Австриецот Кристијан Хашек во февруари објави интересен напис на својот блог со наслов . Се разбира, ме интересираше што ќе се случи ако оваа студија се повтори, но со Украина. Неколку недели деноноќно собирање информации, уште неколку дена за да се подготви статијата и во текот на ова истражување, разговори со различни претставници на нашето општество, потоа разјаснете, па дознајте повеќе. Ве молиме под резот...
TL; ДР
Не беа користени специјални алатки за собирање информации (иако неколку луѓе советуваа користење на истиот OpenVAS за истражувањето да биде потемелно и поинформативно). Со безбедноста на IP-адресите кои се однесуваат на Украина (повеќе за тоа како е утврдено подолу), ситуацијата, според мене, е прилично лоша (и дефинитивно полоша од она што се случува во Австрија). Не се направени ниту планирани обиди за искористување на откриените ранливи сервери.
Најпрво: како можете да ги добиете сите IP адреси кои припаѓаат на одредена земја?
Тоа е всушност многу едноставно. IP-адресите не се генерираат од самата земја, туку се доделуваат на неа. Затоа, постои список (и тој е јавен) на сите земји и сите IP-адреси што им припаѓаат.
Секој може и потоа филтрирајте го grep Украина IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ви овозможува да ја доведете листата во поупотреблива форма.
Украина поседува речиси исто толку IPv4 адреси како Австрија, поточно повеќе од 11 милиони 11 (за споредба, Австрија има 640).
Ако не сакате сами да си играте со IP адреси (а не треба!), тогаш можете да ја користите услугата .
Дали има незакрпени Windows машини во Украина кои имаат директен пристап до Интернет?
Се разбира, ниту еден свесен Украинец нема да отвори таков пристап до нивните компјутери. Или ќе биде?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lПронајдени се 5669 Windows машини со директен пристап до мрежата (во Австрија има само 1273, но тоа е многу).
Упс. Има ли меѓу нив кои би можеле да бидат нападнати со користење на ETHERNALBLUE експлоати, кои се познати од 2017 година? Во Австрија немаше ниту една таква кола, а се надевав дека нема да се најде ниту во Украина. За жал, нема корист. Најдовме 198 IP адреси кои не ја затворија оваа „дупка“ сами по себе.
DNS, DDoS и длабочината на дупката за зајаци
Доста е за Windows. Ајде да видиме што имаме со DNS серверите, кои се отворени резолутори и можат да се користат за DDoS напади.
Работи вака нешто. Напаѓачот испраќа мало барање за DNS, а ранливиот сервер одговара на жртвата со пакет кој е 100 пати поголем. Бум! Корпоративните мрежи можат брзо да пропаднат од толкав обем на податоци, а нападот бара пропусниот опсег што модерен паметен телефон може да го обезбеди. И имаше такви напади дури и на GitHub.
Ајде да видиме дали има такви сервери во Украина.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lПрвиот чекор е да ги пронајдете оние што имаат отворена порта 53. Како резултат на тоа, имаме листа од 58 IP адреси, но тоа не значи дека сите од нив може да се користат за DDoS напад. Второто барање мора да се исполни, имено тие да бидат отворени за решавање.
За да го направите ова, можеме да користиме едноставна команда dig и да видиме дека можеме да „копаме“ dig + short test.openresolver.com TXT @ip.of.dns.server. Ако серверот одговори со отворено-резолатор-откриено, тогаш може да се смета за потенцијална цел на напад. Отворените разрешувачи сочинуваат приближно 25%, што е споредливо со Австрија. Во однос на вкупниот број, ова е околу 0,02% од сите украински IP адреси.
Што друго можете да најдете во Украина?
Мило ми е што прашавте. Полесно е (и најинтересно за мене лично) да се погледне IP со отворена порта 80 и што работи на неа.
веб сервер
260 украински IP-адреси одговараат на портата 849 (http). 80 адреси одговориле позитивно (125 статус) на едноставно барање GET што може да го испрати вашиот прелистувач. Остатокот предизвика една или друга грешка. Интересно е што 444 сервери издадоа статус од 200, а најретките статуси беа 853 (барање за авторизација на прокси) и целосно нестандардниот 500 (IP не е во „белата листа“) за еден одговор.
Apache е апсолутно доминантен - го користат 114 сервери. Најстарата верзија што ја најдов во Украина е 544, објавена на 1.3.29 октомври 29 година (!!!). nginx е на второ место со 2003 сервери.
11 сервери користат WinCE, кој беше објавен во 1996 година, а завршија со закрпи во 2013 година (има само 4 од нив во Австрија).
Протоколот HTTP/2 користи 5 сервери, HTTP/144 - 1.1, HTTP/256 - 836.
Принтери... затоа што... зошто да не?
2 HP, 5 Epson и 4 Canon, кои се достапни од мрежата, некои од нив без никакво овластување.
веб камери
Не е новост дека во Украина има МНОГУ веб-камери кои се емитуваат на Интернет, собрани на различни ресурси. Најмалку 75 камери се емитуваат на Интернет без никаква заштита. Можете да ги погледнете .
Што е следно?
Украина е мала земја, како Австрија, но ги има истите проблеми како големите земји во ИТ секторот. Треба да развиеме подобро разбирање за тоа што е безбедно, а што е опасно, а производителите на опрема мора да обезбедат безбедни почетни конфигурации за нивната опрема.
Покрај тоа, собирам партнерски компании (), што може да ви помогне да го обезбедите интегритетот на вашата сопствена ИТ инфраструктура. Следниот чекор што планирам да го направам е да ја прегледам безбедноста на украинските веб-страници. Не менувај!
Извор: www.habr.com