Şubat ayında Avusturyalı Hıristiyan Haschek, blogunda şu başlıklı ilginç bir makale yayınladı: . Tabii ki, bu çalışma Ukrayna'da tekrarlanırsa ne olacağıyla ilgilenmeye başladım. Birkaç hafta boyunca 24 saat boyunca bilgi toplanması, makalenin hazırlanması için birkaç gün daha ve bu araştırma sırasında toplumumuzun çeşitli temsilcileriyle yapılan görüşmeler, ardından açıklığa kavuşturulması ve daha fazlasının öğrenilmesi. Lütfen kesimin altında...
TL; DR
Bilgi toplamak için hiçbir özel araç kullanılmadı (her ne kadar birkaç kişi araştırmayı daha kapsamlı ve bilgilendirici hale getirmek için aynı OpenVAS'ı kullanmayı tavsiye etse de). Ukrayna ile ilgili fikri mülkiyet haklarının güvenliği konusunda (bunun nasıl belirlendiğine ilişkin daha fazla bilgi aşağıda), bence durum oldukça kötü (ve kesinlikle Avusturya'da olanlardan daha kötü). Keşfedilen güvenlik açığı bulunan sunuculardan yararlanmaya yönelik hiçbir girişimde bulunulmadı veya planlanmadı.
Öncelikle: Belirli bir ülkeye ait tüm IP adreslerini nasıl alabilirsiniz?
Aslında çok basit. IP adresleri ülkenin kendisi tarafından oluşturulmaz, ona tahsis edilir. Bu nedenle, tüm ülkelerin ve onlara ait tüm IP'lerin bir listesi vardır (ve halka açıktır).
Herkes yapabilir ve ardından filtreleyin grep Ukrayna IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, listeyi daha kullanışlı bir forma getirmenize olanak tanır.
Ukrayna, neredeyse Avusturya kadar IPv4 adresine sahip; tam olarak 11 milyon 11'dan fazla (karşılaştırma için Avusturya'nın 640 adresi var).
IP adresleriyle kendiniz oynamak istemiyorsanız (ve yapmamalısınız!), hizmeti kullanabilirsiniz. .
Ukrayna'da internete doğrudan erişimi olan yama yapılmamış Windows makineleri var mı?
Elbette bilinçli tek bir Ukraynalı bile bilgisayarlarına böyle bir erişim açmayacak. Yoksa olacak mı?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lAğa doğrudan erişimi olan 5669 Windows makinesi bulundu (Avusturya'da yalnızca 1273 tane var, ama bu çok fazla).
Hata. Aralarında 2017'den beri bilinen ETHERNALBLUE açıklarından yararlanılarak saldırıya uğrayabilecek herhangi biri var mı? Avusturya'da böyle bir araba yoktu ve Ukrayna'da da bulunmayacağını umuyordum. Ne yazık ki hiçbir faydası yok. Kendi içindeki bu “deliği” kapatmayan 198 IP adresi bulduk.
DNS, DDoS ve tavşan deliğinin derinliği
Windows hakkında bu kadar yeter. Açık çözümleyici olan ve DDoS saldırıları için kullanılabilen DNS sunucularında neler olduğuna bakalım.
Bunun gibi bir şey çalışıyor. Saldırgan küçük bir DNS isteği gönderir ve savunmasız sunucu, kurbana 100 kat daha büyük bir paketle yanıt verir. Boom! Kurumsal ağlar bu kadar büyük miktarda veri nedeniyle hızla çökebilir ve bir saldırı, modern bir akıllı telefonun sağlayabileceği bant genişliğini gerektirir. Ve bu tür saldırılar vardı GitHub'da bile.
Bakalım Ukrayna'da böyle sunucular var mı?
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lİlk adım, 53 numaralı bağlantı noktası açık olanları bulmaktır. Sonuç olarak elimizde 58 IP adresinden oluşan bir liste var ancak bu, bunların tamamının DDoS saldırısı için kullanılabileceği anlamına gelmiyor. İkinci şartın da sağlanması gerekiyor, yani açık çözümleyici olmaları gerekiyor.
Bunu yapmak için basit bir dig komutunu kullanabiliriz ve dig + short test.openresolver.com TXT @ip.of.dns.server “dig” yapabileceğimizi görebiliriz. Sunucu açık çözümleyici tarafından algılandı şeklinde yanıt verdiyse, potansiyel bir saldırı hedefi olarak değerlendirilebilir. Açık çözümleyiciler yaklaşık %25'lik bir orana sahiptir ve bu da Avusturya ile karşılaştırılabilir bir orandır. Toplam sayı açısından bu, tüm Ukrayna IP'lerinin yaklaşık %0,02'sidir.
Ukrayna'da başka neler bulabilirsiniz?
Sorduğuna sevindim. Açık bağlantı noktası 80 olan IP'ye ve üzerinde neyin çalıştığına bakmak daha kolay (ve kişisel olarak benim için en ilginç olanı).
Web sunucusu
260 Ukrayna IP'si 849 numaralı bağlantı noktasına (http) yanıt veriyor. Tarayıcınızın gönderebileceği basit bir GET isteğine 80 adres olumlu yanıt verdi (125 durumu). Geri kalanı şu veya bu hatayı üretti. 444 sunucunun 200 durumu vermesi ilginçtir ve bir yanıt için en nadir durumlar 853 (proxy yetkilendirme talebi) ve tamamen standart dışı 500 ("beyaz listede olmayan IP") idi.
Apache kesinlikle baskındır; 114 sunucu onu kullanıyor. Ukrayna'da bulduğum en eski sürüm 544 Ekim 1.3.29'te yayınlanan 29'dur (!!!). Nginx ise 2003 sunucuyla ikinci sırada yer alıyor.
11 sunucu, 1996'da piyasaya sürülen WinCE'yi kullanıyor ve 2013'te yamayı tamamladılar (bunlardan Avusturya'da sadece 4 tane var).
HTTP/2 protokolü 5 sunucu kullanır, HTTP/144 - 1.1, HTTP/256 - 836.
Yazıcılar... çünkü... neden olmasın?
Ağdan erişilebilen 2 HP, 5 Epson ve 4 Canon, bunlardan bazıları herhangi bir izin olmaksızın.
web kameraları
Ukrayna'da, çeşitli kaynaklarda toplanmış, kendilerini İnternet'te yayınlayan bir sürü web kamerasının olduğu bir haber değil. En az 75 kamera herhangi bir koruma olmadan internete yayın yapıyor. Onlara bakabilirsin .
Sırada ne var?
Ukrayna, Avusturya gibi küçük bir ülke ama bilişim sektöründe büyük ülkelerle aynı sorunları yaşıyor. Neyin güvenli, neyin tehlikeli olduğuna dair daha iyi bir anlayış geliştirmemiz gerekiyor ve ekipman üreticileri, ekipmanları için güvenli başlangıç konfigürasyonları sağlamalıdır.
Ayrıca partner firmaları da topluyorum (), kendi BT altyapınızın bütünlüğünü sağlamanıza yardımcı olabilir. Yapmayı planladığım bir sonraki adım Ukrayna web sitelerinin güvenliğini incelemek. Değiştirme!
Kaynak: habr.com