🥇Skenēju Ukrainu

Februārī austrietis Kristians Hašeks savā emuārā publicēja interesantu rakstu ar nosaukumu "Es noskenēju visu Austriju". Protams, mani sāka interesēt, kas notiktu, ja šis pētījums tiktu atkārtots, bet ar Ukrainu. Vairākas nedēļas diennakts informācijas vākšana, vēl pāris dienas raksta sagatavošanai un šī pētījuma laikā sarunas ar dažādiem mūsu sabiedrības pārstāvjiem, tad precizē, tad uzzini vairāk. Lūdzu zem griezuma...

TL; DR

Informācijas vākšanai netika izmantoti īpaši rīki (lai gan vairāki cilvēki ieteica izmantot vienu un to pašu OpenVAS, lai padarītu pētījumu pamatīgāku un informatīvāku). Ar IP drošību, kas attiecas uz Ukrainu (vairāk par to, kā tas tika noteikts zemāk), situācija, manuprāt, ir diezgan slikta (un noteikti sliktāka par to, kas notiek Austrijā). Nav veikti vai nav plānoti atklāto ievainojamo serveru izmantošanas mēģinājumi.

Pirmkārt: kā jūs varat iegūt visas IP adreses, kas pieder noteiktai valstij?

Patiesībā tas ir ļoti vienkārši. IP adreses neģenerē pati valsts, bet gan tai piešķir. Tāpēc ir saraksts (un tas ir publisks) ar visām valstīm un visām tām piederošajām IP.

Katrs var lejupielādējiet toun pēc tam filtrē grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv

Vienkāršs skripts, ko izveidojis Kristians, ļauj izveidot sarakstu ērtāk lietojamā formā.

Ukrainai pieder gandrīz tikpat daudz IPv4 adrešu kā Austrijai, precīzāk, vairāk nekā 11 miljoni 11 640 409 (salīdzinājumam – Austrijai ir 11 170 487).

Ja pats nevēlies spēlēt ar IP adresēm (un nevajag!), tad vari izmantot pakalpojumu Shodan.io.

Vai Ukrainā ir kādas neatkārtotas Windows iekārtas, kurām ir tieša piekļuve internetam?

Protams, neviens apzināts ukrainis neatvērs šādu pieeju saviem datoriem. Vai arī tā būs?

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

Tika atrastas 5669 Windows mašīnas ar tiešu piekļuvi tīklam (Austrijā ir tikai 1273, bet tas ir daudz).

Hmm... Vai starp tiem ir kāds, kuram varētu uzbrukt, izmantojot ETHERNALBLUE varoņdarbus, kas ir zināmi kopš 2017. gada? Austrijā nebija nevienas tādas mašīnas, un cerēju, ka arī Ukrainā neatradīs. Diemžēl nav jēgas. Mēs atradām 198 IP adreses, kuras pašas par sevi neaizvēra šo “caurumu”.

DNS, DDoS un truša bedres dziļums

Pietiek ar Windows. Apskatīsim, kas mums ir ar DNS serveriem, kas ir atvērti atrisinātāji un kurus var izmantot DDoS uzbrukumiem.

Tas darbojas apmēram šādi. Uzbrucējs nosūta nelielu DNS pieprasījumu, un ievainojamais serveris atbild upurim ar paketi, kas ir 100 reizes lielāka. Boom! Korporatīvie tīkli var ātri sabrukt no šāda datu apjoma, un uzbrukumam ir nepieciešams joslas platums, ko var nodrošināt mūsdienīgs viedtālrunis. Un bija tādi uzbrukumi Nav nekas neparasts pat vietnē GitHub.

Paskatīsimies, vai Ukrainā ir tādi serveri.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

Pirmais solis ir atrast tos, kuriem ir atvērts ports 53. Rezultātā mums ir 58 730 IP adrešu saraksts, taču tas nenozīmē, ka tās visas var izmantot DDoS uzbrukumam. Ir jāizpilda otra prasība, proti, tiem jābūt atvērtiem atrisinātājiem.

Lai to izdarītu, mēs varam izmantot vienkāršu komandu dig un redzēt, ka mēs varam “rakt” + īsu test.openresolver.com TXT @ip.of.dns.server. Ja serveris atbildēja ar open-resolver-detected, tad to var uzskatīt par potenciālu uzbrukuma mērķi. Atvērtie atrisinātāji veido aptuveni 25%, kas ir salīdzināms ar Austriju. Runājot par kopējo skaitu, tas ir aptuveni 0,02% no visiem Ukrainas IP.

Ko vēl jūs varat atrast Ukrainā?

Prieks, ka pajautāji. Vieglāk (un man personīgi visinteresantāk) ir apskatīt IP ar atvērtu portu 80 un to, kas tajā darbojas.

tīmekļa serveris

260 849 Ukrainas IP reaģē uz 80. portu (http). 125 444 adreses atbildēja pozitīvi (200 statuss) uz vienkāršu GET pieprasījumu, ko jūsu pārlūkprogramma var nosūtīt. Pārējie radīja vienu vai otru kļūdu. Interesanti, ka 853 serveri izsniedza statusu 500, un retākie statusi bija 407 (starpniekservera autorizācijas pieprasījums) un pilnīgi nestandarta 602 (IP nav “baltajā sarakstā”) vienai atbildei.

Apache ir absolūti dominējošs – to izmanto 114 544 serveri. Vecākā versija, ko atradu Ukrainā, ir 1.3.29, izdota 29. gada 2003. oktobrī (!!!). nginx ir otrajā vietā ar 61 659 serveriem.

11 serveri izmanto WinCE, kas tika izlaists 1996. gadā, un viņi pabeidza tā ielāpu 2013. gadā (Austrijā ir tikai 4 no tiem).

HTTP/2 protokolā tiek izmantoti 5 serveri, HTTP/144 - 1.1 256, HTTP/836 - 1 13.

Printeri... jo... kāpēc gan ne?

2 HP, 5 Epson un 4 Canon, kas ir pieejami no tīkla, daži no tiem bez jebkādas atļaujas.

tīmekļa kameras

Tas nav jaunums, ka Ukrainā ir DAUDZ tīmekļa kameru, kas pārraida sevi internetā, apkopotas dažādos resursos. Vismaz 75 kameras pārraida sevi internetā bez jebkādas aizsardzības. Jūs varat tos apskatīt šeit.

Ko tālāk?

Ukraina ir maza valsts, tāpat kā Austrija, taču tai ir tādas pašas problēmas kā lielajām valstīm IT nozarē. Mums ir jāveido labāka izpratne par to, kas ir drošs un kas ir bīstams, un iekārtu ražotājiem ir jānodrošina droša sākotnējās konfigurācijas savām iekārtām.

Turklāt es apkopoju partneruzņēmumus (kļūt par partneri), kas var palīdzēt nodrošināt jūsu IT infrastruktūras integritāti. Nākamais solis, ko plānoju veikt, ir Ukrainas vietņu drošības pārskatīšana. Nepārslēdzies!

Avots: www.habr.com

Es skenēju Ukrainu