Noong Pebrero, ang Austrian Christian Haschek ay naglathala ng isang kawili-wiling artikulo sa kanyang blog na pinamagatang . Siyempre, naging interesado ako sa kung ano ang mangyayari kung uulitin ang pag-aaral na ito, ngunit sa Ukraine. Ilang linggo ng round-the-clock na koleksyon ng impormasyon, ilang araw pa para ihanda ang artikulo, at sa panahon ng pananaliksik na ito, makipag-usap sa iba't ibang kinatawan ng ating lipunan, pagkatapos ay linawin, pagkatapos ay alamin ang higit pa. Mangyaring sa ilalim ng hiwa...
Tl; DR
Walang mga espesyal na tool ang ginamit upang mangolekta ng impormasyon (bagama't maraming tao ang nagpayo sa paggamit ng parehong OpenVAS upang gawing mas masinsinan at nagbibigay-kaalaman ang pananaliksik). Sa seguridad ng mga IP na nauugnay sa Ukraine (higit pa sa kung paano ito natukoy sa ibaba), ang sitwasyon, sa aking opinyon, ay medyo masama (at tiyak na mas masahol pa kaysa sa kung ano ang nangyayari sa Austria). Walang mga pagtatangka na ginawa o binalak na pagsamantalahan ang mga natuklasang mahinang server.
Una sa lahat: paano mo makukuha ang lahat ng IP address na kabilang sa isang partikular na bansa?
Ito ay talagang napaka-simple. Ang mga IP address ay hindi nabuo ng bansa mismo, ngunit inilalaan dito. Samakatuwid, mayroong isang listahan (at ito ay pampubliko) ng lahat ng mga bansa at lahat ng mga IP na kabilang sa kanila.
Lahat ay kayang at pagkatapos ay i-filter ito grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ay nagbibigay-daan sa iyong dalhin ang listahan sa isang mas magagamit na anyo.
Ang Ukraine ay nagmamay-ari ng halos kasing dami ng mga IPv4 address gaya ng Austria, higit sa 11 milyon 11 upang maging eksakto (para sa paghahambing, ang Austria ay mayroong 640).
Kung hindi mo gustong makipaglaro sa mga IP address sa iyong sarili (at hindi mo dapat!), Magagamit mo ang serbisyo .
Mayroon bang anumang unpatched na Windows machine sa Ukraine na may direktang access sa Internet?
Siyempre, walang isang nakakamalay na Ukrainian ang magbubukas ng gayong pag-access sa kanilang mga computer. O magiging?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Windows machine na may direktang access sa network ay natagpuan (sa Austria mayroon lamang 1273, ngunit iyon ay marami).
Oops. Mayroon bang sinuman sa kanila na maaaring maatake gamit ang mga pagsasamantala sa ETHERNALBLUE, na kilala mula noong 2017? Walang ganoong kotse sa Austria, at umaasa ako na hindi rin ito matatagpuan sa Ukraine. Sa kasamaang palad, ito ay walang silbi. Nakakita kami ng 198 IP address na hindi nagsara sa "butas" na ito sa kanilang mga sarili.
DNS, DDoS at ang lalim ng butas ng kuneho
Sapat na tungkol sa Windows. Tingnan natin kung ano ang mayroon tayo sa mga DNS server, na mga open-resolver at maaaring magamit para sa mga pag-atake ng DDoS.
Ito ay gumagana ng isang bagay tulad nito. Ang umaatake ay nagpapadala ng isang maliit na kahilingan sa DNS, at ang mahinang server ay tumugon sa biktima gamit ang isang packet na 100 beses na mas malaki. Boom! Maaaring mabilis na bumagsak ang mga corporate network mula sa ganoong dami ng data, at ang pag-atake ay nangangailangan ng bandwidth na maibibigay ng modernong smartphone. At may mga ganitong pag-atake kahit sa GitHub.
Tingnan natin kung may mga ganoong server sa Ukraine.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lAng unang hakbang ay hanapin ang mga may bukas na port 53. Bilang resulta, mayroon kaming listahan ng 58 IP address, ngunit hindi ito nangangahulugan na lahat ng mga ito ay magagamit para sa pag-atake ng DDoS. Ang pangalawang kinakailangan ay dapat matugunan, ibig sabihin, dapat silang maging open-resolver.
Upang gawin ito, maaari kaming gumamit ng isang simpleng dig command at makita na maaari naming "maghukay" maghukay + maikling test.openresolver.com TXT @ip.of.dns.server. Kung tumugon ang server nang may open-resolver-detected, maaari itong ituring na potensyal na target ng pag-atake. Ang mga bukas na solver ay bumubuo ng humigit-kumulang 25%, na maihahambing sa Austria. Sa mga tuntunin ng kabuuang bilang, ito ay tungkol sa 0,02% ng lahat ng Ukrainian IP.
Ano pa ang mahahanap mo sa Ukraine?
Natutuwa kang nagtanong. Mas madali (at ang pinaka-interesante para sa akin nang personal) na tingnan ang IP na may bukas na port 80 at kung ano ang tumatakbo dito.
web server
260 Ukrainian IP ang tumugon sa port 849 (http). 80 na mga address ang positibong tumugon (125 katayuan) sa isang simpleng kahilingan sa GET na maaaring ipadala ng iyong browser. Ang natitira ay gumawa ng isa o isa pang pagkakamali. Kapansin-pansin na ang 444 server ay naglabas ng katayuan na 200, at ang pinakabihirang mga katayuan ay 853 (kahilingan para sa awtorisasyon ng proxy) at ang ganap na hindi pamantayang 500 (IP wala sa βputing listahanβ) para sa isang tugon.
Ang Apache ay ganap na nangingibabaw - 114 na mga server ang gumagamit nito. Ang pinakalumang bersyon na nakita ko sa Ukraine ay 544, na inilabas noong Oktubre 1.3.29, 29 (!!!). Ang nginx ay nasa pangalawang lugar na may 2003 server.
11 server ang gumagamit ng WinCE, na inilabas noong 1996, at natapos nila itong i-patch noong 2013 (mayroong 4 lang sa Austria).
Gumagamit ang HTTP/2 protocol ng 5 server, HTTP/144 - 1.1, HTTP/256 - 836.
Mga printer... kasi... bakit hindi?
2 HP, 5 Epson at 4 Canon, na naa-access mula sa network, ang ilan sa mga ito ay walang pahintulot.
mga webcam
Hindi balita na sa Ukraine mayroong MARAMING mga webcam na nagbo-broadcast ng kanilang sarili sa Internet, na nakolekta sa iba't ibang mga mapagkukunan. Hindi bababa sa 75 camera ang nagbo-broadcast ng kanilang mga sarili sa Internet nang walang anumang proteksyon. Maaari mong tingnan ang mga ito .
Ano ang susunod?
Ang Ukraine ay isang maliit na bansa, tulad ng Austria, ngunit may parehong mga problema tulad ng malalaking bansa sa sektor ng IT. Kailangan nating bumuo ng isang mas mahusay na pag-unawa sa kung ano ang ligtas at kung ano ang mapanganib, at ang mga tagagawa ng kagamitan ay dapat magbigay ng ligtas na mga paunang pagsasaayos para sa kanilang kagamitan.
Bilang karagdagan, kinokolekta ko ang mga kasosyong kumpanya (), na makakatulong sa iyong matiyak ang integridad ng sarili mong imprastraktura ng IT. Ang susunod na hakbang na plano kong gawin ay suriin ang seguridad ng mga website ng Ukrainian. Huwag lumipat!
Pinagmulan: www.habr.com