U veljači je Austrijanac Christian Haschek na svom blogu objavio zanimljiv članak pod naslovom . Naravno, zainteresiralo me što bi se dogodilo da se ovo istraživanje ponovi, ali s Ukrajinom. Nekoliko tjedana danonoćnog prikupljanja informacija, još par dana za pripremu članka, a tijekom ovog istraživanja razgovori s raznim predstavnicima našeg društva, pa razjašnjavanje, pa saznavanje. Molim vas pod rez...
TL; DR
Za prikupljanje informacija nisu korišteni posebni alati (iako je nekoliko ljudi savjetovalo korištenje istog OpenVAS-a kako bi istraživanje bilo temeljitije i informativnije). Sa sigurnošću IP-ova koji se odnose na Ukrajinu (više o tome kako je utvrđeno u nastavku), situacija je, po mom mišljenju, prilično loša (i definitivno gora od onoga što se događa u Austriji). Nisu učinjeni niti planirani pokušaji iskorištavanja otkrivenih ranjivih poslužitelja.
Prije svega: kako možete dobiti sve IP adrese koje pripadaju određenoj zemlji?
Zapravo je vrlo jednostavno. IP adrese ne generira sama država, već joj se dodjeljuju. Dakle, postoji popis (i on je javan) svih zemalja i svih IP-ova koji im pripadaju.
Svatko može a zatim ga filtrirajte grep Ukrajina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, omogućuje vam da popis dovedete u upotrebljiviji oblik.
Ukrajina posjeduje gotovo isto toliko IPv4 adresa koliko i Austrija, točnije više od 11 milijuna 11 (usporedbe radi, Austrija ih ima 640).
Ako se ne želite sami igrati s IP adresama (a ne biste trebali!), onda možete koristiti uslugu .
Ima li u Ukrajini Windows strojeva bez zakrpa koji imaju izravan pristup Internetu?
Naravno, niti jedan svjesni Ukrajinac neće otvoriti takav pristup svojim računalima. Ili će biti?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lPronađeno je 5669 Windows računala s izravnim pristupom mreži (u Austriji ih ima samo 1273, ali i to je puno).
ups Postoje li među njima neki koji bi mogli biti napadnuti pomoću ETHERNALBLUE exploita, koji su poznati od 2017.? U Austriji nije bilo niti jednog takvog automobila, a nadao sam se da ga neće biti ni u Ukrajini. Nažalost, nema koristi. Pronašli smo 198 IP adresa koje same po sebi nisu zatvorile ovu “rupu”.
DNS, DDoS i dubina zečje rupe
Dosta o Windowsima. Pogledajmo što imamo s DNS poslužiteljima, koji su otvoreni razlučivači i mogu se koristiti za DDoS napade.
Djeluje otprilike ovako. Napadač šalje mali DNS zahtjev, a ranjivi poslužitelj odgovara žrtvi paketom koji je 100 puta veći. Boom! Korporacijske mreže mogu se brzo urušiti zbog takve količine podataka, a napad zahtijeva propusnost koju može pružiti moderan pametni telefon. A takvih je napada bilo čak i na GitHubu.
Da vidimo postoje li takvi poslužitelji u Ukrajini.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPrvi korak je pronaći one koji imaju otvoren port 53. Kao rezultat, imamo popis od 58 IP adresa, ali to ne znači da se sve one mogu koristiti za DDoS napad. Drugi uvjet mora biti ispunjen, naime moraju biti open-resolver.
Da bismo to učinili, možemo upotrijebiti jednostavnu naredbu dig i vidjeti da možemo "dig" dig + kratki test.openresolver.com TXT @ip.of.dns.server. Ako je poslužitelj odgovorio s open-resolver-detected, tada se može smatrati potencijalnom metom napada. Otvoreni rezolveri čine oko 25%, što je usporedivo s Austrijom. Što se tiče ukupnog broja, to je oko 0,02% svih ukrajinskih IP-ova.
Što još možete pronaći u Ukrajini?
Drago mi je da ste pitali. Lakše je (i meni osobno najzanimljivije) pogledati IP s otvorenim portom 80 i što se na njemu pokreće.
web poslužitelj
260 ukrajinskih IP-ova odgovara na port 849 (http). 80 adrese odgovorile su pozitivno (125 status) na jednostavan GET zahtjev koji vaš preglednik može poslati. Ostatak je proizveo jednu ili drugu grešku. Zanimljivo je da su 444 servera izdala status 200, a najrjeđi statusi su bili 853 (zahtjev za proxy autorizaciju) i potpuno nestandardni 500 (IP nije na “bijeloj listi”) za jedan odgovor.
Apache je apsolutno dominantan - koristi ga 114 poslužitelja. Najstarija verzija koju sam pronašao u Ukrajini je 544, objavljena 1.3.29. listopada 29. (!!!). nginx je na drugom mjestu sa 2003 servera.
11 poslužitelja koristi WinCE, koji je objavljen 1996., a završili su s krpanjem 2013. (u Austriji ih ima samo 4).
HTTP/2 protokol koristi 5 poslužitelja, HTTP/144 - 1.1, HTTP/256 - 836.
Printeri... jer... zašto ne?
2 HP-a, 5 Epsona i 4 Canona, koji su dostupni s mreže, neki od njih neovlašteni.
web kamere
Nije novost da u Ukrajini postoji MNOGO web kamera koje se emitiraju na Internet, prikupljenih na raznim resursima. Najmanje 75 kamera emitira se na Internet bez ikakve zaštite. Možete ih pogledati .
Što je sljedeće?
Ukrajina je mala zemlja, poput Austrije, ali ima iste probleme kao i velike zemlje u IT sektoru. Moramo razviti bolje razumijevanje o tome što je sigurno, a što opasno, a proizvođači opreme moraju osigurati sigurne početne konfiguracije za svoju opremu.
Osim toga, prikupljam partnerske tvrtke (), koji vam mogu pomoći osigurati integritet vaše vlastite IT infrastrukture. Sljedeći korak koji planiram učiniti jest provjeriti sigurnost ukrajinskih web stranica. Ne mijenjaj se!
Izvor: www.habr.com