უკრაინა გადავხედე

თებერვალში ავსტრიელმა კრისტიან ჰაშეკმა თავის ბლოგზე გამოაქვეყნა საინტერესო სტატია სათაურით "მთელი ავსტრია გადავხედე". რა თქმა უნდა, დავინტერესდი, რა მოხდებოდა, თუ ეს კვლევა განმეორდებოდა, მაგრამ უკრაინასთან. რამდენიმე კვირა ინფორმაციის სადღეღამისო შეგროვება, კიდევ ორიოდე დღე სტატიის მოსამზადებლად და ამ კვლევის დროს საუბრები ჩვენი საზოგადოების სხვადასხვა წარმომადგენლებთან, შემდეგ გარკვევა, მერე მეტის გარკვევა. გთხოვთ, ჭრილობის ქვეშ ...

TL; DR

ინფორმაციის შესაგროვებლად სპეციალური ინსტრუმენტები არ გამოუყენებიათ (თუმცა რამდენიმე ადამიანმა ურჩია იგივე OpenVAS-ის გამოყენება, რათა კვლევა უფრო საფუძვლიანი და ინფორმატიული ყოფილიყო). IP-ების უსაფრთხოებასთან დაკავშირებით, რომლებიც ეხება უკრაინას (უფრო მეტი, თუ როგორ განისაზღვრა ქვემოთ), სიტუაცია, ჩემი აზრით, საკმაოდ ცუდია (და ნამდვილად უარესი, ვიდრე ის, რაც ხდება ავსტრიაში). აღმოჩენილი დაუცველი სერვერების ექსპლუატაციის მცდელობა არ ყოფილა ან დაგეგმილი.

პირველ რიგში: როგორ შეგიძლიათ მიიღოთ ყველა IP მისამართი, რომელიც ეკუთვნის გარკვეულ ქვეყანას?

სინამდვილეში ძალიან მარტივია. IP მისამართები არ არის გენერირებული თავად ქვეყნის მიერ, არამედ მასზე გამოყოფილი. აქედან გამომდინარე, არსებობს სია (და ის საჯაროა) ყველა ქვეყნისა და ყველა IP-ის, რომელიც მათ ეკუთვნის.

ყველას შეუძლია ჩამოტვირთეთ იგიდა შემდეგ გაფილტრე grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv

კრისტიანის მიერ შექმნილი მარტივი სცენარი, საშუალებას გაძლევთ მოიტანოთ სია უფრო გამოსაყენებელ ფორმაში.

უკრაინა ფლობს თითქმის იმდენი IPv4 მისამართს, რამდენიც ავსტრია, 11 მილიონ 11 640 409-ზე მეტი ზუსტი იყოს (შედარებისთვის, ავსტრიას აქვს 11 170 487).

თუ არ გსურთ თავად ითამაშოთ IP მისამართებით (და არ უნდა!), მაშინ შეგიძლიათ ისარგებლოთ სერვისით შოდანი.იო.

არის თუ არა უკრაინაში Windows-ის დაუმუშავებელი აპარატები, რომლებსაც აქვთ პირდაპირი წვდომა ინტერნეტზე?

რა თქმა უნდა, არც ერთი შეგნებული უკრაინელი არ გახსნის ასეთ წვდომას მათ კომპიუტერებზე. ან იქნება?

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

ნაპოვნია 5669 ვინდოუსის აპარატი, რომელსაც აქვს პირდაპირი წვდომა ქსელში (ავსტრიაში არის მხოლოდ 1273, მაგრამ ეს ბევრია).

უი. არის თუ არა მათ შორის, რომლებზეც შეიძლება თავდასხმა მოხდეს ETHERNALBLUE ექსპლოიტების გამოყენებით, რომლებიც ცნობილია 2017 წლიდან? ავსტრიაში არც ერთი ასეთი მანქანა არ იყო და იმედი მქონდა, რომ უკრაინაშიც არ მოიძებნებოდა. სამწუხაროდ, უსარგებლოა. ჩვენ ვიპოვნეთ 198 IP მისამართი, რომლებმაც არ დახურეს ეს "ხვრელი".

DNS, DDoS და კურდღლის ხვრელის სიღრმე

საკმარისია Windows-ის შესახებ. ვნახოთ, რა გვაქვს DNS სერვერებთან, რომლებიც ღია გადამწყვეტია და შეიძლება გამოყენებულ იქნას DDoS შეტევებისთვის.

მუშაობს რაღაც ამდაგვარი. თავდამსხმელი აგზავნის მცირე DNS მოთხოვნას და დაუცველი სერვერი პასუხობს მსხვერპლს 100-ჯერ დიდი პაკეტით. ბუმი! კორპორატიული ქსელები შეიძლება სწრაფად დაიშალოს მონაცემთა ასეთი მოცულობისგან, ხოლო თავდასხმა მოითხოვს გამტარუნარიანობას, რაც თანამედროვე სმარტფონს შეუძლია. და იყო ასეთი თავდასხმები არაჩვეულებრივი თუნდაც GitHub-ზე.

ვნახოთ არის თუ არა ასეთი სერვერები უკრაინაში.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

პირველი ნაბიჯი არის იპოვოთ ის, ვისაც აქვს ღია პორტი 53. შედეგად, ჩვენ გვაქვს 58 IP მისამართის სია, მაგრამ ეს არ ნიშნავს, რომ ყველა მათგანი შეიძლება გამოყენებულ იქნას DDoS შეტევისთვის. მეორე მოთხოვნა უნდა დაკმაყოფილდეს, კერძოდ, ისინი უნდა იყვნენ ღია გადამწყვეტი.

ამისათვის ჩვენ შეგვიძლია გამოვიყენოთ მარტივი dig ბრძანება და ვნახოთ, რომ ჩვენ შეგვიძლია "დიგ" dig + მოკლე test.openresolver.com TXT @ip.of.dns.server. თუ სერვერმა უპასუხა open-resolver-detected, მაშინ ის შეიძლება ჩაითვალოს თავდასხმის პოტენციურ სამიზნედ. ღია გადამწყვეტები შეადგენს დაახლოებით 25%-ს, რაც შედარებულია ავსტრიასთან. მთლიანი რაოდენობის მიხედვით, ეს არის ყველა უკრაინული IP-ის დაახლოებით 0,02%.

კიდევ რა შეგიძლიათ იპოვოთ უკრაინაში?

მიხარია რომ გკითხე. უფრო ადვილია (და პირადად ჩემთვის ყველაზე საინტერესო) IP-ის ნახვა ღია პორტით 80 და რა მუშაობს მასზე.

ვებ სერვერი

260 უკრაინული IP-ები პასუხობენ პორტ 849-ს (http). 80 მისამართმა დადებითად უპასუხა (125 სტატუსი) მარტივ GET მოთხოვნას, რომლის გაგზავნაც თქვენს ბრაუზერს შეუძლია. დანარჩენმა წარმოქმნა ამა თუ იმ შეცდომას. საინტერესოა, რომ 444 სერვერმა გასცა 200 სტატუსი, ხოლო უიშვიათესი სტატუსი იყო 853 (პროქსი ავტორიზაციის მოთხოვნა) და სრულიად არასტანდარტული 500 (IP არ არის „თეთრ სიაში“) ერთი პასუხისთვის.

Apache აბსოლუტურად დომინანტია - მას იყენებს 114 სერვერი. ყველაზე ძველი ვერსია, რომელიც მე ვიპოვე უკრაინაში არის 544, გამოვიდა 1.3.29 წლის 29 ოქტომბერს (!!!). მეორე ადგილზეა nginx 2003 სერვერით.

11 სერვერი იყენებს WinCE-ს, რომელიც გამოვიდა 1996 წელს, და მათ დაასრულეს მისი პატჩირება 2013 წელს (ასეთი მხოლოდ 4 არის ავსტრიაში).

HTTP/2 პროტოკოლი იყენებს 5 სერვერს, HTTP/144 - 1.1, HTTP/256 - 836.

პრინტერები... იმიტომ რომ... რატომაც არა?

2 HP, 5 Epson და 4 Canon, რომლებიც ხელმისაწვდომია ქსელიდან, ზოგიერთი მათგანი ყოველგვარი ავტორიზაციის გარეშე.

ვებკამერები

ახალი ამბავი არ არის, რომ უკრაინაში არის უამრავი ვებკამერა, რომელიც მაუწყებლობს ინტერნეტში, შეგროვებული სხვადასხვა რესურსებზე. სულ მცირე 75 კამერა გადასცემს ინტერნეტს ყოველგვარი დაცვის გარეშე. შეგიძლიათ შეხედოთ მათ აქ.

რა არის შემდეგი?

უკრაინა პატარა ქვეყანაა, როგორც ავსტრია, მაგრამ აქვს იგივე პრობლემები, რაც IT სექტორის დიდ ქვეყნებს. ჩვენ უნდა განვავითაროთ უკეთესი გაგება იმის შესახებ, თუ რა არის უსაფრთხო და რა არის საშიში, და აღჭურვილობის მწარმოებლებმა უნდა უზრუნველყონ უსაფრთხო საწყისი კონფიგურაცია მათი აღჭურვილობისთვის.

გარდა ამისა, ვაგროვებ პარტნიორ კომპანიებს (გახდი პარტნიორი), რომელიც დაგეხმარებათ უზრუნველყოთ თქვენი საკუთარი IT ინფრასტრუქტურის მთლიანობა. შემდეგი ნაბიჯი, რომლის გაკეთებასაც ვგეგმავ, არის უკრაინული ვებსაიტების უსაფრთხოების გადახედვა. არ გადახვიდე!

წყარო: www.habr.com