Vasario mėnesį austras Christianas Haschekas savo tinklaraštyje paskelbė įdomų straipsnį pavadinimu . Žinoma, pradėjau domėtis, kas būtų, jei šis tyrimas būtų pakartotas, bet su Ukraina. Kelios savaitės visą parą informacijos rinkimas, dar pora dienų straipsniui parengti, o šio tyrimo metu pokalbiai su įvairiais mūsų visuomenės atstovais, tada patikslinti, tada sužinoti daugiau. Prašau po pjūviu...
Lt; DR
Informacijai rinkti nebuvo naudojamos jokios specialios priemonės (nors keli žmonės patarė naudoti tą patį OpenVAS, kad tyrimas būtų išsamesnis ir informatyvesnis). Su Ukraina susijusių IP saugumu (daugiau apie tai, kaip jis buvo nustatytas žemiau), situacija, mano nuomone, yra gana bloga (ir tikrai blogesnė nei tai, kas vyksta Austrijoje). Nebuvo bandoma ir neplanuojama išnaudoti aptiktus pažeidžiamus serverius.
Visų pirma: kaip gauti visus IP adresus, priklausančius tam tikrai šaliai?
Iš tikrųjų tai labai paprasta. IP adresus pati šalis negeneruoja, o jai paskiria. Todėl yra sąrašas (ir jis yra viešas) visų šalių ir visų joms priklausančių IP.
Kiekvienas gali ir tada filtruokite grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, leidžia paversti sąrašą patogesne forma.
Ukrainai priklauso beveik tiek pat IPv4 adresų kaip Austrijai, tiksliau, daugiau nei 11 milijonų 11 640 409 (palyginimui, Austrija turi 11 170 487).
Jei nenorite patys žaisti su IP adresais (ir neturėtumėte!), tuomet galite pasinaudoti paslauga .
Ar Ukrainoje yra nepataisytų „Windows“ įrenginių, turinčių tiesioginę prieigą prie interneto?
Žinoma, ne vienas sąmoningas ukrainietis neatvers tokios prieigos prie savo kompiuterių. O ar taip bus?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lRasta 5669 Windows mašinos su tiesiogine prieiga prie tinklo (Austrijoje yra tik 1273, bet tai daug).
Oi. Ar yra tokių, kurie galėtų būti užpulti naudojant ETHERNALBLUE išnaudojimus, žinomus nuo 2017 m.? Austrijoje nebuvo nei vieno tokio automobilio, o tikėjausi, kad Ukrainoje irgi jo neras. Deja, jokios naudos. Radome 198 IP adresus, kurie neuždarė šios „skylės“ savyje.
DNS, DDoS ir triušio skylės gylis
Užteks apie Windows. Pažiūrėkime, ką turime su DNS serveriais, kurie yra atviri sprendiniai ir gali būti naudojami DDoS atakoms.
Tai veikia maždaug taip. Užpuolikas siunčia nedidelę DNS užklausą, o pažeidžiamas serveris aukai atsako 100 kartų didesniu paketu. Boom! Įmonių tinklai gali greitai žlugti dėl tokio duomenų kiekio, o atakai reikalingas pralaidumas, kurį gali suteikti modernus išmanusis telefonas. Ir buvo tokių išpuolių net GitHub.
Pažiūrėkime, ar yra tokių serverių Ukrainoje.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPirmas žingsnis yra rasti tuos, kurie turi atvirą 53 prievadą. Dėl to turime 58 730 IP adresų sąrašą, tačiau tai nereiškia, kad juos visus galima panaudoti DDoS atakai. Antrasis reikalavimas turi būti įvykdytas, ty jie turi būti atvirojo sprendinio.
Norėdami tai padaryti, galime naudoti paprastą komandą dig ir pamatyti, kad galime „kasti“ + trumpas test.openresolver.com TXT @ip.of.dns.server. Jei serveris atsakė atvirojo sprendiklio aptikimu, jis gali būti laikomas galimu atakos taikiniu. Atvirieji sprendimai sudaro apie 25%, o tai panašu į Austriją. Kalbant apie bendrą skaičių, tai yra apie 0,02% visų Ukrainos IP.
Ką dar galite rasti Ukrainoje?
Malonu, kad paklausei. Paprasčiau (ir man asmeniškai įdomiausia) žiūrėti į IP su atviru 80 prievadu ir kas jame veikia.
Tinklapio serveris
260 849 Ukrainos IP reaguoja į 80 prievadą (http). 125 444 adresai teigiamai atsakė (200 būsena) į paprastą GET užklausą, kurią gali išsiųsti jūsų naršyklė. Likusieji padarė vienokias ar kitokias klaidas. Įdomu tai, kad 853 serveriai išdavė 500 būseną, o rečiausios vieno atsakymo būsenos buvo 407 (proxy autorizacijos užklausa) ir visiškai nestandartinis 602 (IP nėra „baltajame sąraše“).
„Apache“ yra absoliučiai dominuojantis – juo naudojasi 114 544 serveriai. Seniausia versija, kurią radau Ukrainoje, yra 1.3.29, išleista 29 m. spalio 2003 d. (!!!). „nginx“ yra antroje vietoje su 61 659 serveriais.
11 serverių naudoja WinCE, kuris buvo išleistas 1996 m., o baigė pataisyti 2013 m. (Austrijoje tokių yra tik 4).
HTTP/2 protokolas naudoja 5 serverius, HTTP/144 – 1.1 256, HTTP/836 – 1 13.
Spausdintuvai... nes... kodėl gi ne?
2 HP, 5 Epson ir 4 Canon, kurie pasiekiami iš tinklo, kai kurie iš jų be jokio leidimo.
interneto kameros
Ne naujiena, kad Ukrainoje yra DAUG internetinių kamerų, kurios transliuoja save į internetą, surinktos įvairiuose šaltiniuose. Bent 75 kameros transliuoja save į internetą be jokios apsaugos. Galite į juos pažiūrėti .
Kas toliau?
Ukraina yra maža šalis, kaip ir Austrija, tačiau turi tas pačias problemas kaip ir didelės IT sektoriaus šalys. Turime geriau suprasti, kas yra saugu ir kas pavojinga, o įrangos gamintojai turi pateikti saugias pradines savo įrangos konfigūracijas.
Be to, aš renku partnerių įmones (), kuris gali padėti užtikrinti savo IT infrastruktūros vientisumą. Kitas žingsnis, kurį planuoju padaryti, yra Ukrainos svetainių saugumo peržiūra. Nepersijunk!
Šaltinis: www.habr.com