నేను ఉక్రెయిన్‌ని స్కాన్ చేసాను

ఫిబ్రవరిలో, ఆస్ట్రియన్ క్రిస్టియన్ హస్చెక్ తన బ్లాగులో ఒక ఆసక్తికరమైన కథనాన్ని ప్రచురించాడు "నేను ఆస్ట్రియా మొత్తాన్ని స్కాన్ చేసాను". వాస్తవానికి, ఈ అధ్యయనం పునరావృతమైతే ఏమి జరుగుతుందనే దానిపై నేను ఆసక్తి కలిగి ఉన్నాను, కానీ ఉక్రెయిన్‌తో. అనేక వారాల రౌండ్-ది-క్లాక్ సమాచారం సేకరణ, కథనాన్ని సిద్ధం చేయడానికి మరికొన్ని రోజులు, మరియు ఈ పరిశోధన సమయంలో, మన సమాజంలోని వివిధ ప్రతినిధులతో సంభాషణలు, ఆపై స్పష్టం చేయండి, ఆపై మరింత తెలుసుకోండి. దయచేసి కట్ కింద...

TL; DR

సమాచారాన్ని సేకరించడానికి ప్రత్యేక సాధనాలు ఏవీ ఉపయోగించబడలేదు (అయితే చాలా మంది వ్యక్తులు పరిశోధనను మరింత క్షుణ్ణంగా మరియు సమాచారంగా చేయడానికి అదే OpenVASని ఉపయోగించమని సలహా ఇచ్చారు). ఉక్రెయిన్‌కు సంబంధించిన IPల భద్రతతో (ఇది క్రింద ఎలా నిర్ణయించబడింది అనేదానిపై), నా అభిప్రాయం ప్రకారం, పరిస్థితి చాలా చెడ్డది (మరియు ఆస్ట్రియాలో ఏమి జరుగుతుందో దాని కంటే ఖచ్చితంగా అధ్వాన్నంగా ఉంది). కనుగొనబడిన హాని కలిగించే సర్వర్‌లను ఉపయోగించుకోవడానికి ఎటువంటి ప్రయత్నాలు చేయలేదు లేదా ప్లాన్ చేయలేదు.

అన్నింటిలో మొదటిది: మీరు ఒక నిర్దిష్ట దేశానికి చెందిన అన్ని IP చిరునామాలను ఎలా పొందవచ్చు?

ఇది నిజానికి చాలా సులభం. IP చిరునామాలు దేశం ద్వారానే రూపొందించబడవు, కానీ దానికి కేటాయించబడతాయి. అందువల్ల, అన్ని దేశాలు మరియు వాటికి చెందిన అన్ని IPల జాబితా (మరియు ఇది పబ్లిక్) ఉంది.

అందరూ చేయగలరు దానిని డౌన్లోడ్ చేయండిఆపై దానిని grep ఉక్రెయిన్ IP2LOCATION-LITE-DB1.CSV> ukraine.csv ఫిల్టర్ చేయండి

క్రిస్టియన్ సృష్టించిన సాధారణ స్క్రిప్ట్, జాబితాను మరింత ఉపయోగపడే రూపంలోకి తీసుకురావడానికి మిమ్మల్ని అనుమతిస్తుంది.

ఉక్రెయిన్ ఆస్ట్రియా వలె దాదాపు అనేక IPv4 చిరునామాలను కలిగి ఉంది, ఖచ్చితంగా చెప్పాలంటే 11 మిలియన్ 11 కంటే ఎక్కువ (పోలిక కోసం, ఆస్ట్రియాలో 640 ఉంది).

మీరు మీరే IP చిరునామాలతో ఆడకూడదనుకుంటే (మరియు మీరు చేయకూడదు!), అప్పుడు మీరు సేవను ఉపయోగించవచ్చు షోడాన్.యో.

ఉక్రెయిన్‌లో ఏదైనా అన్‌ప్యాచ్ చేయని విండోస్ మెషీన్‌లు ఇంటర్నెట్‌కు ప్రత్యక్ష ప్రాప్యతను కలిగి ఉన్నాయా?

వాస్తవానికి, ఒక చేతన ఉక్రేనియన్ కూడా వారి కంప్యూటర్‌లకు అలాంటి ప్రాప్యతను తెరవరు. లేక ఉంటుందా?

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

నెట్‌వర్క్‌కు ప్రత్యక్ష ప్రాప్యతతో 5669 విండోస్ మెషీన్లు కనుగొనబడ్డాయి (ఆస్ట్రియాలో 1273 మాత్రమే ఉన్నాయి, కానీ అది చాలా ఉంది).

అయ్యో. 2017 నుండి తెలిసిన ETHERNALBLUE దోపిడీలను ఉపయోగించి దాడి చేయగలిగిన వాటిలో ఏవైనా ఉన్నాయా? ఆస్ట్రియాలో అలాంటి ఒక్క కారు కూడా లేదు మరియు అది ఉక్రెయిన్‌లో కూడా కనుగొనబడదని నేను ఆశించాను. దురదృష్టవశాత్తు, ఇది ఉపయోగం లేదు. ఈ "రంధ్రాన్ని" మూసివేయని 198 IP చిరునామాలను మేము కనుగొన్నాము.

DNS, DDoS మరియు కుందేలు రంధ్రం యొక్క లోతు

విండోస్ గురించి సరిపోతుంది. DNS సర్వర్‌లతో మనకు ఏమి ఉందో చూద్దాం, అవి ఓపెన్-రిజల్వర్లు మరియు DDoS దాడులకు ఉపయోగించబడతాయి.

ఇది ఇలాంటి పని చేస్తుంది. దాడి చేసే వ్యక్తి చిన్న DNS అభ్యర్థనను పంపాడు మరియు హాని కలిగించే సర్వర్ బాధితుడికి 100 రెట్లు పెద్ద ప్యాకెట్‌తో ప్రతిస్పందిస్తుంది. బూమ్! అటువంటి డేటా వాల్యూమ్ నుండి కార్పొరేట్ నెట్‌వర్క్‌లు త్వరగా కుప్పకూలిపోతాయి మరియు దాడికి ఆధునిక స్మార్ట్‌ఫోన్ అందించగల బ్యాండ్‌విడ్త్ అవసరం. మరియు అలాంటి దాడులు జరిగాయి అసాధారణం కాదు GitHubలో కూడా.

ఉక్రెయిన్‌లో అలాంటి సర్వర్లు ఉన్నాయో లేదో చూద్దాం.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

ఓపెన్ పోర్ట్ 53 ఉన్న వాటిని కనుగొనడం మొదటి దశ. ఫలితంగా, మేము 58 IP చిరునామాల జాబితాను కలిగి ఉన్నాము, అయితే వాటన్నింటినీ DDoS దాడికి ఉపయోగించవచ్చని దీని అర్థం కాదు. రెండవ ఆవశ్యకతను తప్పక తీర్చాలి, అవి తప్పనిసరిగా ఓపెన్-రిసల్వర్‌గా ఉండాలి.

దీన్ని చేయడానికి, మేము ఒక సాధారణ డిగ్ కమాండ్‌ని ఉపయోగించవచ్చు మరియు మేము డిగ్ + షార్ట్ test.openresolver.com TXT @ip.of.dns.server "డిగ్" చేయగలమని చూడవచ్చు. సర్వర్ ఓపెన్-రిసల్వర్-డిటెక్టెడ్‌తో ప్రతిస్పందిస్తే, అది దాడికి సంభావ్య లక్ష్యంగా పరిగణించబడుతుంది. ఓపెన్ రిసల్వర్‌లు సుమారుగా 25% ఉంటాయి, ఇది ఆస్ట్రియాతో పోల్చవచ్చు. మొత్తం సంఖ్య పరంగా, ఇది మొత్తం ఉక్రేనియన్ IPలలో 0,02%.

ఉక్రెయిన్‌లో మీరు ఇంకా ఏమి కనుగొనగలరు?

మీరు అడిగినందుకు సంతోషం. ఓపెన్ పోర్ట్ 80తో IPని చూడటం మరియు దానిలో ఏమి నడుస్తోందో చూడటం చాలా సులభం (మరియు నాకు వ్యక్తిగతంగా అత్యంత ఆసక్తికరమైనది).

వెబ్ సర్వర్

260 ఉక్రేనియన్ IPలు పోర్ట్ 849 (http)కి ప్రతిస్పందిస్తాయి. మీ బ్రౌజర్ పంపగల సాధారణ GET అభ్యర్థనకు 80 చిరునామాలు సానుకూలంగా (125 స్థితి) ప్రతిస్పందించాయి. మిగిలినవి ఒకటి లేదా మరొక లోపాన్ని సృష్టించాయి. 444 సర్వర్‌లు 200 స్థితిని జారీ చేయడం ఆసక్తికరంగా ఉంది మరియు ఒక ప్రతిస్పందన కోసం అత్యంత అరుదైన స్థితిగతులు 853 (ప్రాక్సీ ఆథరైజేషన్ కోసం అభ్యర్థన) మరియు పూర్తిగా ప్రామాణికం కాని 500 (IP "వైట్ లిస్ట్"లో లేదు) ఉన్నాయి.

Apache పూర్తిగా ఆధిపత్యం - 114 సర్వర్లు దీనిని ఉపయోగిస్తాయి. ఉక్రెయిన్‌లో నేను కనుగొన్న పురాతన వెర్షన్ 544, అక్టోబర్ 1.3.29, 29న విడుదలైంది (!!!). nginx 2003 సర్వర్‌లతో రెండవ స్థానంలో ఉంది.

11 సర్వర్‌లు WinCEని ఉపయోగిస్తాయి, ఇది 1996లో విడుదలైంది మరియు వారు దానిని 2013లో ప్యాచ్ చేయడం పూర్తి చేశారు (ఆస్ట్రియాలో వీటిలో 4 మాత్రమే ఉన్నాయి).

HTTP/2 ప్రోటోకాల్ 5 సర్వర్‌లను ఉపయోగిస్తుంది, HTTP/144 - 1.1, HTTP/256 - 836.

ప్రింటర్లు... ఎందుకంటే... ఎందుకు కాదు?

2 HP, 5 Epson మరియు 4 Canon, వీటిని నెట్‌వర్క్ నుండి యాక్సెస్ చేయవచ్చు, వాటిలో కొన్ని ఎటువంటి అనుమతి లేకుండా.

వెబ్‌క్యామ్‌లు

ఉక్రెయిన్‌లో చాలా వెబ్‌క్యామ్‌లు తమను తాము ఇంటర్నెట్‌కు ప్రసారం చేస్తున్నాయని, వివిధ వనరులపై సేకరించినట్లు వార్తలు కాదు. కనీసం 75 కెమెరాలు ఎలాంటి రక్షణ లేకుండా ఇంటర్నెట్‌కు ప్రసారం చేస్తాయి. మీరు వాటిని చూడవచ్చు ఇక్కడ.

తరువాత ఏమిటి?

ఉక్రెయిన్ చిన్న దేశం, ఆస్ట్రియా వంటిది, కానీ ఐటీ రంగంలో పెద్ద దేశాల మాదిరిగానే సమస్యలు ఉన్నాయి. ఏది సురక్షితమైనది మరియు ఏది ప్రమాదకరమైనది అనే దాని గురించి మనం మంచి అవగాహనను పెంపొందించుకోవాలి మరియు పరికరాల తయారీదారులు తమ పరికరాల కోసం సురక్షితమైన ప్రారంభ కాన్ఫిగరేషన్‌లను అందించాలి.

అదనంగా, నేను భాగస్వామి కంపెనీలను సేకరిస్తాను (భాగస్వామి అవుతారు), ఇది మీ స్వంత IT ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క సమగ్రతను నిర్ధారించడంలో మీకు సహాయపడుతుంది. నేను చేయాలనుకుంటున్న తదుపరి దశ ఉక్రేనియన్ వెబ్‌సైట్‌ల భద్రతను సమీక్షించడం. మారవద్దు!

మూలం: www.habr.com