XNUMX月、オーストリア人のクリスチャン・ハシェク氏は、自身のブログに「 。 もちろん、私はこの研究がウクライナで繰り返された場合に何が起こるかに興味を持ちました。 数週間、XNUMX時間体制で情報を収集し、さらに数日かけて記事を準備し、この調査中に私たちの社会のさまざまな代表者と会話し、それを明確にし、さらに多くのことを調べます。 カットの下にお願いします...
TL; DR
情報を収集するために特別なツールは使用されませんでした(ただし、調査をより徹底的で有益なものにするために同じ OpenVAS を使用するようアドバイスした人もいます)。 ウクライナに関連する知的財産のセキュリティ(その決定方法については以下で詳しく説明します)に関して、私の意見では、状況はかなり悪いです(そしてオーストリアで起こっていることよりも明らかに悪いです)。 発見された脆弱なサーバーを悪用する試みは行われておらず、またその計画もありません。
まず第一に、特定の国に属するすべての IP アドレスをどのように取得できるでしょうか?
実はとてもシンプルなのです。 IP アドレスは国自体が生成するのではなく、国に割り当てられます。 したがって、すべての国とそこに属するすべての IP のリストが存在します (公開されています)。
誰もができる grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv でフィルタリングします。
を使用すると、リストをより使いやすい形式にすることができます。
ウクライナはオーストリアとほぼ同じ数の IPv4 アドレスを所有しており、正確には 11 万 11 を超えています (比較のために、オーストリアは 640)。
自分で IP アドレスを使用したくない場合 (そうすべきではありません!)、このサービスを使用できます。 .
ウクライナには、インターネットに直接アクセスできる、パッチが適用されていない Windows マシンはありますか?
もちろん、意識の高いウクライナ人は一人も自分のコンピューターへのそのようなアクセスを開くことはありません。 それともそうなるのでしょうか?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lネットワークに直接アクセスできる Windows マシンが 5669 台見つかりました (オーストリアでは 1273 台しかありませんが、これは非常に多いです)。
おっと。 その中に、2017 年から知られている ETHERNALBLUE エクスプロイトを使用して攻撃できるものはありますか? オーストリアにはそのような車は一台もなかったし、ウクライナでも見つからないことを願っていた。 残念ながら、それは役に立ちません。 この「穴」自体が塞がれていない IP アドレスが 198 個見つかりました。
DNS、DDoS、そしてウサギの穴の深さ
Windows については十分です。 オープンリゾルバーであり、DDoS 攻撃に使用できる DNS サーバーについて見てみましょう。
それは次のように機能します。 攻撃者が小さな DNS リクエストを送信すると、脆弱なサーバーが 100 倍の大きさのパケットで被害者に応答します。 ブーム! 企業ネットワークはこのような大量のデータによってすぐに崩壊する可能性があり、攻撃には最新のスマートフォンが提供できる帯域幅が必要です。 そしてそのような攻撃がありました GitHub でも。
ウクライナにそのようなサーバーがあるかどうか見てみましょう。
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l最初のステップは、ポート 53 が開いているものを見つけることです。 その結果、58 個の IP アドレスのリストが得られましたが、これはすべてが DDoS 攻撃に使用できることを意味するものではありません。 730 番目の要件を満たす必要があります。つまり、オープンリゾルバーである必要があります。
これを行うには、単純な dig コマンドを使用すると、dig + short test.openresolver.com TXT @ip.of.dns.server を「dig」できることがわかります。 サーバーが open-resolver-detected で応答した場合、そのサーバーは潜在的な攻撃対象であると考えられます。 オープン リゾルバは約 25% を占めており、これはオーストリアと同等です。 総数で言えば、これはウクライナの全知的財産の約 0,02% に相当します。
ウクライナには他に何があるでしょうか?
質問してよかったです。 ポート 80 が開いている IP とそこで何が実行されているかを確認する方が簡単です (そして個人的には最も興味深いです)。
ウェブサーバー
260 のウクライナの IP がポート 849 (http) に応答します。 ブラウザが送信できる単純な GET リクエストに対して、80 のアドレスが肯定的に応答しました (125 ステータス)。 残りの部分では何らかのエラーが発生しました。 興味深いのは、444 台のサーバーが 200 のステータスを発行し、最もまれなステータスは 853 (プロキシ認証の要求) と、500 つの応答に対する完全に非標準の 407 (IP が「ホワイト リスト」に含まれていない) であったことです。
Apache は絶対的に優勢であり、114 台のサーバーがそれを使用しています。 私がウクライナで見つけた最も古いバージョンは 544 で、1.3.29 年 29 月 2003 日にリリースされました (!!!)。 nginx は 61 サーバーで 659 位です。
11 台のサーバーが 1996 年にリリースされた WinCE を使用しており、2013 年にパッチ適用を完了しました (オーストリアには 4 台しかありません)。
HTTP/2 プロトコルは 5 台のサーバー (HTTP/144 ~ 1.1、HTTP/256 ~ 836) を使用します。
プリンター...なぜなら...なぜでしょうか?
2 HP、5 Epson、4 Canon。これらはネットワークからアクセス可能で、一部は無許可です。
ウェブカメラ
ウクライナでは、さまざまなリソースを収集してインターネットにブロードキャストするウェブカメラがたくさんあることはニュースではありません。 少なくとも 75 台のカメラが何の保護も受けずにインターネットに自身をブロードキャストします。 それらを見てみましょう .
次は何ですか?
ウクライナはオーストリアと同様に小さな国ですが、IT分野では大国と同じ問題を抱えています。 私たちは何が安全で何が危険なのかをより深く理解する必要があり、機器メーカーは機器に安全な初期構成を提供する必要があります。
また、パートナー企業も募集しております()、これは、独自の IT インフラストラクチャの整合性を確保するのに役立ちます。 次のステップとして、ウクライナの Web サイトのセキュリティを確認する予定です。 切り替えないでください!
出所: habr.com