У лютому австрієць Christian Haschek у своєму блозі опублікував цікаву статтю під назвою . Звичайно, мені стало цікаво, що буде, якщо повторити це дослідження, але вже з Україною. Декілька тижнів цілодобового збору інформації, ще кілька днів на те, щоб оформити статтю, а протягом цього дослідження розмови з різними представниками нашого суспільства, то уточнити, то дізнатися більше. Прошу під кат.
TL, д-р
Для збору інформації не використовувалося жодних спеціальних засобів (хоча кілька людей радили використовувати той же OpenVAS, щоб зробити дослідження ґрунтовнішим та інформативнішим). З безпекою IP, які ставляться до України (нижче про те, як визначали), ситуація, на мій погляд, досить погана (і точно гірша за те, що відбувається в Австрії). Жодних спроб використовувати виявлені вразливі сервери не зроблено та не заплановано.
Насамперед: як можна отримати всі IP адреси, які належать до певної країни?
Це насправді дуже просто. IP адреси не генеруються країною, а виділяються їй. Тому є список (і він публічний) всіх країн та всіх IP, які їм належать.
Кожний може , а потім відфільтрувати його grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, дозволяє привести список до більш придатного для використання вигляду.
Україні належить майже стільки ж IPv4 адрес, як і Австрії, понад 11 млн. 11, якщо бути точним (для порівняння в Австрії - 640).
Якщо ви не хочете грати з IP адресами самостійно (і це не варто робити!), то можна використовувати сервіс .
Чи є в Україні непропатчені Windows машини, які мають прямий доступ до Інтернету?
Звичайно, жоден свідомий українець не відкриватиме такого доступу для своїх комп'ютерів. Чи буде?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 машин під Windows з прямим доступом до мережі знайдено (в Австрії таких лише 1273, але це багато).
Упс. Чи є серед них такі, що можна було атакувати за допомогою експлойтів ETHERNALBLUE, який відомий ще з 2017 року? В Австрії не було жодної такої машини, і я сподівався, що в Україні також не буде знайдено. На жаль, марно. Знайдено 198 IP адрес, які не закрили цю «дірку» у себе.
DNS, DDoS та глибина кролячої нори
Достатньо про Windows. Давайте подивимося, що у нас із DNS серверами, які є open-resolvers і можуть бути використані для DDoS атаки.
Це працює приблизно так. Атакуючий спрямовує маленький DNS запит, а вразливий сервер відповідає жертві пакетом, який більше 100 разів. Бум! Корпоративні мережі можуть швидко впасти від такого обсягу даних, а для атаки потрібна пропускна здатність, яку може забезпечити сучасний смартфон. І такі атаки були навіть на GitHub.
Побачимо, чи є такі сервери в Україні.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lПершим кроком знайдемо ті, що мають відкритий 53 порти. В результаті маємо список з 58 730 IP адрес, але це ще не означає, що всі вони можуть бути використані для DDoS атаки. Потрібно, щоб виконувалася друга вимога, саме вони мають бути open-resolver.
Для цього можна використати просту команду dig та побачити, що ми зможемо «накопати» dig+short test.openresolver.com TXT @ip.of.dns.server. Якщо сервер відповідав open-resolver-detected, його можна вважати потенційним об'єктом атаки. Open resolver складають приблизно 25%, що порівнювано з Австрією. З погляду загальної кількості, то це близько 0,02% усіх українських ІР.
Що ще можна знайти в Україні?
Радий, що ви спитали. Простіше (і найцікавіше для мене особисто) подивитися, IP з відкритим 80 портом і що на ньому «крутиться».
вебсервера
260 українських IP відповідають на 849 порт (http). 80 125 адреси позитивно відповіли (444 статус) на простенький GET запит, який може направити ваш браузер. Інші видали ті чи інші помилки. Цікаво, що 200 сервери видали 853 статус, а рідкісними статусами стали 500 (запит на авторизацію проксі) і абсолютно нестандартний 407 (IP не в «білому списку») по одній відповіді.
Apache домінує абсолютно - 114 сервери використовують саме його. Найстаріша зі знайдених мною версій в Україні — 544, що вийшла 1.3.29 жовтня 29 року (!!!). nginx на другому місці 2003 серверів.
11 серверів використовують WinCE, яка вийшла у 1996 році, а закінчили патчити її у 2013 році (в Австрії таких лише 4).
Протокол HTTP/2 використовує 5 серверів, HTTP / 144 - 1.1, HTTP / 256 - 836.
Принтери… бо… чому б ні?
2 HP, 5 Epson і 4 Canon, доступні з мережі, деякі з них без будь-якої авторизації.
вебкамери
Це не новина, що в Україні є дуже багато вебкамер, що транслюють себе в інтернет, зібраних на різних ресурсах. Принаймні 75 камер транслюють себе в інтернет без жодного захисту. Подивитися на них можна .
Що далі?
Україна є невеликою країною, як і Австрія, але має ті ж проблеми, що й великі країни у сфері ІТ. Нам необхідно виробити краще розуміння того, що є безпечним, а що небезпечним, а також виробники обладнання повинні надавати безпечну початкову конфігурацію обладнання.
Крім того, я збираю компанії-партнери (), які можуть допомогти вам забезпечити недоторканність власної ІТ інфраструктури. Наступним кроком планую зробити огляд безпеки українських сайтів. Не перемикайтеся!
Джерело: habr.com