Në shkurt, austriaku Christian Haschek publikoi një artikull interesant në blogun e tij me titull . Sigurisht, u interesova se çfarë do të ndodhte nëse ky studim do të përsëritej, por me Ukrainën. Disa javë mbledhje informacioni XNUMX ore, edhe nja dy ditë për të përgatitur artikullin dhe gjatë këtij hulumtimi, biseda me përfaqësues të ndryshëm të shoqërisë sonë, më pas sqarohen, më pas zbulohen më shumë. Ju lutemi nën prerje...
TL; DR
Asnjë mjet i veçantë nuk u përdor për të mbledhur informacion (megjithëse disa njerëz këshilluan përdorimin e të njëjtit OpenVAS për ta bërë kërkimin më të plotë dhe informativ). Me sigurinë e IP-ve që lidhen me Ukrainën (më shumë se si u përcaktua më poshtë), situata, për mendimin tim, është mjaft e keqe (dhe padyshim më e keqe se ajo që po ndodh në Austri). Asnjë përpjekje nuk është bërë apo planifikuar për të shfrytëzuar serverët e pambrojtur të zbuluar.
Para së gjithash: si mund të merrni të gjitha adresat IP që i përkasin një vendi të caktuar?
Në fakt është shumë e thjeshtë. Adresat IP nuk gjenerohen nga vetë vendi, por i ndahen atij. Prandaj, ekziston një listë (dhe është publike) e të gjitha vendeve dhe të gjitha IP-të që u përkasin atyre.
Të gjithë munden dhe më pas filtrojeni grep Ukrainë IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ju lejon të sillni listën në një formë më të përdorshme.
Ukraina zotëron pothuajse aq adresa IPv4 sa Austria, më shumë se 11 milion 11 për të qenë të saktë (për krahasim, Austria ka 640).
Nëse nuk dëshironi të luani vetë me adresat IP (dhe nuk duhet!), atëherë mund të përdorni shërbimin .
A ka ndonjë makineri Windows të papatchuar në Ukrainë që ka qasje të drejtpërdrejtë në internet?
Sigurisht, asnjë ukrainas i vetëm i vetëdijshëm nuk do të hapë një akses të tillë në kompjuterët e tyre. Apo do të jetë?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lU gjetën 5669 makina Windows me qasje të drejtpërdrejtë në rrjet (në Austri ka vetëm 1273, por kjo është shumë).
Oops. A ka ndonjë prej tyre që mund të sulmohet duke përdorur shfrytëzimet ETHERNALBLUE, të cilat njihen që nga viti 2017? Nuk kishte asnjë makinë të tillë në Austri dhe shpresoja që nuk do të gjendej as në Ukrainë. Fatkeqësisht, nuk ka dobi. Ne gjetëm 198 adresa IP që nuk e mbyllën këtë "vrimë" në vetvete.
DNS, DDoS dhe thellësia e vrimës së lepurit
Mjaft për Windows. Le të shohim se çfarë kemi me serverët DNS, të cilët janë zgjidhës të hapur dhe mund të përdoren për sulme DDoS.
Punon diçka si kjo. Sulmuesi dërgon një kërkesë të vogël DNS dhe serveri i cenueshëm i përgjigjet viktimës me një paketë që është 100 herë më e madhe. Bum! Rrjetet e korporatave mund të shemben shpejt nga një vëllim i tillë të dhënash dhe një sulm kërkon gjerësinë e brezit që mund të sigurojë një smartphone modern. Dhe ka pasur sulme të tilla edhe në GitHub.
Le të shohim nëse ka serverë të tillë në Ukrainë.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lHapi i parë është të gjeni ato që kanë portin 53 të hapur. Si rezultat, ne kemi një listë me 58 adresa IP, por kjo nuk do të thotë që të gjitha ato mund të përdoren për një sulm DDoS. Kërkesa e dytë duhet të plotësohet, përkatësisht ato duhet të jenë të hapura.
Për ta bërë këtë, ne mund të përdorim një komandë të thjeshtë dig dhe të shohim se mund të "gërmojmë" dig + test të shkurtër test.openresolver.com TXT @ip.of.dns.server. Nëse serveri u përgjigj me zbulim të hapur-zgjidhës, atëherë ai mund të konsiderohet një objektiv i mundshëm sulmi. Zgjidhësit e hapur përbëjnë afërsisht 25%, që është e krahasueshme me Austrinë. Për sa i përket numrit të përgjithshëm, kjo është rreth 0,02% e të gjitha IP-ve të Ukrainës.
Çfarë tjetër mund të gjeni në Ukrainë?
Me vjen mire qe pyete. Është më e lehtë (dhe më interesante për mua personalisht) të shikosh IP-në me portën e hapur 80 dhe çfarë funksionon në të.
web server
260 IP të Ukrainës i përgjigjen portit 849 (http). 80 adresa iu përgjigjën pozitivisht (status 125) një kërkese të thjeshtë GET që mund të dërgojë shfletuesi juaj. Pjesa tjetër prodhoi një ose një gabim tjetër. Është interesante që 444 serverë lëshuan një status prej 200, dhe statuset më të rralla ishin 853 (kërkesë për autorizim proxy) dhe plotësisht jo standarde 500 (IP jo në "listën e bardhë") për një përgjigje.
Apache është absolutisht dominues - 114 serverë e përdorin atë. Versioni më i vjetër që gjeta në Ukrainë është 544, i lëshuar më 1.3.29 tetor 29 (!!!). nginx është në vendin e dytë me 2003 serverë.
11 serverë përdorin WinCE, i cili u lëshua në 1996, dhe ata përfunduan rregullimin e tij në 2013 (ka vetëm 4 prej tyre në Austri).
Protokolli HTTP/2 përdor 5 serverë, HTTP/144 - 1.1, HTTP/256 - 836.
Printera... sepse... pse jo?
2 HP, 5 Epson dhe 4 Canon, të cilat janë të aksesueshme nga rrjeti, disa prej tyre pa asnjë autorizim.
webcams
Nuk është lajm që në Ukrainë ka shumë kamera në internet që transmetojnë vetë në internet, të mbledhura në burime të ndryshme. Të paktën 75 kamera transmetohen në internet pa asnjë mbrojtje. Ju mund t'i shikoni ato .
Çka më tej?
Ukraina është një vend i vogël, si Austria, por ka të njëjtat probleme si vendet e mëdha në sektorin e IT. Ne duhet të zhvillojmë një kuptim më të mirë të asaj që është e sigurt dhe çfarë është e rrezikshme, dhe prodhuesit e pajisjeve duhet të ofrojnë konfigurime fillestare të sigurta për pajisjet e tyre.
Përveç kësaj, unë mbledh kompani partnere (), i cili mund t'ju ndihmojë të siguroni integritetin e infrastrukturës suaj të TI-së. Hapi tjetër që planifikoj të bëj është të rishikoj sigurinë e faqeve të internetit të Ukrainës. Mos ndërroni!
Burimi: www.habr.com