பிப்ரவரியில், ஆஸ்திரிய கிறிஸ்டியன் ஹாஷெக் தனது வலைப்பதிவில் ஒரு சுவாரஸ்யமான கட்டுரையை வெளியிட்டார் . நிச்சயமாக, இந்த ஆய்வு மீண்டும் மீண்டும் செய்தால் என்ன நடக்கும் என்பதில் நான் ஆர்வமாக இருந்தேன், ஆனால் உக்ரைனில். பல வாரங்கள் முழுக்க முழுக்க தகவல் சேகரிப்பு, கட்டுரையைத் தயாரிக்க இன்னும் இரண்டு நாட்கள், மேலும் இந்த ஆராய்ச்சியின் போது, நமது சமூகத்தின் பல்வேறு பிரதிநிதிகளுடன் உரையாடல், பின்னர் தெளிவுபடுத்துதல், பின்னர் மேலும் கண்டுபிடிக்கவும். தயவுசெய்து வெட்டுக்குக் கீழே...
டிஎல்; DR
தகவல்களைச் சேகரிக்க சிறப்புக் கருவிகள் எதுவும் பயன்படுத்தப்படவில்லை (ஆராய்ச்சியை இன்னும் முழுமையானதாகவும், தகவல் தருவதாகவும் செய்ய, அதே OpenVASஐப் பயன்படுத்த பலர் அறிவுறுத்தியிருந்தாலும்). உக்ரைனுடன் தொடர்புடைய ஐபிகளின் பாதுகாப்பில் (அது எவ்வாறு கீழே தீர்மானிக்கப்பட்டது என்பது பற்றி), என் கருத்துப்படி, நிலைமை மிகவும் மோசமாக உள்ளது (மற்றும் ஆஸ்திரியாவில் நடப்பதை விட நிச்சயமாக மோசமானது). கண்டறியப்பட்ட பாதிக்கப்படக்கூடிய சேவையகங்களைப் பயன்படுத்த எந்த முயற்சியும் மேற்கொள்ளப்படவில்லை அல்லது திட்டமிடப்படவில்லை.
முதலில்: ஒரு குறிப்பிட்ட நாட்டிற்குச் சொந்தமான அனைத்து ஐபி முகவரிகளையும் எப்படிப் பெறுவது?
இது உண்மையில் மிகவும் எளிமையானது. ஐபி முகவரிகள் நாட்டினால் உருவாக்கப்படுவதில்லை, ஆனால் அதற்கு ஒதுக்கப்படுகின்றன. எனவே, அனைத்து நாடுகளின் பட்டியல் (மற்றும் அது பொது) மற்றும் அவற்றிற்குச் சொந்தமான அனைத்து ஐபிகளும் உள்ளன.
எல்லோராலும் முடியும் பின்னர் அதை grep உக்ரைன் IP2LOCATION-LITE-DB1.CSV> ukraine.csv வடிகட்டவும்
, நீங்கள் பட்டியலை மிகவும் பயன்படுத்தக்கூடிய வடிவத்தில் கொண்டு வர அனுமதிக்கிறது.
உக்ரைன் ஆஸ்திரியாவைப் போலவே பல IPv4 முகவரிகளை வைத்திருக்கிறது, சரியாகச் சொல்வதானால் 11 மில்லியன் 11 (ஒப்பிடுகையில், ஆஸ்திரியா 640 ஐக் கொண்டுள்ளது).
நீங்கள் IP முகவரிகளுடன் விளையாட விரும்பவில்லை என்றால் (நீங்கள் செய்யக்கூடாது!), நீங்கள் சேவையைப் பயன்படுத்தலாம் .
இணையத்தை நேரடியாக அணுகக்கூடிய ஏதேனும் இணைக்கப்படாத விண்டோஸ் இயந்திரங்கள் உக்ரைனில் உள்ளதா?
நிச்சயமாக, ஒரு நனவான உக்ரேனியர் கூட தங்கள் கணினிகளுக்கு அத்தகைய அணுகலைத் திறக்க மாட்டார்கள். அல்லது இருக்குமா?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lநெட்வொர்க்கிற்கு நேரடி அணுகல் கொண்ட 5669 விண்டோஸ் இயந்திரங்கள் காணப்பட்டன (ஆஸ்திரியாவில் 1273 மட்டுமே உள்ளன, ஆனால் அது நிறைய உள்ளது).
அச்சச்சோ. 2017 ஆம் ஆண்டிலிருந்து அறியப்பட்ட ETHERNALBLUE சுரண்டல்களைப் பயன்படுத்தி தாக்கக்கூடிய ஏதேனும் உள்ளதா? ஆஸ்திரியாவில் இதுபோன்ற ஒரு கார் கூட இல்லை, அது உக்ரைனிலும் காணப்படாது என்று நான் நம்பினேன். துரதிருஷ்டவசமாக, அது எந்த பயனும் இல்லை. இந்த "துளையை" மூடாத 198 ஐபி முகவரிகளை நாங்கள் கண்டறிந்தோம்.
DNS, DDoS மற்றும் முயல் துளையின் ஆழம்
விண்டோஸ் பற்றி போதும். DNS சேவையகங்களில் என்ன இருக்கிறது என்பதைப் பார்ப்போம், அவை திறந்த-தீர்வுகள் மற்றும் DDoS தாக்குதல்களுக்குப் பயன்படுத்தப்படலாம்.
இது போன்ற ஏதாவது வேலை செய்கிறது. தாக்குபவர் ஒரு சிறிய DNS கோரிக்கையை அனுப்புகிறார், மேலும் பாதிக்கப்படக்கூடிய சேவையகம் பாதிக்கப்பட்டவருக்கு 100 மடங்கு பெரிய பாக்கெட் மூலம் பதிலளிக்கிறது. ஏற்றம்! கார்ப்பரேட் நெட்வொர்க்குகள் அத்தகைய அளவிலான தரவுகளிலிருந்து விரைவாகச் சரிந்துவிடும், மேலும் தாக்குதலுக்கு நவீன ஸ்மார்ட்போன் வழங்கக்கூடிய அலைவரிசை தேவைப்படுகிறது. மேலும் இதுபோன்ற தாக்குதல்கள் நடந்தன GitHub இல் கூட.
உக்ரைனில் இதுபோன்ற சேவையகங்கள் உள்ளதா என்று பார்ப்போம்.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lதிறந்த போர்ட் 53 உள்ளவற்றைக் கண்டுபிடிப்பதே முதல் படி. இதன் விளைவாக, எங்களிடம் 58 ஐபி முகவரிகளின் பட்டியல் உள்ளது, ஆனால் அவை அனைத்தும் DDoS தாக்குதலுக்கு பயன்படுத்தப்படலாம் என்று அர்த்தமல்ல. இரண்டாவது தேவை பூர்த்தி செய்யப்பட வேண்டும், அதாவது அவை திறந்த-தீர்வாக இருக்க வேண்டும்.
இதைச் செய்ய, நாம் ஒரு எளிய dig கட்டளையைப் பயன்படுத்தி, dig + short test.openresolver.com TXT @ip.of.dns.server ஐ "டிக்" செய்யலாம். சேவையகம் திறந்த-தீர்வு-கண்டறியப்பட்டவுடன் பதிலளித்தால், அது தாக்குதலின் சாத்தியமான இலக்காகக் கருதப்படலாம். திறந்த தீர்வுகள் தோராயமாக 25% ஆகும், இது ஆஸ்திரியாவுடன் ஒப்பிடத்தக்கது. மொத்த எண்ணிக்கையின் அடிப்படையில், இது அனைத்து உக்ரேனிய ஐபிகளில் 0,02% ஆகும்.
உக்ரைனில் வேறு என்ன காணலாம்?
நீங்கள் கேட்டதில் மகிழ்ச்சி. திறந்த போர்ட் 80 உடன் IP ஐப் பார்ப்பது மற்றும் அதில் என்ன இயங்குகிறது என்பதைப் பார்ப்பது எளிதானது (மற்றும் எனக்கு தனிப்பட்ட முறையில் மிகவும் சுவாரஸ்யமானது).
இணைய சேவையகம்
260 உக்ரேனிய ஐபிகள் போர்ட் 849 (http) க்கு பதிலளிக்கின்றன. உங்கள் உலாவி அனுப்பக்கூடிய எளிய GET கோரிக்கைக்கு 80 முகவரிகள் நேர்மறையாக (125 நிலை) பதிலளித்தன. மீதமுள்ளவை ஒன்று அல்லது மற்றொரு பிழையை உருவாக்கியது. 444 சேவையகங்கள் 200 நிலையை வழங்கியுள்ளன என்பது சுவாரஸ்யமானது, மேலும் ஒரு பதிலுக்காக மிகவும் அரிதான நிலைகள் 853 (ப்ராக்ஸி அங்கீகாரத்திற்கான கோரிக்கை) மற்றும் முற்றிலும் தரமற்ற 500 (ஐபி "வெள்ளை பட்டியலில்" இல்லை).
அப்பாச்சி முற்றிலும் ஆதிக்கம் செலுத்துகிறது - 114 சேவையகங்கள் இதைப் பயன்படுத்துகின்றன. உக்ரைனில் நான் கண்டறிந்த மிகப் பழமையான பதிப்பு 544, அக்டோபர் 1.3.29, 29 அன்று வெளியிடப்பட்டது (!!!). nginx 2003 சர்வர்களுடன் இரண்டாவது இடத்தில் உள்ளது.
11 சேவையகங்கள் WinCE ஐப் பயன்படுத்துகின்றன, இது 1996 இல் வெளியிடப்பட்டது, மேலும் அவர்கள் அதை 2013 இல் பேட்ச் செய்து முடித்தனர் (ஆஸ்திரியாவில் இவற்றில் 4 மட்டுமே உள்ளன).
HTTP/2 நெறிமுறை 5 சேவையகங்களைப் பயன்படுத்துகிறது, HTTP/144 - 1.1, HTTP/256 - 836.
பிரிண்டர்கள்... காரணம்... ஏன் இல்லை?
2 ஹெச்பி, 5 எப்சன் மற்றும் 4 கேனான், நெட்வொர்க்கிலிருந்து அணுகக்கூடியவை, அவற்றில் சில எந்த அங்கீகாரமும் இல்லாமல்.
வெப்கேம்கள்
உக்ரைனில் பல்வேறு ஆதாரங்களில் சேகரிக்கப்பட்ட ஏராளமான வெப்கேம்கள் இணையத்தில் ஒளிபரப்பப்படுகின்றன என்பது செய்தி அல்ல. குறைந்தபட்சம் 75 கேமராக்கள் எந்த பாதுகாப்பும் இல்லாமல் இணையத்தில் ஒளிபரப்பப்படுகின்றன. நீங்கள் அவற்றைப் பார்க்கலாம் .
அடுத்து என்ன?
உக்ரைன் ஒரு சிறிய நாடு, ஆஸ்திரியா போன்றது, ஆனால் ஐடி துறையில் பெரிய நாடுகளில் உள்ள அதே பிரச்சனைகள் உள்ளன. எது பாதுகாப்பானது மற்றும் எது ஆபத்தானது என்பதைப் பற்றிய சிறந்த புரிதலை நாம் உருவாக்க வேண்டும், மேலும் உபகரண உற்பத்தியாளர்கள் தங்கள் உபகரணங்களுக்கு பாதுகாப்பான ஆரம்ப கட்டமைப்புகளை வழங்க வேண்டும்.
கூடுதலாக, நான் கூட்டாளர் நிறுவனங்களை சேகரிக்கிறேன் (), இது உங்கள் சொந்த தகவல் தொழில்நுட்ப உள்கட்டமைப்பின் ஒருமைப்பாட்டை உறுதிப்படுத்த உதவும். உக்ரேனிய வலைத்தளங்களின் பாதுகாப்பை மறுபரிசீலனை செய்வதே நான் செய்ய திட்டமிட்டுள்ள அடுத்த படியாகும். மாறாதே!
ஆதாரம்: www.habr.com