Vo februári publikoval Rakúšan Christian Haschek na svojom blogu zaujímavý článok s názvom . Samozrejme, začalo ma zaujímať, čo by sa stalo, keby sa táto štúdia zopakovala, ale s Ukrajinou. Niekoľko týždňov nepretržitého zbierania informácií, ešte pár dní na prípravu článku a počas tohto výskumu rozhovory s rôznymi predstaviteľmi našej spoločnosti, potom objasnenie, potom zistite viac. Prosím pod rez...
TL; DR
Na zber informácií sa nepoužili žiadne špeciálne nástroje (hoci niekoľko ľudí odporúčalo používať rovnaký OpenVAS, aby bol výskum dôkladnejší a informatívnejší). So zabezpečením IP, ktoré sa týkajú Ukrajiny (viac o tom, ako sa to určovalo nižšie), je situácia podľa mňa dosť zlá (a rozhodne horšia ako to, čo sa deje v Rakúsku). Neboli uskutočnené ani plánované žiadne pokusy o zneužitie odhalených zraniteľných serverov.
Po prvé: ako môžete získať všetky adresy IP, ktoré patria určitej krajine?
Je to vlastne veľmi jednoduché. IP adresy si krajina sama negeneruje, ale jej prideľuje. Preto existuje zoznam (a je verejný) všetkých krajín a všetkých IP, ktoré k nim patria.
Každý môže a potom to filtrovať grep Ukrajina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, umožňuje uviesť zoznam do použiteľnejšej podoby.
Ukrajina vlastní takmer toľko IPv4 adries ako Rakúsko, presnejšie viac ako 11 miliónov 11 640 409 (na porovnanie, Rakúsko ich má 11 170 487).
Ak sa sami nechcete hrať s IP adresami (a to by ste nemali!), potom môžete službu využiť .
Existujú na Ukrajine nejaké neopravené počítače so systémom Windows, ktoré majú priamy prístup na internet?
Samozrejme, nejeden uvedomelý Ukrajinec si takýto prístup k svojim počítačom neotvorí. Alebo bude?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lNašlo sa 5669 počítačov so systémom Windows s priamym prístupom k sieti (v Rakúsku je ich len 1273, ale to je veľa).
Ojoj Sú medzi nimi nejaké, ktoré by bolo možné napadnúť pomocou exploitov ETHERNALBLUE, ktoré sú známe už od roku 2017? V Rakúsku nebolo ani jedno takéto auto a dúfal som, že sa nenájde ani na Ukrajine. Bohužiaľ je to zbytočné. Našli sme 198 IP adries, ktoré túto „dieru“ v sebe neuzavreli.
DNS, DDoS a hĺbka králičej nory
Dosť o Windowse. Pozrime sa, čo máme so servermi DNS, ktoré sú otvorené riešenia a možno ich použiť na útoky DDoS.
Funguje to nejako takto. Útočník odošle malú požiadavku DNS a zraniteľný server odpovie obeti paketom, ktorý je 100-krát väčší. Bum! Firemné siete sa môžu z takého objemu dát rýchlo zrútiť a útok si vyžaduje šírku pásma, ktorú dokáže poskytnúť moderný smartfón. A boli také útoky dokonca aj na GitHub.
Pozrime sa, či existujú takéto servery na Ukrajine.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lPrvým krokom je nájsť tie, ktoré majú otvorený port 53. Výsledkom je zoznam 58 730 IP adries, ale to neznamená, že všetky môžu byť použité na DDoS útok. Musí byť splnená druhá požiadavka, a to musia byť open-resolver.
Aby sme to urobili, môžeme použiť jednoduchý príkaz dig a uvidíme, že môžeme „vykopať“ + krátky test.openresolver.com TXT @ip.of.dns.server. Ak server odpovedal zisteným otvoreným riešením, možno ho považovať za potenciálny cieľ útoku. Otvorené resolvery tvoria približne 25 %, čo je porovnateľné s Rakúskom. Z hľadiska celkového počtu je to asi 0,02 % všetkých ukrajinských IP.
Čo ešte nájdete na Ukrajine?
Som rád, že si sa opýtal. Jednoduchšie (a pre mňa osobne najzaujímavejšie) je pozrieť sa na IP s otvoreným portom 80 a na to, čo na ňom beží.
webový server
260 849 ukrajinských IP adries reaguje na port 80 (http). 125 444 adries odpovedalo kladne (stav 200) na jednoduchú požiadavku GET, ktorú môže odoslať váš prehliadač. Zvyšok spôsobil jednu alebo druhú chybu. Zaujímavosťou je, že 853 serverov vydalo stav 500 a najzriedkavejšie stavy boli 407 (žiadosť o autorizáciu proxy) a úplne neštandardných 602 (IP nie je na „bielej listine“) na jednu odpoveď.
Apache je absolútne dominantný - používa ho 114 544 serverov. Najstaršia verzia, ktorú som našiel na Ukrajine, je 1.3.29, vydaná 29. októbra 2003 (!!!). nginx je na druhom mieste s 61 659 servermi.
11 serverov používa WinCE, ktorý bol vydaný v roku 1996 a dokončili ho v roku 2013 (v Rakúsku sú len 4).
Protokol HTTP/2 používa 5 144 serverov, HTTP/1.1 – 256 836, HTTP/1 – 13 491.
Tlačiarne... pretože... prečo nie?
2 HP, 5 Epson a 4 Canon, ktoré sú prístupné zo siete, niektoré z nich bez akéhokoľvek povolenia.
webové kamery
Nie je novinkou, že na Ukrajine existuje veľa webových kamier, ktoré sa vysielajú na internet a sú zhromaždené z rôznych zdrojov. Najmenej 75 kamier sa vysielalo na internet bez akejkoľvek ochrany. Môžete si ich pozrieť .
Čo bude ďalej?
Ukrajina je malá krajina ako Rakúsko, no má rovnaké problémy ako veľké krajiny v IT sektore. Musíme lepšie pochopiť, čo je bezpečné a čo nebezpečné, a výrobcovia zariadení musia poskytnúť bezpečné počiatočné konfigurácie pre svoje zariadenia.
Okrem toho zbieram partnerské spoločnosti (), čo vám môže pomôcť zabezpečiť integritu vašej vlastnej IT infraštruktúry. Ďalším krokom, ktorý plánujem urobiť, je kontrola bezpečnosti ukrajinských webových stránok. Neprepínajte sa!
Zdroj: hab.com