În februarie, austriacul Christian Haschek a publicat pe blogul său un articol interesant intitulat . Desigur, am devenit interesat de ce s-ar întâmpla dacă acest studiu s-ar repeta, dar cu Ucraina. Câteva săptămâni de colectare non-stop de informații, încă câteva zile pentru a pregăti articolul și, în timpul acestei cercetări, conversații cu diverși reprezentanți ai societății noastre, apoi clarificăm, apoi aflăm mai multe. Vă rog sub tăietură...
TL; DR
Nu au fost folosite instrumente speciale pentru a colecta informații (deși mai multe persoane au sfătuit să folosească același OpenVAS pentru a face cercetarea mai amănunțită și mai informativă). Cu securitatea IP-urilor care se referă la Ucraina (mai multe despre cum a fost determinată mai jos), situația, în opinia mea, este destul de proastă (și cu siguranță mai proastă decât ceea ce se întâmplă în Austria). Nu au fost făcute sau planificate încercări de exploatare a serverelor vulnerabile descoperite.
În primul rând: cum poți obține toate adresele IP care aparțin unei anumite țări?
De fapt, este foarte simplu. Adresele IP nu sunt generate de țara în sine, ci sunt alocate acesteia. Prin urmare, există o listă (și este publică) a tuturor țărilor și a tuturor IP-urilor care le aparțin.
Toată lumea poate și apoi filtrați-l grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, vă permite să aduceți lista într-o formă mai utilizabilă.
Ucraina deține aproape la fel de multe adrese IPv4 ca și Austria, mai mult de 11 milioane 11 mai exact (pentru comparație, Austria are 640).
Dacă nu doriți să vă jucați cu adresele IP (și nu ar trebui!), atunci puteți utiliza serviciul .
Există mașini Windows nepatchate în Ucraina care au acces direct la Internet?
Desigur, nici un singur ucrainean conștient nu va deschide un astfel de acces la computerele lor. Sau va fi?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lAu fost găsite 5669 de mașini Windows cu acces direct la rețea (în Austria sunt doar 1273, dar asta este mult).
Hopa! Există vreunul dintre ele care ar putea fi atacat folosind exploit-urile ETHERNALBLUE, care sunt cunoscute din 2017? În Austria nu exista nici o astfel de mașină și speram că nici în Ucraina nu se va găsi. Din păcate, nu are rost. Am găsit 198 de adrese IP care nu au închis acest „gau” în sine.
DNS, DDoS și adâncimea gropii iepurelui
Destul despre Windows. Să vedem ce avem cu serverele DNS, care sunt open-resolver și pot fi folosite pentru atacuri DDoS.
Funcționează așa ceva. Atacatorul trimite o cerere DNS mică, iar serverul vulnerabil răspunde victimei cu un pachet de 100 de ori mai mare. Bum! Rețelele corporative se pot prăbuși rapid de la un astfel de volum de date, iar un atac necesită lățimea de bandă pe care o poate oferi un smartphone modern. Și au fost astfel de atacuri chiar și pe GitHub.
Să vedem dacă există astfel de servere în Ucraina.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPrimul pas este să îi găsiți pe cei care au portul deschis 53. Ca urmare, avem o listă de 58 de adrese IP, dar asta nu înseamnă că toate pot fi folosite pentru un atac DDoS. A doua cerință trebuie îndeplinită, și anume trebuie să fie deschis-resolver.
Pentru a face acest lucru, putem folosi o comandă simplă dig și vedem că putem „sapă” dig + scurt test.openresolver.com TXT @ip.of.dns.server. Dacă serverul a răspuns cu open-resolver-detectat, atunci acesta poate fi considerat o țintă potențială de atac. Soluțiile deschise reprezintă aproximativ 25%, ceea ce este comparabil cu Austria. În ceea ce privește numărul total, acesta este aproximativ 0,02% din toate IP-urile ucrainene.
Ce mai poți găsi în Ucraina?
Mă bucur că ai întrebat. Este mai ușor (și cel mai interesant pentru mine personal) să mă uit la IP-ul cu portul deschis 80 și la ce rulează pe el.
server web
260 IP-uri ucrainene răspund la portul 849 (http). 80 de adrese au răspuns pozitiv (starea 125) la o simplă solicitare GET pe care browserul dumneavoastră o poate trimite. Restul a produs una sau alta eroare. Este interesant că 444 de servere au emis un statut de 200, iar cele mai rare stări au fost 853 (cerere de autorizare proxy) și complet non-standard 500 (IP care nu este în „lista albă”) pentru un răspuns.
Apache este absolut dominant - îl folosesc 114 de servere. Cea mai veche versiune pe care am găsit-o în Ucraina este 544, lansată pe 1.3.29 octombrie 29 (!!!). nginx este pe locul doi cu 2003 de servere.
11 servere folosesc WinCE, care a fost lansat în 1996 și l-au terminat de corecţionat în 2013 (sunt doar 4 dintre acestea în Austria).
Protocolul HTTP/2 utilizează 5 de servere, HTTP/144 - 1.1, HTTP/256 - 836.
Imprimante... pentru că... de ce nu?
2 HP, 5 Epson și 4 Canon, care sunt accesibile din rețea, unele dintre ele fără nicio autorizație.
camere web
Nu este o știre că în Ucraina există o mulțime de camere web care se difuzează pe internet, colectate din diverse resurse. Cel puțin 75 de camere se difuzează pe internet fără nicio protecție. Poți să te uiți la ele .
Ce urmeaza?
Ucraina este o țară mică, precum Austria, dar are aceleași probleme ca țările mari din sectorul IT. Trebuie să dezvoltăm o mai bună înțelegere a ceea ce este sigur și a ceea ce este periculos, iar producătorii de echipamente trebuie să ofere configurații inițiale sigure pentru echipamentele lor.
În plus, colectez companii partenere (), care vă poate ajuta să asigurați integritatea propriei infrastructuri IT. Următorul pas pe care plănuiesc să-l fac este să examinez securitatea site-urilor web ucrainene. Nu comuta!
Sursa: www.habr.com