ในเดือนกุมภาพันธ์ Christian Haschek ชาวออสเตรียได้ตีพิมพ์บทความที่น่าสนใจในบล็อกของเขาชื่อ . แน่นอน ฉันเริ่มสนใจว่าจะเกิดอะไรขึ้นหากการศึกษานี้ซ้ำ แต่กับยูเครน รวบรวมข้อมูลตลอด XNUMX ชั่วโมงหลายสัปดาห์ อีกสองสามวันเพื่อเตรียมบทความ และในระหว่างการวิจัยนี้ การสนทนากับตัวแทนต่างๆ ในสังคมของเรา จากนั้นจึงชี้แจงแล้วหาข้อมูลเพิ่มเติม ขออนุญาติตัดครับ...
TL; DR
ไม่มีการใช้เครื่องมือพิเศษในการรวบรวมข้อมูล (แม้ว่าหลายคนจะแนะนำให้ใช้ OpenVAS เดียวกันเพื่อทำให้การวิจัยมีรายละเอียดและให้ข้อมูลมากขึ้น) ด้วยความปลอดภัยของ IP ที่เกี่ยวข้องกับยูเครน (เพิ่มเติมเกี่ยวกับวิธีการกำหนดด้านล่าง) ในความคิดของฉัน สถานการณ์ค่อนข้างแย่ (และแย่กว่าสิ่งที่เกิดขึ้นในออสเตรียอย่างแน่นอน) ไม่มีความพยายามหรือวางแผนที่จะใช้ประโยชน์จากเซิร์ฟเวอร์ที่มีช่องโหว่ที่ค้นพบ
ก่อนอื่น: คุณจะรับที่อยู่ IP ทั้งหมดที่เป็นของประเทศใดประเทศหนึ่งได้อย่างไร
จริงๆ แล้วมันเป็นเรื่องง่ายมาก ประเทศนั้นไม่ได้สร้างที่อยู่ IP แต่ได้รับการจัดสรรให้กับประเทศนั้น ดังนั้นจึงมีรายชื่อ (และเป็นสาธารณะ) ของทุกประเทศและ IP ทั้งหมดที่เป็นของพวกเขา
ทุกคนทำได้ จากนั้นกรองมัน grepยูเครน IP2LOCATION-LITE-DB1.CSV> ukraine.csv
ช่วยให้คุณสามารถนำรายการมาอยู่ในรูปแบบที่ใช้งานได้มากขึ้น
ยูเครนเป็นเจ้าของที่อยู่ IPv4 เกือบเท่ากับออสเตรีย ซึ่งมากกว่า 11 ล้าน 11 รายการ (สำหรับการเปรียบเทียบ ออสเตรียมี 640)
หากคุณไม่ต้องการเล่นกับที่อยู่ IP ด้วยตัวเอง (และไม่ควรทำเช่นนั้น!) คุณสามารถใช้บริการนี้ได้ .
มีเครื่อง Windows ที่ไม่ได้รับการติดตั้งในยูเครนที่สามารถเข้าถึงอินเทอร์เน็ตได้โดยตรงหรือไม่?
แน่นอนว่าไม่ใช่ชาวยูเครนที่มีสติสักคนเดียวที่จะเปิดการเข้าถึงคอมพิวเตอร์ของตนได้ หรือจะเป็น?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lพบเครื่อง Windows 5669 เครื่องที่สามารถเข้าถึงเครือข่ายโดยตรง (ในออสเตรียมีเพียง 1273 เครื่อง แต่นั่นเป็นจำนวนมาก)
อ๊ะ. มีใครบ้างในพวกเขาที่อาจถูกโจมตีโดยใช้การหาประโยชน์จาก ETHERNALBLUE ซึ่งเป็นที่รู้จักมาตั้งแต่ปี 2017? ไม่มีรถคันดังกล่าวในออสเตรียสักคันและฉันหวังว่าจะไม่พบในยูเครนเช่นกัน น่าเสียดายที่มันไม่มีประโยชน์ เราพบที่อยู่ IP 198 รายการที่ไม่ได้ปิด “ช่องโหว่” นี้ในตัวเอง
DNS, DDoS และความลึกของช่องโหว่
จบเรื่องวินโดวส์แล้ว มาดูกันว่าเรามีอะไรบ้างกับเซิร์ฟเวอร์ DNS ซึ่งเป็นตัวแก้ไขแบบเปิดและสามารถใช้สำหรับการโจมตี DDoS ได้
มันทำงานบางอย่างเช่นนี้ ผู้โจมตีส่งคำขอ DNS ขนาดเล็ก และเซิร์ฟเวอร์ที่มีช่องโหว่ตอบสนองต่อเหยื่อด้วยแพ็กเก็ตที่ใหญ่กว่า 100 เท่า บูม! เครือข่ายองค์กรสามารถล่มสลายได้อย่างรวดเร็วจากปริมาณข้อมูลดังกล่าว และการโจมตีต้องใช้แบนด์วิธที่สมาร์ทโฟนสมัยใหม่สามารถให้ได้ และมีการโจมตีดังกล่าว แม้กระทั่งบน GitHub
มาดูกันว่ามีเซิร์ฟเวอร์ดังกล่าวในยูเครนหรือไม่
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lขั้นตอนแรกคือการหาพอร์ตที่เปิดอยู่ 53 ด้วยเหตุนี้ เรามีรายการที่อยู่ IP 58 รายการ แต่ไม่ได้หมายความว่าที่อยู่ทั้งหมดสามารถใช้เพื่อการโจมตี DDoS ได้ ต้องเป็นไปตามข้อกำหนดที่สอง กล่าวคือ จะต้องเป็นแบบ open-resolver
ในการดำเนินการนี้ เราสามารถใช้คำสั่ง dig ง่ายๆ และดูว่าเราสามารถ "ขุด" dig + short test.openresolver.com TXT @ip.of.dns.server ได้ หากเซิร์ฟเวอร์ตอบสนองด้วยการตรวจจับตัวแก้ไขแบบเปิด ก็อาจถือเป็นเป้าหมายการโจมตีได้ ตัวแก้ไขแบบเปิดคิดเป็นประมาณ 25% ซึ่งเทียบได้กับออสเตรีย ในแง่ของจำนวนทั้งหมด นี่คือประมาณ 0,02% ของ IP ของยูเครนทั้งหมด
คุณพบอะไรอีกในยูเครน?
ดีใจที่คุณถาม ง่ายกว่า (และน่าสนใจที่สุดสำหรับฉันเป็นการส่วนตัว) ในการดู IP ที่เปิดพอร์ต 80 และสิ่งที่ทำงานอยู่
เว็บเซิร์ฟเวอร์
IP ของยูเครน 260 รายการตอบสนองต่อพอร์ต 849 (http) ที่อยู่ 80 แห่งตอบสนองเชิงบวก (125 สถานะ) ต่อคำขอ GET แบบง่ายที่เบราว์เซอร์ของคุณสามารถส่งได้ ส่วนที่เหลือทำให้เกิดข้อผิดพลาดอย่างใดอย่างหนึ่ง เป็นที่น่าสนใจที่เซิร์ฟเวอร์ 444 เครื่องออกสถานะ 200 และสถานะที่หายากที่สุดคือ 853 (คำขอให้อนุญาตพร็อกซี) และ 500 ที่ไม่ได้มาตรฐานโดยสิ้นเชิง (IP ไม่ได้อยู่ใน "รายการสีขาว") สำหรับการตอบกลับครั้งเดียว
Apache มีความโดดเด่นอย่างยิ่ง - มีเซิร์ฟเวอร์ 114 เครื่องที่ใช้งานอยู่ เวอร์ชันเก่าที่สุดที่ฉันพบในยูเครนคือ 544 เปิดตัวเมื่อวันที่ 1.3.29 ตุลาคม พ.ศ. 29 (!!!) nginx อยู่ในอันดับที่สองด้วยเซิร์ฟเวอร์ 2003 เครื่อง
เซิร์ฟเวอร์ 11 เครื่องใช้ WinCE ซึ่งเปิดตัวในปี 1996 และแพทช์เสร็จสิ้นในปี 2013 (มีเพียง 4 แห่งในออสเตรียเท่านั้น)
โปรโตคอล HTTP/2 ใช้เซิร์ฟเวอร์ 5, HTTP/144 - 1.1, HTTP/256 - 836
เครื่องพิมพ์... เพราะ... ทำไมจะไม่ได้ล่ะ?
2 HP, 5 Epson และ 4 Canon ซึ่งสามารถเข้าถึงได้จากเครือข่าย บางส่วนไม่ได้รับอนุญาต
เว็บแคม
ไม่ใช่ข่าวว่าในยูเครนมีเว็บแคมจำนวนมากที่แพร่ภาพทางอินเทอร์เน็ตโดยรวบรวมจากแหล่งข้อมูลต่างๆ กล้องอย่างน้อย 75 ตัวออกอากาศตัวเองบนอินเทอร์เน็ตโดยไม่มีการป้องกันใดๆ คุณสามารถดูพวกเขาได้ .
ทำอะไรต่อไป
ยูเครนเป็นประเทศเล็กๆ เช่น ออสเตรีย แต่มีปัญหาเช่นเดียวกับประเทศใหญ่ๆ ในภาคไอที เราจำเป็นต้องพัฒนาความเข้าใจให้ดีขึ้นว่าสิ่งใดปลอดภัยและสิ่งใดเป็นอันตราย และผู้ผลิตอุปกรณ์จะต้องจัดเตรียมการกำหนดค่าเริ่มต้นที่ปลอดภัยสำหรับอุปกรณ์ของตน
นอกจากนี้ ฉันรวบรวมบริษัทพันธมิตร () ซึ่งสามารถช่วยให้คุณมั่นใจในความสมบูรณ์ของโครงสร้างพื้นฐานด้านไอทีของคุณเอง ขั้นตอนต่อไปที่ฉันวางแผนจะทำคือตรวจสอบความปลอดภัยของเว็บไซต์ภาษายูเครน อย่าเปลี่ยน!
ที่มา: will.com