Ես սկանավորեցի Ուկրաինան

Փետրվարին ավստրիացի Քրիստիան Հաշչեկն իր բլոգում հրապարակել էր հետաքրքիր հոդված՝ վերնագրով «Ես սկանավորեցի ամբողջ Ավստրիան». Իհարկե, ինձ հետաքրքրեց, թե ինչ կլիներ, եթե այս ուսումնասիրությունը կրկնվեր, բայց Ուկրաինայի հետ։ Մի քանի շաբաթ շուրջօրյա տեղեկատվության հավաքում, ևս մի երկու օր՝ հոդվածը պատրաստելու համար, և այս հետազոտության ընթացքում զրույցներ մեր հասարակության տարբեր ներկայացուցիչների հետ, հետո պարզաբանումներ, հետո ավելին իմանալ։ Խնդրում եմ կտրվածքի տակ...

TL. DR

Տեղեկություններ հավաքելու համար հատուկ գործիքներ չեն օգտագործվել (չնայած մի քանի հոգի խորհուրդ են տվել օգտագործել նույն OpenVAS-ը՝ հետազոտությունն ավելի մանրամասն և տեղեկատվական դարձնելու համար): ԻՊ-ների անվտանգության հետ կապված, որոնք վերաբերում են Ուկրաինային (ավելի մանրամասն, թե ինչպես է դա որոշվել ստորև), իրավիճակը, իմ կարծիքով, բավականին վատ է (և հաստատ ավելի վատ, քան այն, ինչ կատարվում է Ավստրիայում): Հայտնաբերված խոցելի սերվերները շահագործելու ոչ մի փորձ չի արվել կամ չի նախատեսվում:

Նախ. ինչպես կարող եք ստանալ բոլոր IP հասցեները, որոնք պատկանում են որոշակի երկրի:

Դա իրականում շատ պարզ է: IP հասցեները գեներացվում են ոչ թե երկրի կողմից, այլ հատկացվում են նրան: Հետևաբար, կա բոլոր երկրների և նրանց պատկանող բոլոր IP-ների ցուցակը (և այն հրապարակային է):

Բոլորը կարող են ներբեռնիր այնև այնուհետև զտել այն grep Ուկրաինա IP2LOCATION-LITE-DB1.CSV> ukraine.csv

Պարզ սցենար, որը ստեղծել է Քրիստիանը, թույլ է տալիս ցուցակը բերել ավելի օգտագործելի ձևի:

Ուկրաինան ունի գրեթե նույնքան IPv4 հասցե, որքան Ավստրիան, ավելի քան 11 միլիոն 11 ավելի ստույգ (համեմատության համար Ավստրիան ունի 640):

Եթե ​​դուք ինքներդ չեք ցանկանում խաղալ IP հասցեներով (և չպետք է խաղաք), ապա կարող եք օգտվել ծառայությունից։ Shodan.io.

Ուկրաինայում կա՞ն Windows-ի չփակված սարքեր, որոնք ուղղակիորեն մուտք ունեն դեպի ինտերնետ:

Իհարկե, ոչ մի գիտակից ուկրաինացի իր համակարգիչներին նման հասանելիություն չի բացելու։ Կամ կլինի՞։

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

Հայտնաբերվել է 5669 Windows մեքենա՝ ուղիղ մուտքով դեպի ցանց (Ավստրիայում կա ընդամենը 1273, բայց դա շատ է):

Վա՜յ։ Նրանց մեջ կա՞ն որևէ մեկը, որը կարող է հարձակման ենթարկվել 2017 թվականից ի վեր հայտնի ETHERNALBLUE սխեմաների միջոցով: Ավստրիայում նման մեքենա չկար, հույս ունեի, որ Ուկրաինայում էլ չի գտնվի։ Ցավոք, օգուտ չկա: Մենք գտանք 198 IP հասցե, որոնք իրենց մեջ չեն փակել այս «անցքը»:

DNS, DDoS և նապաստակի անցքի խորությունը

Բավական է Windows-ի մասին: Եկեք տեսնենք, թե ինչ ունենք DNS սերվերների հետ, որոնք բաց լուծիչներ են և կարող են օգտագործվել DDoS հարձակումների համար:

Այն աշխատում է նման բան. Հարձակվողն ուղարկում է փոքր DNS հարցում, իսկ խոցելի սերվերը պատասխանում է զոհին 100 անգամ ավելի մեծ փաթեթով: Բում! Կորպորատիվ ցանցերը կարող են արագ փլուզվել տվյալների նման ծավալից, և հարձակման համար պահանջվում է թողունակություն, որը կարող է ապահովել ժամանակակից սմարթֆոնը: Եվ նման հարձակումներ եղել են Ոչ անսովոր նույնիսկ GitHub-ում:

Տեսնենք՝ Ուկրաինայում կա՞ն այդպիսի սերվերներ։

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

Առաջին քայլը պետք է գտնել նրանց, ովքեր ունեն բաց պորտ 53: Արդյունքում մենք ունենք 58 IP հասցեների ցանկ, բայց դա չի նշանակում, որ դրանք բոլորը կարող են օգտագործվել DDoS հարձակման համար։ Երկրորդ պահանջը պետք է կատարվի, այն է, որ դրանք պետք է լինեն բաց լուծող։

Դա անելու համար մենք կարող ենք օգտագործել պարզ dig հրամանը և տեսնել, որ մենք կարող ենք «փորել» dig + կարճ test.openresolver.com TXT @ip.of.dns.server: Եթե ​​սերվերը պատասխանել է open-resolver-detected-ով, ապա այն կարելի է համարել հարձակման հավանական թիրախ: Բաց լուծումները կազմում են մոտավորապես 25%, ինչը համեմատելի է Ավստրիայի հետ: Ընդհանուր թվով դա ուկրաինական բոլոր IP-ների մոտ 0,02%-ն է:

Էլ ի՞նչ կարող եք գտնել Ուկրաինայում:

Ուրախ եմ, որ հարցրեցիր: Ավելի հեշտ է (և անձամբ ինձ համար ամենահետաքրքիրը) IP-ին նայել բաց 80 պորտով և ինչ է աշխատում դրա վրա:

վեբ սերվեր

260 ուկրաինական IP-ներ արձագանքում են 849 նավահանգստին (http): 80 հասցեներ դրական են արձագանքել (125 կարգավիճակ) պարզ GET հարցումին, որը կարող է ուղարկել ձեր դիտարկիչը: Մնացածը այս կամ այն ​​սխալն առաջացրեց: Հետաքրքիր է, որ 444 սերվերներ թողարկել են 200 կարգավիճակ, իսկ ամենահազվագյուտ ստատուսները եղել են 853 (պրոքսի թույլտվության հարցում) և բոլորովին ոչ ստանդարտ 500 (IP-ն «սպիտակ ցուցակում» չէ) մեկ պատասխանի համար։

Apache-ն բացարձակապես գերիշխող է՝ այն օգտագործում է 114 սերվեր: Ուկրաինայում իմ գտած ամենահին տարբերակը 544-ն է, որը թողարկվել է 1.3.29 թվականի հոկտեմբերի 29-ին (!!!): Երկրորդ տեղում է nginx-ը՝ 2003 սերվերով։

11 սերվերներ օգտագործում են WinCE-ն, որը թողարկվել է 1996 թվականին, և նրանք ավարտել են դրա կարկատումը 2013 թվականին (Ավստրիայում դրանցից ընդամենը 4-ն է):

HTTP/2 արձանագրությունն օգտագործում է 5 սերվեր, HTTP/144 – 1.1, HTTP/256 – 836:

Տպիչներ... որովհետև... ինչու ոչ:

2 HP, 5 Epson և 4 Canon, որոնք հասանելի են ցանցից, որոնցից ոմանք առանց որևէ թույլտվության:

վեբ-տեսախցիկներ

Նորություն չէ, որ Ուկրաինայում կան բազմաթիվ վեբ-տեսախցիկներ, որոնք իրենց հեռարձակում են ինտերնետ՝ հավաքված տարբեր ռեսուրսների վրա: Առնվազն 75 տեսախցիկ հեռարձակվում է ինտերնետ՝ առանց որևէ պաշտպանության։ Դուք կարող եք նայել նրանց այստեղ.

Ինչ հաջորդ?

Ուկրաինան փոքր երկիր է, ինչպես Ավստրիան, բայց ունի նույն խնդիրները, ինչ ՏՏ ոլորտի խոշոր երկրները։ Մենք պետք է ավելի լավ պատկերացում կազմենք այն մասին, թե որն է անվտանգ և ինչն է վտանգավոր, և սարքավորումներ արտադրողները պետք է ապահովեն իրենց սարքավորումների սկզբնական անվտանգ կոնֆիգուրացիաները:

Բացի այդ, ես հավաքում եմ գործընկեր ընկերությունները (դառնալ գործընկեր), որը կարող է օգնել ձեզ ապահովել ձեր սեփական ՏՏ ենթակառուցվածքի ամբողջականությունը: Հաջորդ քայլը, որը ես նախատեսում եմ անել, ուկրաինական կայքերի անվտանգության վերանայումն է: Մի փոխիր:

Source: www.habr.com