Fi Frar, l-Awstrijak Christian Haschek ippubblika artiklu interessanti fuq il-blog tiegħu bit-titlu . Ovvjament, bdejt ninteressa ruħi f’dak li jiġri kieku dan l-istudju kien ripetut, iżda mal-Ukrajna. Diversi ġimgħat ta 'ġbir ta' informazzjoni round-the-clock, ftit jiem oħra biex tipprepara l-artiklu, u matul din ir-riċerka, konversazzjonijiet ma 'diversi rappreżentanti tas-soċjetà tagħna, imbagħad jiċċaraw, imbagħad issir taf aktar. Jekk jogħġbok taħt il-qatgħa...
TL; DR
L-ebda għodda speċjali ma ntużat biex tinġabar l-informazzjoni (għalkemm diversi nies taw parir li jużaw l-istess OpenVAS biex ir-riċerka ssir aktar bir-reqqa u informattiva). Bis-sigurtà tal-IPs li għandhom x'jaqsmu mal-Ukrajna (aktar dwar kif ġiet determinata hawn taħt), is-sitwazzjoni, fl-opinjoni tiegħi, hija pjuttost ħażina (u żgur agħar minn dak li qed jiġri fl-Awstrija). Ma saru jew ippjanati ebda tentattivi biex jiġu sfruttati s-servers vulnerabbli skoperti.
L-ewwelnett: kif tista 'tikseb l-indirizzi IP kollha li jappartjenu għal ċertu pajjiż?
Huwa fil-fatt sempliċi ħafna. L-indirizzi IP mhumiex iġġenerati mill-pajjiż innifsu, iżda allokati lilu. Għalhekk, hemm lista (u hija pubblika) tal-pajjiżi kollha u l-IPs kollha li jappartjenu lilhom.
Kulħadd jista’ u mbagħad iffiltrah grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, jippermettilek li ġġib il-lista f'forma aktar użabbli.
L-Ukrajna għandha kważi indirizzi IPv4 daqs l-Awstrija, aktar minn 11-il miljun 11 biex ikunu eżatti (għal tqabbil, l-Awstrija għandha 640).
Jekk ma tridx tilgħab bl-indirizzi IP lilek innifsek (u m'għandekx!), allura tista' tuża s-servizz .
Hemm xi magni tal-Windows mhux irranġati fl-Ukrajna li għandhom aċċess dirett għall-Internet?
Naturalment, mhux Ukraina konxja waħda se tiftaħ tali aċċess għall-kompjuters tagħhom. Jew se jkun?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lInstabu 5669 magni Windows b'aċċess dirett għan-netwerk (fl-Awstrija hemm biss 1273, iżda dan huwa ħafna).
Oops. Hemm xi wħud minnhom li jistgħu jiġu attakkati bl-użu ta 'exploits ETHERNALBLUE, li ilhom magħrufa mill-2017? Ma kienx hemm karozza waħda bħal din fl-Awstrija, u jien nittama li lanqas ma tinstab fl-Ukrajna. Sfortunatament, huwa ta 'ebda użu. Sibna indirizzi IP 198 li ma għalqux din it-“toqba” fihom infushom.
DNS, DDoS u l-fond tat-toqba tal-fenek
Biżżejjed dwar Windows. Ejja naraw x'għandna mas-servers DNS, li huma open-resolvers u jistgħu jintużaw għal attakki DDoS.
Jaħdem xi ħaġa bħal din. L-attakkant jibgħat talba żgħira tad-DNS, u s-server vulnerabbli jirrispondi lill-vittma b'pakkett li huwa 100 darba akbar. Boom! In-netwerks korporattivi jistgħu jikkrollaw malajr minn tali volum ta 'dejta, u attakk jeħtieġ il-bandwidth li smartphone modern jista' jipprovdi. U kien hemm attakki bħal dawn anke fuq GitHub.
Ejja naraw jekk hemmx servers bħal dawn fl-Ukrajna.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lL-ewwel pass huwa li ssib dawk li għandhom il-port miftuħ 53. Bħala riżultat, għandna lista ta 'indirizzi IP 58, iżda dan ma jfissirx li kollha kemm huma jistgħu jintużaw għal attakk DDoS. It-tieni rekwiżit għandu jiġi ssodisfat, jiġifieri għandhom ikunu open-resolver.
Biex nagħmlu dan, nistgħu nużaw kmand sempliċi ħaffer u naraw li nistgħu "ħaffer" dig + test qasir.openresolver.com TXT @ip.of.dns.server. Jekk is-server irrisponda bi open-resolver-skoperta, allura jista 'jitqies bħala mira potenzjali ta' attakk. Is-solventi miftuħa jiffurmaw madwar 25 %, li huwa komparabbli mal-Awstrija. F'termini tan-numru totali, dan huwa madwar 0,02% tal-IPs Ukraini kollha.
X'iktar tista' ssib fl-Ukrajna?
Ferħan li tlabt. Huwa aktar faċli (u l-aktar interessanti għalija personalment) li nħares lejn l-IP bil-port miftuħ 80 u dak li qed jaħdem fuqu.
server tal-web
260 IP Ukraini jirrispondu għall-port 849 (http). 80 indirizz wieġbu b'mod pożittiv (125 status) għal talba sempliċi GET li l-browser tiegħek jista' jibgħat. Il-bqija pproduċa żball wieħed jew ieħor. Huwa interessanti li 444 servers ħarġu status ta '200, u l-aktar status rari kienu 853 (talba għal awtorizzazzjoni ta' prokura) u 500 kompletament mhux standard (IP mhux fil-"lista bajda") għal tweġiba waħda.
Apache huwa assolutament dominanti - 114 servers jużawh. L-eqdem verżjoni li sibt fl-Ukrajna hija 544, rilaxxata fid-1.3.29 ta’ Ottubru 29 (!!!). nginx jinsab fit-tieni post b'2003 servers.
11-il server jużaw WinCE, li ġie rilaxxat fl-1996, u lestew irqiqha fl-2013 (hemm biss 4 minn dawn fl-Awstrija).
Il-protokoll HTTP/2 juża 5 servers, HTTP/144 - 1.1, HTTP/256 - 836.
Printers... għax... għaliex le?
2 HP, 5 Epson u 4 Canon, li huma aċċessibbli min-netwerk, uħud minnhom mingħajr ebda awtorizzazzjoni.
webcams
Mhix aħbar li fl-Ukrajna hemm ĦAFNA webcams li jxandru lilhom infushom fuq l-Internet, miġbura fuq diversi riżorsi. Mill-inqas 75 kamera jxandru lilhom infushom fuq l-Internet mingħajr ebda protezzjoni. Tista 'tħares lejhom .
Xi jmiss?
L-Ukrajna hija pajjiż żgħir, bħall-Awstrija, iżda għandha l-istess problemi bħal pajjiżi kbar fis-settur tal-IT. Jeħtieġ li niżviluppaw fehim aħjar ta 'x'inhu sikur u x'inhu perikoluż, u l-manifatturi tat-tagħmir għandhom jipprovdu konfigurazzjonijiet inizjali sikuri għat-tagħmir tagħhom.
Barra minn hekk, niġbor kumpaniji msieħba (), li jistgħu jgħinuk tiżgura l-integrità tal-infrastruttura tal-IT tiegħek stess. Il-pass li jmiss li qed nippjana li nagħmel huwa li nirrevedi s-sigurtà tal-websajts Ukraini. Taqlibx!
Sors: www.habr.com