W lutym Austriak Christian Haschek opublikował na swoim blogu ciekawy artykuł pt . Oczywiście zainteresowało mnie, co by się stało, gdyby to badanie powtórzono, ale z Ukrainą. Kilka tygodni całodobowego zbierania informacji, jeszcze kilka dni na przygotowanie artykułu, a w trakcie tych badań rozmowy z różnymi przedstawicielami naszego społeczeństwa, potem wyjaśnianie, potem dowiadywanie się więcej. Proszę pod nacięciem...
TL; DR
Do gromadzenia informacji nie używano żadnych specjalnych narzędzi (chociaż kilka osób zalecało używanie tego samego OpenVAS, aby badanie było bardziej szczegółowe i pouczające). Jeśli chodzi o bezpieczeństwo adresów IP, które dotyczą Ukrainy (więcej o tym, jak to ustalono poniżej), sytuacja moim zdaniem jest dość zła (i zdecydowanie gorsza niż to, co dzieje się w Austrii). Nie podejmowano ani nie planowano żadnych prób wykorzystania wykrytych podatnych na ataki serwerów.
Po pierwsze: w jaki sposób można uzyskać wszystkie adresy IP należące do określonego kraju?
To naprawdę bardzo proste. Adresy IP nie są generowane przez sam kraj, ale mu przydzielane. Dlatego istnieje lista (i jest publiczna) wszystkich krajów i wszystkich adresów IP, które do nich należą.
Każdy może a następnie przefiltruj go grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, pozwala nadać liście bardziej użyteczną formę.
Ukraina posiada prawie tyle samo adresów IPv4 co Austria, a dokładnie ponad 11 milionów 11 640 409 (dla porównania Austria ma ich 11 170 487).
Jeśli nie chcesz samodzielnie bawić się adresami IP (a nie powinieneś!), możesz skorzystać z usługi .
Czy na Ukrainie są jakieś niezałatane maszyny z systemem Windows, które mają bezpośredni dostęp do Internetu?
Oczywiście, żaden świadomy Ukrainiec nie otworzy takiego dostępu do swoich komputerów. Czy tak będzie?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lZnaleziono 5669 komputerów z systemem Windows z bezpośrednim dostępem do sieci (w Austrii jest ich tylko 1273, ale to dużo).
Ups. Czy są wśród nich takie, które można zaatakować przy wykorzystaniu znanych od 2017 roku exploitów ETHERNALBLUE? W Austrii nie było ani jednego takiego samochodu i miałem nadzieję, że nie spotka się go także na Ukrainie. Niestety, to nie ma sensu. Znaleźliśmy 198 adresów IP, które same w sobie nie zasypały tej „dziury”.
DNS, DDoS i głębokość króliczej nory
Dość o Windowsie. Zobaczmy, co mamy z serwerami DNS, które są open-resolwerami i mogą być wykorzystywane do ataków DDoS.
Działa mniej więcej tak. Atakujący wysyła małe żądanie DNS, a podatny na atak serwer odpowiada ofierze pakietem 100 razy większym. Bum! Sieci korporacyjne mogą szybko się załamać przy takiej ilości danych, a atak wymaga przepustowości, jaką może zapewnić nowoczesny smartfon. I były takie ataki nawet na GitHubie.
Zobaczmy, czy na Ukrainie są takie serwery.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPierwszym krokiem jest znalezienie tych, które mają otwarty port 53. W rezultacie mamy listę 58 730 adresów IP, ale nie oznacza to, że wszystkie z nich mogą zostać wykorzystane do ataku DDoS. Muszą zostać spełnione drugie wymaganie, a mianowicie muszą być open-resolwerem.
Aby to zrobić, możemy użyć prostego polecenia dig i zobaczyć, że możemy „kopać” dig + krótki test.openresolver.com TXT @ip.of.dns.server. Jeśli serwer odpowiedział wykryciem open-resolver, można go uznać za potencjalny cel ataku. Otwarte programy resolwerujące stanowią około 25%, co jest porównywalne z Austrią. W ujęciu ogółem jest to około 0,02% wszystkich ukraińskich adresów IP.
Co jeszcze można znaleźć na Ukrainie?
Cieszę się, że zapytałeś. Łatwiej (i dla mnie osobiście najciekawiej) jest przyjrzeć się adresowi IP z otwartym portem 80 i temu, co na nim działa.
serwer internetowy
260 849 ukraińskich adresów IP odpowiada na port 80 (http). 125 444 adresów odpowiedziało pozytywnie (status 200) na proste żądanie GET, które może wysłać Twoja przeglądarka. Reszta spowodowała ten czy inny błąd. Co ciekawe, 853 serwery wystawiły na jedną odpowiedź status 500, a najrzadsze statusy to 407 (prośba o autoryzację proxy) i zupełnie niestandardowe 602 (IP nie na „białej liście”).
Absolutnie dominuje Apache - korzystają z niego 114 544 serwery. Najstarsza wersja, jaką znalazłem na Ukrainie, to 1.3.29, wydana 29 października 2003 (!!!). Nginx jest na drugim miejscu z 61 659 serwerami.
11 serwerów korzysta z WinCE, który został wydany w 1996 r., a łatanie go zakończono w 2013 r. (w Austrii są tylko 4 takie serwery).
Protokół HTTP/2 wykorzystuje 5 serwerów, HTTP/144 – 1.1 256, HTTP/836 – 1 13.
Drukarki… bo… czemu nie?
2 HP, 5 Epson i 4 Canon, które są dostępne z sieci, niektóre bez żadnej autoryzacji.
kamery internetowe
Nie jest nowością, że na Ukrainie jest DUŻO kamer internetowych transmitujących się do Internetu, zebranych w różnych zasobach. Co najmniej 75 kamer transmituje do Internetu bez żadnej ochrony. Możesz na nie spojrzeć .
Co dalej?
Ukraina jest małym krajem, podobnie jak Austria, ale ma te same problemy, co duże kraje w sektorze IT. Musimy lepiej zrozumieć, co jest bezpieczne, a co niebezpieczne, a producenci sprzętu muszą zapewnić bezpieczną konfigurację początkową swojego sprzętu.
Ponadto zbieram firmy partnerskie (), które pomogą Ci zapewnić integralność własnej infrastruktury IT. Następnym krokiem, jaki planuję zrobić, będzie sprawdzenie bezpieczeństwa ukraińskich stron internetowych. Nie przełączaj!
Źródło: www.habr.com