בפברואר פרסם כריסטיאן האשק האוסטרי מאמר מעניין בבלוג שלו בשם . כמובן שהתעניינתי מה יקרה אם המחקר הזה יחזור על עצמו, אבל עם אוקראינה. מספר שבועות של איסוף מידע מסביב לשעון, עוד כמה ימים להכנת המאמר, ובמהלך המחקר הזה, שיחות עם נציגים שונים של החברה שלנו, אחר כך מבהירים, ואז מבררים יותר. בבקשה מתחת לגזרה...
TL; DR
לא נעשה שימוש בכלים מיוחדים לאיסוף מידע (למרות שכמה אנשים המליצו להשתמש באותו OpenVAS כדי להפוך את המחקר ליסודי ואינפורמטיבי יותר). עם אבטחת כתובות IP המתייחסות לאוקראינה (עוד על איך נקבע בהמשך), המצב לדעתי די גרוע (ובהחלט גרוע ממה שקורה באוסטריה). לא נעשו או תוכננו ניסיונות לנצל את השרתים הפגיעים שהתגלו.
קודם כל: איך אפשר לקבל את כל כתובות ה-IP ששייכות למדינה מסוימת?
זה בעצם מאוד פשוט. כתובות IP אינן נוצרות על ידי המדינה עצמה, אלא מוקצות לה. לכן, יש רשימה (והיא ציבורית) של כל המדינות וכל הכתובות IP השייכות להן.
כולם יכולים ולאחר מכן לסנן אותו grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, מאפשר לך להביא את הרשימה לצורה שמישה יותר.
אוקראינה מחזיקה כמעט באותה כתובות IPv4 כמו אוסטריה, יותר מ-11 מיליון 11 ליתר דיוק (לשם השוואה, לאוסטריה יש 640).
אם אתה לא רוצה לשחק עם כתובות IP בעצמך (ולא כדאי לך!), אז אתה יכול להשתמש בשירות .
האם יש כאלה שלא תוקנו באוקראינה? Windows מכונות עם גישה ישירה לאינטרנט?
כמובן שאף אוקראיני מודע לא יפתח גישה כזו למחשבים שלהם. או שזה יהיה?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 מכוניות מתחת Windows עם גישה ישירה לרשת נמצאו (באוסטריה יש רק 1273 כאלה, אבל זה עדיין הרבה).
אופס. האם יש ביניהם כאלה שניתן לתקוף באמצעות מעללי ETHERNALBLUE, המוכרים מאז 2017? לא הייתה מכונית אחת כזו באוסטריה, וקיוויתי שהיא לא תימצא גם באוקראינה. למרבה הצער, זה לא מועיל. מצאנו 198 כתובות IP שלא סגרו את ה"חור" הזה בעצמן.
DNS, DDoS ועומק חור הארנב
מספיק על Windowsבואו נסתכל על שרתי DNS שהם רזולוורים פתוחים וניתנים לשימוש עבור התקפות DDoS.
זה עובד משהו כזה. התוקף שולח בקשת DNS קטנה, והשרת הפגיע מגיב לקורבן עם חבילה גדולה פי 100. בּוּם! רשתות ארגוניות יכולות לקרוס במהירות מכמות כזו של נתונים, ומתקפה דורשת את רוחב הפס שסמארטפון מודרני יכול לספק. והיו התקפות כאלה אפילו ב-GitHub.
בוא נראה אם יש שרתים כאלה באוקראינה.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lהצעד הראשון הוא למצוא את אלה שיש להם יציאה 53 פתוחה. כתוצאה מכך, יש לנו רשימה של 58 כתובות IP, אך אין זה אומר שניתן להשתמש בכולן להתקפת DDoS. הדרישה השנייה חייבת להתקיים, כלומר הם חייבים להיות פותרים.
לשם כך, נוכל להשתמש בפקודה פשוטה לחפור ולראות שאנו יכולים "לחפור" לחפור + short test.openresolver.com TXT @ip.of.dns.server. אם השרת הגיב ב-open-resolver-detected, אז זה יכול להיחשב יעד פוטנציאלי להתקפה. פותחים פתוחים מהווים כ-25%, אשר ניתן להשוות לאוסטריה. במונחים של המספר הכולל, זה בערך 0,02% מכלל כתובות ה-IP של אוקראינה.
מה עוד אפשר למצוא באוקראינה?
שמח ששאלת. קל יותר (והכי מעניין עבורי באופן אישי) להסתכל על ה-IP עם יציאה 80 פתוחה ומה פועל עליו.
שרת אינטרנט
260 כתובות IP אוקראיניות מגיבות ליציאה 849 (http). 80 כתובות הגיבו בחיוב (סטטוס 125) לבקשת GET פשוטה שהדפדפן שלך יכול לשלוח. השאר יצרו שגיאה כזו או אחרת. מעניין ש-444 שרתים הוציאו סטטוס של 200, והסטטוסים הנדירים ביותר היו 853 (בקשה להרשאת פרוקסי) ו-500 לגמרי לא סטנדרטי (IP לא ב"רשימה הלבנה") לתגובה אחת.
אפאצ'י הוא דומיננטי לחלוטין - 114 שרתים משתמשים בו. הגרסה הישנה ביותר שמצאתי באוקראינה היא 544, שפורסמה ב-1.3.29 באוקטובר 29 (!!!). nginx נמצא במקום השני עם 2003 שרתים.
11 שרתים משתמשים ב-WinCE, שיצא ב-1996, והם סיימו לתקן אותו ב-2013 (יש רק 4 כאלה באוסטריה).
פרוטוקול HTTP/2 משתמש ב-5 שרתים, HTTP/144 - 1.1, HTTP/256 - 836.
מדפסות... כי... למה לא?
2 HP, 5 Epson ו-4 Canon, הנגישים מהרשת, חלקם ללא כל אישור.
מצלמות אינטרנט
זה לא חדשות שבאוקראינה יש הרבה מצלמות רשת המשדרות את עצמן לאינטרנט, שנאספו במשאבים שונים. לפחות 75 מצלמות משדרות את עצמן לאינטרנט ללא כל הגנה. אתה יכול להסתכל עליהם .
מה הלאה?
אוקראינה היא מדינה קטנה, כמו אוסטריה, אבל יש את אותן בעיות כמו מדינות גדולות בתחום ה-IT. עלינו לפתח הבנה טובה יותר של מה בטוח ומה מסוכן, ויצרני ציוד חייבים לספק תצורות ראשוניות בטוחות לציוד שלהם.
בנוסף, אני אוסף חברות שותפות (), שיכול לעזור לך להבטיח את שלמות תשתית ה-IT שלך. השלב הבא שאני מתכנן לעשות הוא לבדוק את האבטחה של אתרים אוקראינים. אל תחליף!
מקור: www.habr.com
