Аустријанац Кристијан Хашек је у фебруару на свом блогу објавио занимљив чланак под насловом . Наравно, заинтересовало ме је шта би било ако би се ова студија поновила, али са Украјином. Неколико недеља даноноћног прикупљања информација, још пар дана за припрему чланка, а током овог истраживања разговори са разним представницима нашег друштва, па појашњавање, па сазнање више. Молим вас испод реза...
ТЛ; ДР
За прикупљање информација нису коришћени никакви специјални алати (иако је неколико људи саветовало коришћење истог ОпенВАС-а како би истраживање било темељније и информативније). Са безбедношћу ИП-ова који се односе на Украјину (више о томе како је утврђено у наставку), ситуација је, по мом мишљењу, доста лоша (и дефинитивно гора од онога што се дешава у Аустрији). Нису учињени нити планирани покушаји да се искоришћавају откривени рањиви сервери.
Пре свега: како можете добити све ИП адресе које припадају одређеној земљи?
То је заправо врло једноставно. ИП адресе не генерише сама држава, већ јој се додељују. Дакле, постоји листа (и она је јавна) свих земаља и свих ИП адреса које им припадају.
Svako može а затим га филтрирајте греп Украјина ИП2ЛОЦАТИОН-ЛИТЕ-ДБ1.ЦСВ> украине.цсв
, омогућава вам да доведете листу у употребљивији облик.
Украјина поседује скоро исто толико ИПв4 адреса као Аустрија, тачније више од 11 милиона 11 (за поређење, Аустрија има 640).
Ако не желите сами да се играте са ИП адресама (а не би требало!), онда можете да користите услугу .
Да ли у Украјини постоје Виндовс машине без закрпе које имају директан приступ Интернету?
Наравно, ниједан свесни Украјинац неће отворити такав приступ својим рачунарима. Или ће бити?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lПронађено је 5669 Виндовс машина са директним приступом мрежи (у Аустрији их има само 1273, али то је много).
Упс. Има ли међу њима који би могли бити нападнути коришћењем ЕТХЕРНАЛБЛУЕ експлоата, који су познати од 2017. године? У Аустрији није било ниједног таквог аутомобила, а надао сам се да се неће наћи ни у Украјини. Нажалост, нема користи. Пронашли смо 198 ИП адреса које нису затвориле ову „рупу“ у себи.
ДНС, ДДоС и дубина зечје рупе
Доста о Виндовс-у. Хајде да видимо шта имамо са ДНС серверима, који су опен-ресолвери и могу се користити за ДДоС нападе.
Ради отприлике овако. Нападач шаље мали ДНС захтев, а рањиви сервер одговара жртви са пакетом који је 100 пута већи. Бум! Корпоративне мреже могу брзо да пропадну од такве количине података, а напад захтева пропусни опсег који савремени паметни телефон може да обезбеди. И било је таквих напада чак и на ГитХуб-у.
Да видимо да ли постоје такви сервери у Украјини.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lПрви корак је да пронађете оне који имају отворен порт 53. Као резултат, имамо листу од 58 ИП адреса, али то не значи да се све могу користити за ДДоС напад. Други услов мора бити испуњен, односно морају бити отворени за решавање.
Да бисмо то урадили, можемо користити једноставну команду диг и видети да можемо да „копамо“ диг + кратки тест.опенресолвер.цом ТКСТ @ип.оф.днс.сервер. Ако је сервер одговорио са опен-ресолвер-детецтед, онда се може сматрати потенцијалном метом напада. Отворени резолвери чине приближно 25%, што је упоредиво са Аустријом. Што се тиче укупног броја, ово је око 0,02% свих украјинских ИП-ова.
Шта још можете наћи у Украјини?
Драго ми је да сте питали. Лакше је (и мени лично најзанимљивије) погледати ИП са отвореним портом 80 и шта се на њему покреће.
веб сервер
260 украјинских ИП адреса одговара на порт 849 (хттп). 80 адреса је одговорило позитивно (125 статус) на једноставан ГЕТ захтев који ваш претраживач може да пошаље. Остатак је произвео једну или другу грешку. Занимљиво је да су 444 сервера дала статус 200, а најређи статуси су били 853 (захтев за прокси ауторизацију) и потпуно нестандардни 500 (ИП није на „белој листи“) за један одговор.
Апацхе је апсолутно доминантан - користи га 114 сервера. Најстарија верзија коју сам нашао у Украјини је 544, објављена 1.3.29. октобра 29. (!!!). нгинк је на другом месту са 2003 сервера.
11 сервера користи ВинЦЕ, који је објављен 1996. године, а закрпе су завршили 2013. (у Аустрији их има само 4).
ХТТП/2 протокол користи 5 сервера, ХТТП/144 - 1.1, ХТТП/256 - 836.
Штампачи... јер... зашто не?
2 ХП, 5 Епсон и 4 Цанон, који су доступни са мреже, неки од њих без икаквог овлашћења.
веб камере
Није новост да у Украјини постоји МНОГО веб камера које се емитују на Интернет, прикупљених на разним ресурсима. Најмање 75 камера се емитује на Интернет без икакве заштите. Можете их погледати .
Шта је следеће?
Украјина је мала земља, попут Аустрије, али има исте проблеме као и велике земље у ИТ сектору. Морамо да развијемо боље разумевање шта је безбедно, а шта опасно, а произвођачи опреме морају да обезбеде сигурне почетне конфигурације за своју опрему.
Поред тога, прикупљам партнерске компаније (), што вам може помоћи да обезбедите интегритет сопствене ИТ инфраструктуре. Следећи корак који планирам да урадим је да прегледам безбедност украјинских веб локација. Не мењај се!
Извор: ввв.хабр.цом