche ») pour une réponse.
Apache est absolument dominant : 114 544 serveurs l'utilisent. La version la plus ancienne que j'ai trouvée en Ukraine est la 1.3.29, sortie le 29 octobre 2003 (!!!). nginx arrive en deuxième position avec 61 659 serveurs.
11 serveurs utilisent WinCE, sorti en 1996, et ils ont fini de le patcher en 2013 (il n'y en a que 4 en Autriche).
Le protocole HTTP/2 utilise 5 144 serveurs, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Des imprimantes... parce que... pourquoi pas ?
2 HP, 5 Epson et 4 Canon, accessibles depuis le réseau, certains sans aucune autorisation.
webcams
Ce n'est pas une nouveauté qu'en Ukraine, il existe BEAUCOUP de webcams qui se diffusent sur Internet, collectées sur diverses ressources. Au moins 75 caméras diffusent sur Internet sans aucune protection. Vous pouvez les regarder .
Quelle est la prochaine?
L'Ukraine est un petit pays, comme l'Autriche, mais elle connaît les mêmes problèmes que les grands pays dans le secteur informatique. Nous devons mieux comprendre ce qui est sûr et ce qui est dangereux, et les fabricants d’équipements doivent fournir des configurations initiales sûres pour leurs équipements.
De plus, je collectionne les entreprises partenaires (), qui peut vous aider à garantir l’intégrité de votre propre infrastructure informatique. La prochaine étape que je prévois de faire est de revoir la sécurité des sites Web ukrainiens. Ne changez pas !
Source: habr.com