Am Februar huet den Éisträicher Christian Haschek op sengem Blog en interessanten Artikel mam Titel publizéiert . Natierlech gouf ech interesséiert wat géif geschéien wann dës Etude widderholl, mä mat der Ukraine. E puer Woche ronderëm d'Auer Sammelen vun Informatioun, e puer Deeg fir den Artikel ze preparéieren, a während dëser Fuerschung Gespréicher mat verschiddene Vertrieder vun eiser Gesellschaft, dann klären, da méi gewuer. Weg ënner dem Schnëtt ...
TL; DR
Keng speziell Tools goufen benotzt fir Informatioun ze sammelen (obwuel e puer Leit ugeroden déi selwecht OpenVAS ze benotzen fir d'Fuerschung méi grëndlech an informativ ze maachen). Mat der Sécherheet vun IPen déi op d'Ukraine bezéien (méi wéi et hei ënnen festgeluecht gouf), ass d'Situatioun, menger Meenung no, zimlech schlecht (an definitiv méi schlëmm wéi dat wat an Éisträich geschitt). Kee Versuch gouf gemaach oder geplangt fir déi entdeckte vulnérabel Serveren auszenotzen.
Éischtens: Wéi kënnt Dir all d'IP Adressen kréien, déi zu engem bestëmmte Land gehéieren?
Et ass eigentlech ganz einfach. IP Adresse ginn net vum Land selwer generéiert, mä et zougewisen. Dofir gëtt et eng Lëscht (an et ass ëffentlech) vun alle Länner an all d'IPen déi hinnen gehéieren.
Jidderee kann an dann filtert et grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, erlaabt Iech d'Lëscht an eng méi benotzbar Form ze bréngen.
D'Ukrain besëtzt bal sou vill IPv4 Adressen wéi Éisträich, méi wéi 11 Milliounen 11 fir genee ze sinn (zum Verglach, Éisträich huet 640).
Wann Dir net selwer mat IP Adressen spille wëllt (an Dir sollt net!), Da kënnt Dir de Service benotzen .
Ginn et onpatched Windows Maschinnen an der Ukraine déi direkten Zougang zum Internet hunn?
Natierlech, net eng eenzeg bewosst Ukrainer wäert esou Zougang zu hire Computeren oppen. Oder wäert et sinn?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Windows Maschinnen mat direkten Zougang zum Netz goufen fonnt (an Éisträich ginn et nëmmen 1273, awer dat ass vill).
Oops. Ginn et ënnert hinnen déi mat ETHERNALBLUE Exploiten attackéiert kënne ginn, déi zënter 2017 bekannt sinn? Et war keen eenzegen esou Auto an Éisträich, an ech hat gehofft, datt et och net an der Ukraine géif fonnt ginn. Leider ass et kee Gebrauch. Mir hunn 198 IP Adressen fonnt, déi dëst "Lach" net a sech selwer zougemaach hunn.
DNS, DDoS an d'Tiefe vum Kanéngchen
Genuch iwwer Windows. Loosst eis kucken wat mir mat DNS-Server hunn, déi Open-Resolver sinn a kënne fir DDoS-Attacke benotzt ginn.
Et funktionnéiert sou eppes. Den Ugräifer schéckt eng kleng DNS Ufro, an de vulnérable Server reagéiert op d'Affer mat engem Paket deen 100 Mol méi grouss ass. Bomm! Firmennetzwierker kënne séier aus esou engem Volume vun Daten zesummeklappen, an en Attack erfuerdert d'Bandbreedung, déi e modernen Smartphone ubitt. An et goufen esou Attacken souguer op GitHub.
Loosst d'gesinn ob et esou Serveren an der Ukraine sinn.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lDen éischte Schrëtt ass déi ze fannen déi oppe Port 53 hunn. Als Resultat hu mir eng Lëscht vun 58 IP Adressen, awer dat heescht net datt se all fir en DDoS Attack benotzt kënne ginn. Déi zweet Fuerderung muss erfëllt sinn, nämlech si mussen Open-Resolver sinn.
Fir dëst ze maachen, kënne mir en einfachen Dig-Kommando benotzen a gesinn datt mir "Graven" kënnen + kuerz test.openresolver.com TXT @ip.of.dns.server. Wann de Server mat Open-Resolver-detektéiert geäntwert huet, da kann et als potenziell Zil vun Attack ugesi ginn. Open Resolvere maachen ongeféier 25% aus, wat mat Éisträich vergläichbar ass. Wat d'Gesamtzuel ugeet, ass dëst ongeféier 0,02% vun allen Ukrain IPs.
Wat soss kënnt Dir an der Ukraine fannen?
Glécklech datt Dir gefrot hutt. Et ass méi einfach (an dat interessantst fir mech perséinlech) fir d'IP mat oppenen Hafen 80 ze kucken a wat dorop leeft.
Webserver
260 Ukrain IPs reagéieren op port 849 (http). 80 Adressen reagéiert positiv (125 Status) op eng einfach GET Ufro datt Äre Browser schécken kann. De Rescht huet een oder anere Feeler produzéiert. Et ass interessant datt 444 Server e Status vu 200 erausginn, an déi seltenste Statuse waren 853 (Ufro fir Proxy Autorisatioun) an déi komplett net-Standard 500 (IP net an der "wäiss Lëscht") fir eng Äntwert.
Apache ass absolut dominant - 114 Server benotzen et. Déi eelst Versioun déi ech an der Ukraine fonnt hunn ass 544, verëffentlecht den 1.3.29. Oktober 29 (!!!). nginx ass op der zweeter Plaz mat 2003 Serveren.
11 Server benotzen WinCE, déi am 1996 verëffentlecht gouf, a si hunn et fäerdeg 2013 ze patchen (et gi just 4 vun dësen an Éisträich).
Den HTTP/2 Protokoll benotzt 5 Serveren, HTTP/144 - 1.1, HTTP/256 - 836.
Dréckeren ... well ... firwat net?
2 HP, 5 Epson a 4 Canon, déi aus dem Netz zougänglech sinn, e puer vun hinnen ouni Autorisatioun.
Webcams
Et ass keng Neiegkeet datt et an der Ukraine vill Webcams sinn, déi sech um Internet ausstrahlen, op verschidde Ressourcen gesammelt. Op d'mannst 75 Kameraen iwwerdroen sech ouni Schutz op den Internet. Dir kënnt hinnen kucken .
Wat d'nächst?
Ukraine ass e klengt Land, wéi Éisträich, awer huet déi selwecht Problemer wéi grouss Länner am IT Secteur. Mir mussen e bessert Verständnis entwéckelen wat sécher ass a wat geféierlech ass, an Ausrüstungshersteller mussen sécher initial Konfiguratioune fir hir Ausrüstung ubidden.
Zousätzlech sammelen ech Partnerfirmen (), déi Iech hëllefe kënnen d'Integritéit vun Ärer eegener IT-Infrastruktur ze garantéieren. De nächste Schrëtt deen ech plangen ass d'Sécherheet vun ukrainesche Websäiten ze iwwerpréiwen. Schalt net!
Source: will.com