En febreiro, o austríaco Christian Haschek publicou no seu blog un interesante artigo titulado . Por suposto, interesoume que pasaría se se repetise este estudo, pero con Ucraína. Varias semanas de recollida de información as XNUMX horas, un par de días máis para preparar o artigo e, durante esta investigación, conversacións con diversos representantes da nosa sociedade, aclaración e posterior información. Por favor, baixo o corte...
TL, RD
Non se utilizaron ferramentas especiais para recoller información (aínda que varias persoas aconsellaron usar o mesmo OpenVAS para facer a investigación máis exhaustiva e informativa). Coa seguridade das IP que se relacionan con Ucraína (máis sobre como se determinou a continuación), a situación, na miña opinión, é bastante mala (e definitivamente peor que o que está a suceder en Austria). Non se realizou nin planeou ningún intento de explotar os servidores vulnerables descubertos.
Primeiro de todo: como podes obter todos os enderezos IP que pertencen a un determinado país?
En realidade é moi sinxelo. Os enderezos IP non son xerados polo propio país, senón que son asignados a el. Polo tanto, hai unha lista (e é pública) de todos os países e todas as IP que lles pertencen.
Todo o mundo pode e despois filtralo grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, permítelle levar a lista a unha forma máis utilizable.
Ucraína posúe case tantos enderezos IPv4 como Austria, máis de 11 millóns 11 para ser exactos (para comparación, Austria ten 640).
Se non queres xogar con enderezos IP ti mesmo (e non deberías!), podes usar o servizo .
Hai máquinas Windows sen parchear en Ucraína que teñan acceso directo a Internet?
Por suposto, nin un só ucraíno consciente abrirá ese acceso aos seus ordenadores. Ou será?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lAtopáronse 5669 máquinas Windows con acceso directo á rede (en Austria só hai 1273, pero iso é moito).
Vaia. Hai algún entre eles que poida ser atacado usando exploits ETHERNALBLUE, que se coñecen desde 2017? Non había nin un só coche deste tipo en Austria, e esperaba que tampouco se atopase en Ucraína. Desafortunadamente, non serve de nada. Atopamos 198 enderezos IP que non pecharon este "burato" por si mesmos.
DNS, DDoS e a profundidade da madriguera do coello
Basta con Windows. Vexamos o que temos cos servidores DNS, que son resolutores abertos e poden usarse para ataques DDoS.
Funciona algo así. O atacante envía unha pequena solicitude de DNS e o servidor vulnerable responde á vítima cun paquete 100 veces maior. Estrondo! As redes corporativas poden colapsar rapidamente a partir de tal volume de datos e un ataque require o ancho de banda que pode proporcionar un teléfono intelixente moderno. E houbo tales ataques mesmo en GitHub.
A ver se hai servidores deste tipo en Ucraína.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lO primeiro paso é atopar aqueles que teñan o porto aberto 53. Como resultado, temos unha lista de 58 enderezos IP, pero isto non significa que todos se poidan usar para un ataque DDoS. Debe cumprirse o segundo requisito, é dicir, deben ser de resolución aberta.
Para iso, podemos usar un simple comando dig e ver que podemos "dig" dig + short test.openresolver.com TXT @ip.of.dns.server. Se o servidor respondeu con open-resolver-detected, entón pódese considerar un obxectivo potencial de ataque. Os resolutores abertos representan aproximadamente o 25%, o que é comparable a Austria. En termos de número total, isto é preto do 0,02% de todos os IP ucraínos.
Que máis podes atopar en Ucraína?
Alégrome de que preguntases. É máis fácil (e o máis interesante para min persoalmente) mirar a IP co porto aberto 80 e o que se está a executar nel.
servidor web
260 IPs ucraínas responden ao porto 849 (http). 80 enderezos responderon positivamente (125 estado) a unha simple solicitude GET que pode enviar o teu navegador. O resto produciu un ou outro erro. É interesante que os servidores 444 emitiron un estado de 200, e os estados máis raros foron 853 (solicitude de autorización de proxy) e o completamente non estándar 500 (IP non na "lista branca") para unha resposta.
Apache é absolutamente dominante: utilízano 114 servidores. A versión máis antiga que atopei en Ucraína é a 544, publicada o 1.3.29 de outubro de 29 (!!!). nginx ocupa o segundo lugar con 2003 servidores.
11 servidores usan WinCE, que foi lanzado en 1996, e remataron de aplicalo en 2013 (só hai 4 destes en Austria).
O protocolo HTTP/2 usa 5 servidores, HTTP/144 - 1.1, HTTP/256 - 836.
Impresoras... porque... por que non?
2 HP, 5 Epson e 4 Canon, que son accesibles desde a rede, algúns deles sen ningunha autorización.
cámaras web
Non é noticia que en Ucraína haxa MOITAS cámaras web que se transmiten a Internet, recollidas en varios recursos. Polo menos 75 cámaras retransmítense a Internet sen ningunha protección. Podes miralos .
Cal é o próximo?
Ucraína é un país pequeno, como Austria, pero ten os mesmos problemas que os grandes países do sector informático. Necesitamos desenvolver unha mellor comprensión do que é seguro e do que é perigoso, e os fabricantes de equipos deben proporcionar configuracións iniciais seguras para os seus equipos.
Ademais, colecciono empresas colaboradoras (), que pode axudarche a garantir a integridade da túa propia infraestrutura de TI. O seguinte paso que penso facer é revisar a seguridade dos sitios web ucraínos. Non cambies!
Fonte: www.habr.com