Pada bulan Februari, Christian Haschek dari Austria menerbitkan artikel menarik di blognya yang berjudul . Tentu saja, saya menjadi tertarik dengan apa yang akan terjadi jika penelitian ini diulangi, tetapi dengan Ukraina. Beberapa minggu pengumpulan informasi sepanjang waktu, beberapa hari lagi untuk mempersiapkan artikel, dan selama penelitian ini, percakapan dengan berbagai perwakilan masyarakat kita, kemudian klarifikasi, lalu cari tahu lebih lanjut. Tolong di bawah potongan...
TL; DR
Tidak ada alat khusus yang digunakan untuk mengumpulkan informasi (walaupun beberapa orang menyarankan penggunaan OpenVAS yang sama agar penelitian lebih menyeluruh dan informatif). Dengan keamanan IP yang berhubungan dengan Ukraina (lebih lanjut tentang bagaimana hal ini ditentukan di bawah), situasinya, menurut pendapat saya, cukup buruk (dan tentunya lebih buruk daripada apa yang terjadi di Austria). Tidak ada upaya yang dilakukan atau direncanakan untuk mengeksploitasi server rentan yang ditemukan.
Pertama-tama: bagaimana Anda bisa mendapatkan semua alamat IP milik negara tertentu?
Ini sebenarnya sangat sederhana. Alamat IP tidak dihasilkan oleh negara itu sendiri, namun dialokasikan padanya. Oleh karena itu, terdapat daftar (dan bersifat publik) dari semua negara dan semua IP yang dimilikinya.
Setiap orang bisa lalu filter grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, memungkinkan Anda membuat daftar menjadi bentuk yang lebih bermanfaat.
Ukraina memiliki alamat IPv4 yang hampir sama banyaknya dengan Austria, tepatnya lebih dari 11 juta 11 (sebagai perbandingan, Austria memiliki 640).
Jika Anda sendiri tidak ingin bermain-main dengan alamat IP (dan memang seharusnya tidak demikian!), Anda dapat menggunakan layanan ini .
Apakah ada mesin Windows yang belum ditambal di Ukraina yang memiliki akses langsung ke Internet?
Tentu saja, tidak ada satu pun orang Ukraina yang sadar akan membuka akses seperti itu ke komputer mereka. Atau akankah itu terjadi?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lDitemukan 5669 mesin Windows dengan akses langsung ke jaringan (di Austria hanya ada 1273, tapi itu banyak).
Ups. Apakah diantara mereka ada yang bisa diserang menggunakan eksploitasi ETHERNALBLUE yang sudah dikenal sejak tahun 2017? Tidak ada satu pun mobil seperti itu di Austria, dan saya berharap mobil itu juga tidak ditemukan di Ukraina. Sayangnya, tidak ada gunanya. Kami menemukan 198 alamat IP yang tidak menutup βlubangβ ini.
DNS, DDoS dan kedalaman lubang kelinci
Cukup tentang Windows. Mari kita lihat apa yang kita miliki dengan server DNS, yang merupakan pemecah masalah terbuka dan dapat digunakan untuk serangan DDoS.
Cara kerjanya seperti ini. Penyerang mengirimkan permintaan DNS kecil, dan server yang rentan merespons korban dengan paket 100 kali lebih besar. Ledakan! Jaringan perusahaan dapat dengan cepat runtuh karena volume data sebesar itu, dan serangan memerlukan bandwidth yang dapat disediakan oleh ponsel pintar modern. Dan memang ada serangan seperti itu bahkan di GitHub.
Mari kita lihat apakah ada server seperti itu di Ukraina.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lLangkah pertama adalah mencari yang memiliki port terbuka 53. Hasilnya, kami memiliki daftar 58 alamat IP, namun ini tidak berarti semuanya dapat digunakan untuk serangan DDoS. Syarat kedua yang harus dipenuhi, yakni harus open-resolver.
Untuk melakukan ini, kita dapat menggunakan perintah dig sederhana dan melihat bahwa kita dapat βdigβ dig + short test.openresolver.com TXT @ip.of.dns.server. Jika server merespons dengan open-resolver-detected, maka server tersebut dapat dianggap sebagai target serangan potensial. Resolver terbuka mencapai sekitar 25%, sebanding dengan Austria. Dalam hal jumlah total, ini adalah sekitar 0,02% dari seluruh IP Ukraina.
Apa lagi yang bisa Anda temukan di Ukraina?
Senang Anda bertanya. Lebih mudah (dan yang paling menarik bagi saya pribadi) untuk melihat IP dengan port terbuka 80 dan apa yang berjalan di dalamnya.
server web
260 IP Ukraina merespons port 849 (http). 80 alamat merespons positif (125 status) terhadap permintaan GET sederhana yang dapat dikirimkan browser Anda. Sisanya menghasilkan satu atau beberapa kesalahan. Menariknya, 444 server mengeluarkan status 200, dan status yang paling langka adalah 853 (permintaan otorisasi proxy) dan 500 yang sepenuhnya non-standar (IP tidak ada dalam βdaftar putihβ) untuk satu respons.
Apache benar-benar dominan - 114 server menggunakannya. Versi tertua yang saya temukan di Ukraina adalah 544, dirilis pada tanggal 1.3.29 Oktober 29 (!!!). nginx berada di posisi kedua dengan 2003 server.
11 server menggunakan WinCE, yang dirilis pada tahun 1996, dan mereka selesai menambalnya pada tahun 2013 (hanya ada 4 di Austria).
Protokol HTTP/2 menggunakan 5 server, HTTP/144 - 1.1, HTTP/256 - 836.
Printer... karena... kenapa tidak?
2 HP, 5 Epson dan 4 Canon, yang dapat diakses dari jaringan, beberapa diantaranya tanpa izin apapun.
kamera web
Bukan berita baru bahwa di Ukraina ada BANYAK webcam yang mengudara ke Internet, dikumpulkan dari berbagai sumber. Setidaknya 75 kamera menyiarkan dirinya sendiri ke Internet tanpa perlindungan apa pun. Anda bisa melihatnya .
Apa selanjutnya?
Ukraina adalah negara kecil seperti Austria, namun memiliki permasalahan yang sama dengan negara besar di bidang IT. Kita perlu mengembangkan pemahaman yang lebih baik mengenai apa yang aman dan apa yang berbahaya, dan produsen peralatan harus menyediakan konfigurasi awal yang aman untuk peralatan mereka.
Selain itu, saya mengumpulkan perusahaan mitra (), yang dapat membantu Anda memastikan integritas infrastruktur TI Anda sendiri. Langkah selanjutnya yang saya rencanakan adalah meninjau keamanan situs web Ukraina. Jangan beralih!
Sumber: www.habr.com