فروری میں آسٹریا کے کرسچن ہاسیک نے اپنے بلاگ پر ایک دلچسپ مضمون شائع کیا جس کا عنوان تھا۔ . بلاشبہ، مجھے اس بات میں دلچسپی ہو گئی کہ اگر یہ مطالعہ دہرایا گیا تو کیا ہوگا، لیکن یوکرین کے ساتھ۔ چوبیس گھنٹے معلومات جمع کرنے کے کئی ہفتے، مضمون کی تیاری کے لیے مزید چند دن اور اس تحقیق کے دوران ہمارے معاشرے کے مختلف نمائندوں سے بات چیت، پھر وضاحت، پھر مزید معلومات۔ براہ کرم کٹ کے نیچے ...
TL؛ ڈاکٹر
معلومات جمع کرنے کے لیے کوئی خاص ٹولز استعمال نہیں کیے گئے تھے (حالانکہ کئی لوگوں نے تحقیق کو مزید مکمل اور معلوماتی بنانے کے لیے ایک ہی OpenVAS کا استعمال کرنے کا مشورہ دیا ہے)۔ آئی پی کی سیکیورٹی کے ساتھ جو یوکرین سے متعلق ہیں (اس کے بارے میں مزید ذیل میں کیسے طے کیا گیا تھا)، میری رائے میں، صورتحال کافی خراب ہے (اور یقینی طور پر اس سے بھی بدتر ہے جو آسٹریا میں ہو رہا ہے)۔ دریافت شدہ کمزور سرورز سے فائدہ اٹھانے کی کوئی کوشش یا منصوبہ بندی نہیں کی گئی ہے۔
سب سے پہلے: آپ ان تمام IP پتے کیسے حاصل کر سکتے ہیں جو کسی خاص ملک سے تعلق رکھتے ہیں؟
یہ دراصل بہت آسان ہے۔ آئی پی ایڈریس خود ملک کے ذریعہ تیار نہیں کیے جاتے ہیں، بلکہ اس کے لیے مختص کیے جاتے ہیں۔ لہذا، تمام ممالک اور ان کے تمام IPs کی ایک فہرست (اور یہ عوامی ہے) ہے۔
ہر کوئی کر سکتا ہے۔ اور پھر اسے فلٹر کریں grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
، آپ کو فہرست کو مزید قابل استعمال شکل میں لانے کی اجازت دیتا ہے۔
یوکرین تقریباً اتنے ہی IPv4 پتوں کا مالک ہے جتنے آسٹریا، درست ہونے کے لیے 11 ملین 11 سے زیادہ (مقابلے کے لیے، آسٹریا کے پاس 640 ہیں)۔
اگر آپ خود IP پتوں کے ساتھ نہیں کھیلنا چاہتے ہیں (اور آپ کو ایسا نہیں کرنا چاہئے)، تو آپ سروس استعمال کر سکتے ہیں۔ .
کیا یوکرین میں ایسی کوئی غیر پیچ شدہ ونڈوز مشینیں ہیں جن کو انٹرنیٹ تک براہ راست رسائی حاصل ہے؟
بلاشبہ، ایک بھی ذی شعور یوکرائنی اپنے کمپیوٹر تک اس طرح کی رسائی نہیں کھولے گا۔ یا یہ ہو گا؟
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lنیٹ ورک تک براہ راست رسائی کے ساتھ 5669 ونڈوز مشینیں ملیں (آسٹریا میں صرف 1273 ہیں، لیکن یہ بہت زیادہ ہے)۔
افوہ کیا ان میں سے کوئی ایسا ہے جس پر ETHERNALBLUE کارناموں کا استعمال کرتے ہوئے حملہ کیا جا سکتا ہے، جو 2017 سے مشہور ہیں؟ آسٹریا میں ایسی ایک بھی کار نہیں تھی، اور مجھے امید تھی کہ یہ یوکرین میں بھی نہیں ملے گی۔ بدقسمتی سے، اس کا کوئی فائدہ نہیں ہے۔ ہمیں 198 آئی پی ایڈریس ملے جنہوں نے اپنے اندر اس "سوراخ" کو بند نہیں کیا۔
DNS، DDoS اور خرگوش کے سوراخ کی گہرائی
ونڈوز کے بارے میں کافی ہے۔ آئیے دیکھتے ہیں کہ ہمارے پاس DNS سرورز کے ساتھ کیا ہے، جو کھلے حل کرنے والے ہیں اور DDoS حملوں کے لیے استعمال کیے جا سکتے ہیں۔
یہ کچھ اس طرح کام کرتا ہے۔ حملہ آور ایک چھوٹی DNS درخواست بھیجتا ہے، اور کمزور سرور شکار کو ایک پیکٹ کے ساتھ جواب دیتا ہے جو 100 گنا بڑا ہوتا ہے۔ بوم! کارپوریٹ نیٹ ورک ڈیٹا کے اتنے حجم سے تیزی سے گر سکتے ہیں، اور حملے کے لیے بینڈوڈتھ کی ضرورت ہوتی ہے جو ایک جدید اسمارٹ فون فراہم کر سکتا ہے۔ اور ایسے حملے ہوتے تھے۔ یہاں تک کہ GitHub پر بھی۔
آئیے دیکھتے ہیں کہ کیا یوکرین میں ایسے سرور موجود ہیں۔
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lپہلا قدم ان لوگوں کو تلاش کرنا ہے جن کے پاس پورٹ 53 کھلا ہے۔ نتیجے کے طور پر، ہمارے پاس 58 IP پتوں کی فہرست ہے، لیکن اس کا مطلب یہ نہیں ہے کہ ان سب کو DDoS حملے کے لیے استعمال کیا جا سکتا ہے۔ دوسری ضرورت پوری ہونی چاہیے، یعنی وہ کھلے حل کرنے والے ہوں۔
ایسا کرنے کے لیے، ہم ایک سادہ dig کمانڈ استعمال کر سکتے ہیں اور دیکھ سکتے ہیں کہ ہم "Dig" dig + short test.openresolver.com TXT @ip.of.dns.server کر سکتے ہیں۔ اگر سرور نے اوپن ریزولور کے ساتھ جواب دیا، تو اسے حملے کا ممکنہ ہدف سمجھا جا سکتا ہے۔ کھلے حل کرنے والے تقریباً 25% بنتے ہیں، جو آسٹریا سے موازنہ ہے۔ کل تعداد کے لحاظ سے، یہ یوکرین کے تمام IPs کا تقریباً 0,02% ہے۔
آپ یوکرین میں اور کیا تلاش کر سکتے ہیں؟
خوشی ہوئی آپ نے پوچھا۔ اوپن پورٹ 80 والے آئی پی کو دیکھنا اور اس پر کیا چل رہا ہے یہ آسان ہے (اور ذاتی طور پر میرے لیے سب سے زیادہ دلچسپ)۔
ویب سرور
260 یوکرینی آئی پیز پورٹ 849 (http) پر جواب دیتے ہیں۔ 80 پتوں نے ایک سادہ GET درخواست کا مثبت جواب دیا (125 اسٹیٹس) جسے آپ کا براؤزر بھیج سکتا ہے۔ باقی نے ایک یا دوسری غلطی پیدا کی۔ یہ دلچسپ بات ہے کہ 444 سرورز نے 200 کا اسٹیٹس جاری کیا، اور نایاب اسٹیٹس 853 تھے (پراکسی اجازت کی درخواست) اور مکمل طور پر غیر معیاری 500 (آئی پی "وائٹ لسٹ" میں نہیں) ایک جواب کے لیے۔
اپاچی بالکل غالب ہے - 114 سرور اسے استعمال کرتے ہیں۔ مجھے یوکرین میں ملا سب سے پرانا ورژن 544 ہے، جو 1.3.29 اکتوبر 29 کو جاری ہوا (!!!)۔ nginx 2003 سرورز کے ساتھ دوسرے نمبر پر ہے۔
11 سرورز WinCE کا استعمال کرتے ہیں، جو 1996 میں جاری کیا گیا تھا، اور انہوں نے اسے 2013 میں پیوند کرنا مکمل کیا (ان میں سے صرف 4 آسٹریا میں ہیں)۔
HTTP/2 پروٹوکول 5 سرورز، HTTP/144 - 1.1، HTTP/256 - 836 استعمال کرتا ہے۔
پرنٹرز... کیونکہ... کیوں نہیں؟
2 HP، 5 Epson اور 4 Canon، جو نیٹ ورک سے قابل رسائی ہیں، ان میں سے کچھ بغیر کسی اجازت کے۔
ویب کیمز
یہ خبر نہیں ہے کہ یوکرین میں بہت سارے ویب کیمز خود کو انٹرنیٹ پر نشر کر رہے ہیں، مختلف وسائل پر جمع کیے گئے ہیں۔ کم از کم 75 کیمرے بغیر کسی تحفظ کے خود کو انٹرنیٹ پر نشر کرتے ہیں۔ آپ انہیں دیکھ سکتے ہیں۔ .
اس کے بعد کیا ہے؟
یوکرین ایک چھوٹا ملک ہے، آسٹریا کی طرح، لیکن آئی ٹی کے شعبے میں بڑے ممالک کے برابر مسائل ہیں۔ ہمیں اس بات کی بہتر تفہیم تیار کرنے کی ضرورت ہے کہ کیا محفوظ ہے اور کیا خطرناک ہے، اور سازوسامان کے مینوفیکچررز کو اپنے آلات کے لیے محفوظ ابتدائی ترتیب فراہم کرنی چاہیے۔
اس کے علاوہ میں پارٹنر کمپنیوں کو جمع کرتا ہوں ()، جو آپ کے اپنے IT انفراسٹرکچر کی سالمیت کو یقینی بنانے میں آپ کی مدد کر سکتا ہے۔ اگلا مرحلہ جو میں کرنے کا ارادہ رکھتا ہوں وہ یوکرینی ویب سائٹس کی حفاظت کا جائزہ لے رہا ہے۔ سوئچ مت کرو!
ماخذ: www.habr.com