Pada bulan Februari, Christian Haschek dari Austria menerbitkan artikel menarik di blognya bertajuk . Sudah tentu, saya menjadi tertarik dengan apa yang akan berlaku jika kajian ini diulang, tetapi dengan Ukraine. Beberapa minggu pengumpulan maklumat sepanjang masa, beberapa hari lagi untuk menyediakan artikel, dan semasa penyelidikan ini, perbualan dengan pelbagai wakil masyarakat kita, kemudian menjelaskan, kemudian mengetahui lebih lanjut. Tolong di bawah potongan...
TL; DR
Tiada alat khas digunakan untuk mengumpul maklumat (walaupun beberapa orang menasihatkan menggunakan OpenVAS yang sama untuk menjadikan penyelidikan lebih teliti dan bermaklumat). Dengan keselamatan IP yang berkaitan dengan Ukraine (lebih lanjut mengenai bagaimana ia ditentukan di bawah), keadaan, pada pendapat saya, agak teruk (dan pasti lebih teruk daripada apa yang berlaku di Austria). Tiada percubaan telah dibuat atau dirancang untuk mengeksploitasi pelayan terdedah yang ditemui.
Pertama sekali: bagaimana anda boleh mendapatkan semua alamat IP milik negara tertentu?
Ia sebenarnya sangat mudah. Alamat IP tidak dijana oleh negara itu sendiri, tetapi diperuntukkan kepadanya. Oleh itu, terdapat senarai (dan ia adalah umum) semua negara dan semua IP milik mereka.
Semua orang boleh dan kemudian tapis ia grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, membolehkan anda membawa senarai ke dalam bentuk yang lebih boleh digunakan.
Ukraine memiliki hampir sama banyak alamat IPv4 seperti Austria, lebih daripada 11 juta 11 tepatnya (sebagai perbandingan, Austria mempunyai 640).
Jika anda tidak mahu bermain dengan alamat IP sendiri (dan anda tidak sepatutnya!), maka anda boleh menggunakan perkhidmatan tersebut .
Adakah terdapat mesin Windows yang tidak ditambal di Ukraine yang mempunyai akses terus ke Internet?
Sudah tentu, tidak seorang pun Ukraine sedar akan membuka akses tersebut kepada komputer mereka. Atau adakah ia akan menjadi?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lMesin Windows 5669 dengan akses terus ke rangkaian ditemui (di Austria hanya terdapat 1273, tetapi itu banyak).
Aduh. Adakah antara mereka yang boleh diserang menggunakan eksploitasi ETHERNALBLUE, yang telah diketahui sejak 2017? Tidak ada satu kereta seperti itu di Austria, dan saya berharap ia tidak akan ditemui di Ukraine sama ada. Malangnya, ia tidak berguna. Kami menemui 198 alamat IP yang tidak menutup "lubang" ini dalam diri mereka sendiri.
DNS, DDoS dan kedalaman lubang arnab
Cukup mengenai Windows. Mari lihat apa yang kita ada dengan pelayan DNS, yang merupakan penyelesai terbuka dan boleh digunakan untuk serangan DDoS.
Ia berfungsi seperti ini. Penyerang menghantar permintaan DNS kecil, dan pelayan yang terdedah bertindak balas kepada mangsa dengan paket yang 100 kali lebih besar. Boom! Rangkaian korporat boleh runtuh dengan cepat daripada jumlah data sedemikian, dan serangan memerlukan lebar jalur yang boleh disediakan oleh telefon pintar moden. Dan terdapat serangan sedemikian walaupun pada GitHub.
Mari lihat jika terdapat pelayan sedemikian di Ukraine.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lLangkah pertama ialah mencari mereka yang mempunyai port terbuka 53. Akibatnya, kami mempunyai senarai 58 alamat IP, tetapi ini tidak bermakna kesemuanya boleh digunakan untuk serangan DDoS. Keperluan kedua mesti dipenuhi, iaitu mereka mesti bersifat open-resolver.
Untuk melakukan ini, kita boleh menggunakan perintah dig yang mudah dan melihat bahawa kita boleh "menggali" dig + short test.openresolver.com TXT @ip.of.dns.server. Jika pelayan bertindak balas dengan penyelesai terbuka yang dikesan, maka ia boleh dianggap sebagai sasaran serangan yang berpotensi. Penyelesai terbuka membentuk kira-kira 25%, yang setanding dengan Austria. Dari segi jumlah bilangan, ini adalah kira-kira 0,02% daripada semua IP Ukraine.
Apa lagi yang boleh anda temui di Ukraine?
Senang awak bertanya. Lebih mudah (dan yang paling menarik bagi saya secara peribadi) untuk melihat IP dengan port terbuka 80 dan perkara yang berjalan padanya.
pelayan web
260 IP Ukraine bertindak balas kepada port 849 (http). 80 alamat bertindak balas secara positif (125 status) kepada permintaan GET mudah yang boleh dihantar oleh penyemak imbas anda. Selebihnya menghasilkan satu atau satu lagi ralat. Adalah menarik bahawa 444 pelayan mengeluarkan status 200, dan status paling jarang ialah 853 (permintaan kebenaran proksi) dan 500 tidak standard sepenuhnya (IP tiada dalam "senarai putih") untuk satu respons.
Apache benar-benar dominan - 114 pelayan menggunakannya. Versi tertua yang saya temui di Ukraine ialah 544, dikeluarkan pada 1.3.29 Oktober 29 (!!!). nginx berada di tempat kedua dengan 2003 pelayan.
11 pelayan menggunakan WinCE, yang dikeluarkan pada tahun 1996, dan mereka selesai menampalnya pada tahun 2013 (hanya terdapat 4 daripada ini di Austria).
Protokol HTTP/2 menggunakan 5 pelayan, HTTP/144 - 1.1, HTTP/256 - 836.
Pencetak... sebab... kenapa tidak?
2 HP, 5 Epson dan 4 Canon, yang boleh diakses daripada rangkaian, sebahagian daripadanya tanpa sebarang kebenaran.
kamera web
Bukan berita bahawa di Ukraine terdapat BANYAK webcam yang menyiarkan diri mereka ke Internet, dikumpulkan melalui pelbagai sumber. Sekurang-kurangnya 75 kamera menyiarkan diri mereka ke Internet tanpa sebarang perlindungan. Anda boleh melihat mereka .
Apa seterusnya?
Ukraine adalah sebuah negara kecil, seperti Austria, tetapi mempunyai masalah yang sama seperti negara besar dalam sektor IT. Kita perlu membangunkan pemahaman yang lebih baik tentang apa yang selamat dan apa yang berbahaya, dan pengeluar peralatan mesti menyediakan konfigurasi awal yang selamat untuk peralatan mereka.
Selain itu, saya mengumpul syarikat rakan kongsi (), yang boleh membantu anda memastikan integriti infrastruktur IT anda sendiri. Langkah seterusnya yang saya rancang untuk lakukan ialah menyemak keselamatan laman web Ukraine. Jangan tukar!
Sumber: www.habr.com