Ақпан айында австриялық Кристиан Хашек өзінің блогында атты қызықты мақала жариялады . Әрине, бұл зерттеу қайталанса не болатыны мені қызықтырды, бірақ Украинамен. Бірнеше апта бойы тәулік бойы ақпарат жинау, мақаланы дайындау үшін тағы бір-екі күн және осы зерттеу барысында қоғамымыздың әртүрлі өкілдерімен әңгімелесу, содан кейін нақтылау, содан кейін көбірек білу. Өтінемін, кесінді астында...
TL; DR
Ақпаратты жинау үшін арнайы құралдар пайдаланылмаған (бірақ бірнеше адам зерттеуді мұқият және ақпараттылық ету үшін бірдей OpenVAS пайдалануға кеңес берді). Украинаға қатысты IP-тердің қауіпсіздігімен (төменде ол қалай анықталғаны туралы толығырақ), менің ойымша, жағдай өте нашар (және Австрияда болып жатқаннан да нашар). Табылған осал серверлерді пайдалану әрекеттері жасалмаған немесе жоспарланбаған.
Біріншіден: белгілі бір елге тиесілі барлық IP мекенжайларын қалай алуға болады?
Бұл шын мәнінде өте қарапайым. IP мекенжайларын елдің өзі жасамайды, бірақ оған бөлінген. Сондықтан, барлық елдердің және оларға тиесілі барлық IP-тердің тізімі (және ол жалпыға қолжетімді) бар.
Барлығы мүмкін содан кейін оны сүзіңіз grep Украина IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, тізімді ыңғайлырақ пішінге келтіруге мүмкіндік береді.
Украинада Австриядағыдай дерлік IPv4 мекенжайлары бар, дәлірек айтсақ 11 миллион 11 640 409-дан астам (салыстыру үшін Австрияда 11 170 487 бар).
Егер сіз IP мекенжайларымен өзіңіз ойнағыңыз келмесе (және ойнамауыңыз керек!), онда сіз қызметті пайдалана аласыз. .
Украинада Интернетке тікелей қол жеткізе алатын патчсыз Windows машиналары бар ма?
Әрине, бірде-бір саналы украин өз компьютеріне мұндай мүмкіндікті ашпайды. Әлде солай бола ма?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lЖеліге тікелей қол жетімді 5669 Windows машиналары табылды (Австрияда бар болғаны 1273 бар, бірақ бұл өте көп).
Ой. Олардың арасында 2017 жылдан бері белгілі ETHERNALBLUE эксплойті арқылы шабуыл жасалуы мүмкін бе? Австрияда мұндай бірде-бір көлік болған жоқ, мен Украинада да табылмас деп үміттендім. Өкінішке орай, пайдасы жоқ. Біз бұл «тесікті» өздігінен жаппаған 198 IP мекенжайын таптық.
DNS, DDoS және қоян тесігінің тереңдігі
Windows туралы жеткілікті. Келіңіздер, DNS серверлерімен не бар екенін көрейік, олар ашық резолюторлар болып табылады және DDoS шабуылдары үшін пайдаланылуы мүмкін.
Бұл осындай нәрсе жұмыс істейді. Шабуылдаушы шағын DNS сұрауын жібереді, ал осал сервер жәбірленушіге 100 есе үлкен пакетпен жауап береді. Бум! Корпоративтік желілер мұндай көлемдегі деректерден тез құлап кетуі мүмкін, ал шабуыл заманауи смартфон қамтамасыз ете алатын өткізу қабілеттілігін қажет етеді. Және мұндай шабуылдар болды тіпті GitHub-да.
Украинада мұндай серверлер бар-жоғын көрейік.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lБірінші қадам - ашық порт 53 барларды табу. Нәтижесінде бізде 58 730 IP мекенжайларының тізімі бар, бірақ бұл олардың барлығын DDoS шабуылы үшін пайдалануға болады дегенді білдірмейді. Екінші талап орындалу керек, атап айтқанда, олар ашық шешімді болуы керек.
Мұны істеу үшін біз қарапайым қазу пәрменін пайдалана аламыз және біз қазу + қысқа test.openresolver.com TXT @ip.of.dns.server «қазуға» болатынымызды көре аламыз. Егер сервер ашық шешіммен жауап берсе, оны шабуылдың ықтимал нысанасы деп санауға болады. Ашық ерітінділер шамамен 25% құрайды, бұл Австриямен салыстыруға болады. Жалпы саны бойынша бұл барлық украиналық IP-тердің шамамен 0,02% құрайды.
Украинада тағы не табуға болады?
Сіз сұрағаныңызға қуаныштымын. Ашық 80 порты бар IP-ге және онда не жұмыс істейтініне қарау оңайырақ (және мен үшін ең қызықты).
веб-сервер
260 849 украиндық IP 80 (http) портына жауап береді. Браузеріңіз жібере алатын қарапайым GET сұрауына 125 444 мекенжай оң жауап берді (200 мәртебе). Қалғандары бір немесе басқа қатені тудырды. Бір қызығы, бір жауап үшін 853 сервер 500 мәртебесін шығарды, ал ең сирек күйлер 407 (прокси авторизациясына сұрау) және мүлдем стандартты емес 602 («ақ тізімде» жоқ IP) болды.
Apache абсолютті басым – оны 114 544 сервер пайдаланады. Мен Украинада тапқан ең ескі нұсқасы 1.3.29, 29 жылы 2003 қазанда шыққан (!!!). nginx 61 659 сервермен екінші орында.
11 сервер 1996 жылы шығарылған WinCE пайдаланады және олар оны 2013 жылы патчтауды аяқтады (Австрияда олардың тек 4-уі ғана бар).
HTTP/2 протоколы 5 144 серверді пайдаланады, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Принтерлер... себебі... неге жоқ?
Желіден қол жетімді 2 HP, 5 Epson және 4 Canon, олардың кейбіреулері рұқсатсыз.
веб-камералар
Украинада әртүрлі ресурстарда жинақталған Интернетке өздерін тарататын көптеген веб-камералар бар екені жаңалық емес. Кем дегенде 75 камера интернетке ешқандай қорғаныссыз тарайды. Оларды қарауға болады .
Ары қарай не?
Украина Австрия сияқты шағын мемлекет, бірақ ІТ саласындағы ірі елдермен бірдей проблемалар бар. Біз ненің қауіпсіз және ненің қауіпті екенін жақсырақ түсінуіміз керек және жабдық өндірушілері өз жабдықтары үшін қауіпсіз бастапқы конфигурацияларды қамтамасыз етуі керек.
Сонымен қатар мен серіктес компанияларды жинаймын (), бұл сіздің жеке АТ-инфрақұрылымыңыздың тұтастығын қамтамасыз етуге көмектеседі. Менің жоспарлаған келесі қадамым - украиндық веб-сайттардың қауіпсіздігін тексеру. Ауыспаңыз!
Ақпарат көзі: www.habr.com