Februárban az osztrák Christian Haschek érdekes cikket közölt blogján címmel . Természetesen elkezdett érdekelni, mi lesz, ha ezt a tanulmányt megismétlik, de Ukrajnával. Több hét éjjel-nappali információgyűjtés, még pár nap a cikk elkészítésére, és e kutatás során társadalmunk különböző képviselőivel folytatott beszélgetések, majd pontosítás, majd tájékozódás. Kérem a vágás alatt...
TL, DR
Az információgyűjtéshez nem használtak speciális eszközöket (bár többen ugyanazt az OpenVAS-t javasolták, hogy a kutatás alaposabb és informatívabb legyen). Az Ukrajnával kapcsolatos IP-k biztonságát tekintve (az alábbiakban bővebben arról, hogyan határozták meg) a helyzet véleményem szerint meglehetősen rossz (és határozottan rosszabb, mint ami Ausztriában történik). Nem történtek vagy nem terveztek kísérleteket a felfedezett sebezhető szerverek kihasználására.
Először is: hogyan szerezheti meg az összes IP-címet, amely egy adott országhoz tartozik?
Valójában nagyon egyszerű. Az IP-címeket nem maga az ország állítja elő, hanem hozzárendeli. Ezért van egy lista (és ez nyilvános) az összes országról és a hozzájuk tartozó összes IP-ről.
Mindenki tud majd szűrje ki grep Ukrajna IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, lehetővé teszi a lista használhatóbb formába hozását.
Ukrajna csaknem annyi IPv4-címet birtokol, mint Ausztria, pontosabban több mint 11 millió 11 640 409 (összehasonlításképpen Ausztria 11 170 487-et).
Ha Ön nem szeretne IP-címekkel játszani (és nem is szabad!), akkor használhatja a szolgáltatást .
Vannak Ukrajnában olyan javítatlan Windows-gépek, amelyek közvetlen hozzáféréssel rendelkeznek az internethez?
Természetesen egyetlen tudatos ukrán sem nyit ilyen hozzáférést a számítógépéhez. Vagy az lesz?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Windowsos gépet találtak, amelyek közvetlen hozzáféréssel rendelkeznek a hálózathoz (Ausztriában csak 1273, de ez sok).
Hoppá. Vannak köztük olyanok, amelyeket meg lehetne támadni a 2017 óta ismert ETHERNALBLUE exploitokkal? Ausztriában egyetlen ilyen autó sem volt, és reméltem, hogy Ukrajnában sem találják meg. Sajnos semmi haszna. 198 olyan IP-címet találtunk, amely nem zárta be önmagában ezt a „lyukat”.
DNS, DDoS és a nyúllyuk mélysége
Elég a Windowsról. Nézzük meg, mi a helyzet a DNS-kiszolgálókkal, amelyek nyílt-feloldók és DDoS-támadásokra használhatók.
Valahogy így működik. A támadó kis DNS-kérést küld, a sebezhető szerver pedig százszor nagyobb csomaggal válaszol az áldozatnak. Bumm! A vállalati hálózatok gyorsan összeomlhatnak ekkora adatmennyiségtől, és egy támadáshoz olyan sávszélességre van szükség, amelyet egy modern okostelefon képes biztosítani. És voltak ilyen támadások még a GitHubon is.
Lássuk, vannak-e ilyen szerverek Ukrajnában.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lAz első lépés az, hogy megkeressük azokat, amelyek nyitott 53-as porttal rendelkeznek. Ennek eredményeként egy 58 730 IP-címet tartalmazó listánk áll rendelkezésünkre, de ez nem jelenti azt, hogy mindegyik használható DDoS támadásra. A második követelménynek teljesülnie kell, nevezetesen nyílt feloldónak kell lennie.
Ehhez használhatunk egy egyszerű dig parancsot, és láthatjuk, hogy tudunk „dig” dig + rövid test.openresolver.com TXT @ip.of.dns.server. Ha a szerver nyitott feloldó észleléssel válaszolt, akkor potenciális támadási célpontnak tekinthető. A nyitott rezolverek körülbelül 25%-át teszik ki, ami Ausztriához hasonlítható. A teljes számot tekintve ez az összes ukrán IP körülbelül 0,02%-a.
Mit találhat még Ukrajnában?
Örülök, hogy megkérdezted. Egyszerűbb (és személy szerint számomra a legérdekesebb) megnézni az IP-t nyitott 80-as porttal és azt, hogy mi fut rajta.
web szerver
260 849 ukrán IP válaszol a 80-as portra (http). 125 444 cím válaszolt pozitívan (200 állapot) egy egyszerű GET-kérésre, amelyet a böngészője el tud küldeni. A többiek ilyen vagy olyan hibát produkáltak. Érdekesség, hogy 853 szerver adott ki 500-as állapotot, és a legritkább állapotok a 407 (proxy engedélyezési kérés) és a teljesen nem szabványos 602 (IP nincs a „fehér listán”) egy válaszra.
Az Apache abszolút domináns – 114 544 szerver használja. A legrégebbi verzió, amit Ukrajnában találtam, az 1.3.29, 29. október 2003-én (!!!) adták ki. Az nginx a második helyen áll 61 659 szerverrel.
11 szerver használja az 1996-ban kiadott WinCE-t, a foltozást pedig 2013-ban fejezték be (Ausztriában csak 4 van belőle).
A HTTP/2 protokoll 5 szervert használ, HTTP/144 - 1.1 256, HTTP/836 - 1 13.
Nyomtatók... mert... miért ne?
2 HP, 5 Epson és 4 Canon, amelyek a hálózatról elérhetők, némelyikük engedély nélkül.
webkamerák
Nem újdonság, hogy Ukrajnában rengeteg webkamera sugározza magát az internetre, különféle forrásokon gyűjtve. Legalább 75 kamera sugározza magát az internetre mindenféle védelem nélkül. Megnézheted őket .
Mi a következő lépés?
Ukrajna kicsi ország, mint Ausztria, de ugyanazokkal a problémákkal küzd, mint a nagy országokkal az IT szektorban. Jobban meg kell értenünk, mi a biztonságos és mi a veszélyes, és a berendezések gyártóinak biztonságos kezdeti konfigurációkat kell biztosítaniuk berendezéseikhez.
Ezen kívül gyűjtök partnercégeket (), amely segíthet a saját IT-infrastruktúrája integritásának biztosításában. A következő lépés az ukrán webhelyek biztonságának felülvizsgálata. Ne válts!
Forrás: will.com