Fevral oyida avstriyalik Kristian Xaschek o'z blogida qiziqarli maqola e'lon qildi . Albatta, agar bu tadqiqot takrorlansa, nima bo'lishi meni qiziqtirdi, lekin Ukraina bilan. Bir necha hafta kechayu-kunduz ma'lumot to'plash, maqola tayyorlash uchun yana bir necha kun va ushbu tadqiqot davomida jamiyatimizning turli vakillari bilan suhbatlar, keyin aniqlik kiritish, keyin ko'proq ma'lumot olish. Iltimos, kesma ostida ...
TP; DR
Ma'lumot to'plash uchun hech qanday maxsus vositalar ishlatilmadi (garchi bir nechta odamlar tadqiqotni yanada chuqurroq va ma'lumotli qilish uchun bir xil OpenVAS dan foydalanishni maslahat bergan bo'lsalar ham). Ukraina bilan bog'liq bo'lgan IP-larning xavfsizligi bilan (quyida qanday aniqlanganligi haqida batafsilroq), menimcha, vaziyat juda yomon (va Avstriyada sodir bo'layotgan voqealardan ham yomonroq). Aniqlangan zaif serverlardan foydalanishga urinishlar qilinmagan yoki rejalashtirilmagan.
Avvalo: ma'lum bir mamlakatga tegishli bo'lgan barcha IP-manzillarni qanday olish mumkin?
Bu aslida juda oddiy. IP manzillar mamlakatning o'zi tomonidan yaratilmaydi, lekin unga ajratiladi. Shuning uchun, barcha mamlakatlar va ularga tegishli bo'lgan barcha IP-larning ro'yxati (va u ommaviy) mavjud.
Hamma qila oladi va keyin uni filtrlang grep Ukraina IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ro'yxatni yanada qulayroq shaklga keltirish imkonini beradi.
Ukrainada Avstriyadagi kabi deyarli IPv4 manzillari mavjud, aniqrog'i 11 million 11 640 409 dan ortiq (taqqoslash uchun Avstriyada 11 170 487 ta).
Agar siz o'zingiz IP-manzillar bilan o'ynashni xohlamasangiz (va buni qilmasligingiz kerak!), unda siz xizmatdan foydalanishingiz mumkin. .
Ukrainada Internetga to'g'ridan-to'g'ri kirish imkoniga ega bo'lmagan Windows kompyuterlari bormi?
Albatta, hech bir ongli ukrainalik o'z kompyuterlariga bunday kirishni ochmaydi. Yoki bo'ladimi?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lTarmoqqa to'g'ridan-to'g'ri kirish imkoniyatiga ega 5669 ta Windows mashinalari topildi (Avstriyada atigi 1273 tasi bor, ammo bu juda ko'p).
Voy. Ular orasida 2017 yildan beri ma'lum bo'lgan ETHERNALBLUE ekspluatatsiyasi yordamida hujumga uchraganlar bormi? Avstriyada bunday mashina yo'q edi va men uni Ukrainada ham topib bo'lmaydi deb umid qilgandim. Afsuski, foydasi yo'q. Biz ushbu "teshik" ni o'z-o'zidan yopmagan 198 IP-manzilni topdik.
DNS, DDoS va quyon teshigining chuqurligi
Windows haqida etarli. Keling, DNS-serverlar bilan nima borligini ko'rib chiqaylik, ular ochiq rezolyutorlar va DDoS hujumlari uchun ishlatilishi mumkin.
Bu shunga o'xshash narsa ishlaydi. Buzg'unchi kichik DNS so'rovini yuboradi va zaif server qurbonga 100 baravar kattaroq paket bilan javob beradi. Bom! Bunday hajmdagi ma'lumotlardan korporativ tarmoqlar tezda qulashi mumkin va hujum zamonaviy smartfon taqdim eta oladigan tarmoqli kengligini talab qiladi. Va bunday hujumlar bor edi hatto GitHub-da.
Keling, Ukrainada bunday serverlar bor-yo'qligini ko'rib chiqaylik.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lBirinchi qadam ochiq port 53 bo'lganlarni topishdir. Natijada, bizda 58 730 ta IP manzillar ro'yxati mavjud, ammo bu ularning barchasidan DDoS hujumi uchun foydalanish mumkin degani emas. Ikkinchi talab bajarilishi kerak, ya'ni ular ochiq rezolyutsiyaga ega bo'lishi kerak.
Buni amalga oshirish uchun biz oddiy qazish buyrug'idan foydalanishimiz mumkin va biz qazish + qisqa test.openresolver.com TXT @ip.of.dns.server "qazish" mumkinligini ko'rishimiz mumkin. Agar server ochiq-resolver bilan javob bergan bo'lsa, uni potentsial hujum nishoni deb hisoblash mumkin. Ochiq eritmalar taxminan 25% ni tashkil qiladi, bu Avstriya bilan solishtirish mumkin. Umumiy soni bo'yicha, bu barcha Ukraina IP-larining taxminan 0,02% ni tashkil qiladi.
Ukrainada yana nimani topishingiz mumkin?
So'raganingizdan xursandman. Ochiq 80 portli IP va unda nima ishlayotganini ko'rish osonroq (va shaxsan men uchun eng qiziq).
veb-server
260 849 Ukraina IP-si 80-portga (http) javob beradi. Brauzeringiz yuborishi mumkin bo'lgan oddiy GET so'roviga 125 444 ta manzil ijobiy javob berdi (200 ta holat). Qolganlari u yoki bu xatoni keltirib chiqardi. Qizig'i shundaki, 853 ta server 500 maqomini berdi va eng kamdan-kam holatlar 407 (proksi avtorizatsiya so'rovi) va bitta javob uchun mutlaqo nostandart 602 (IP "oq ro'yxatda" yo'q) edi.
Apache mutlaq ustunlik qiladi - 114 544 server undan foydalanadi. Ukrainada topilgan eng qadimgi versiya 1.3.29, 29 yil 2003 oktyabrda chiqarilgan (!!!). nginx 61 659 ta server bilan ikkinchi oβrinda.
11 ta server 1996-yilda chiqarilgan WinCE-dan foydalanadi va ular 2013-yilda uni tuzatishni tugatdilar (Avstriyada faqat 4 tasi bor).
HTTP/2 protokoli 5 144 ta serverdan foydalanadi, HTTP/1.1 - 256 836, HTTP/1 - 13 491.
Printerlar... chunki... nima uchun?
Tarmoqdan foydalanish mumkin bo'lgan 2 HP, 5 Epson va 4 Canon, ularning ba'zilari hech qanday ruxsatsiz.
veb-kameralar
Ukrainada turli xil manbalarda to'plangan Internetda o'zini ko'rsatadigan ko'plab veb-kameralar mavjudligi yangilik emas. Kamida 75 ta kamera hech qanday himoyasiz Internetga uzatiladi. Siz ularga qarashingiz mumkin .
Keyin nima?
Ukraina Avstriya kabi kichik davlat, ammo IT sohasida yirik davlatlar bilan bir xil muammolarga ega. Biz nima xavfsiz va nima xavfli ekanligini yaxshiroq tushunishni rivojlantirishimiz kerak va uskunalar ishlab chiqaruvchilari o'z uskunalari uchun xavfsiz dastlabki konfiguratsiyalarni taqdim etishlari kerak.
Bundan tashqari, men hamkor kompaniyalarni yig'aman (), bu sizning IT infratuzilmangizning yaxlitligini ta'minlashga yordam beradi. Men qilishni rejalashtirgan keyingi qadam - Ukraina veb-saytlarining xavfsizligini ko'rib chiqish. O'zgartirmang!
Manba: www.habr.com