Vào tháng XNUMX, Christian Haschek người Áo đã xuất bản một bài viết thú vị trên blog của mình có tựa đề . Tất nhiên, tôi quan tâm đến điều gì sẽ xảy ra nếu nghiên cứu này được lặp lại, nhưng với Ukraine. Vài tuần thu thập thông tin suốt ngày đêm, thêm vài ngày nữa để chuẩn bị bài viết, và trong quá trình nghiên cứu này, chúng tôi trò chuyện với nhiều đại diện khác nhau của xã hội chúng ta, sau đó làm rõ, sau đó tìm hiểu thêm. Xin vui lòng dưới vết cắt...
TL; DR
Không có công cụ đặc biệt nào được sử dụng để thu thập thông tin (mặc dù một số người khuyên nên sử dụng cùng OpenVAS để làm cho nghiên cứu kỹ lưỡng và nhiều thông tin hơn). Với tính bảo mật của các IP có liên quan đến Ukraine (xem thêm cách xác định bên dưới), theo tôi, tình hình khá tồi tệ (và chắc chắn còn tồi tệ hơn những gì đang xảy ra ở Áo). Không có nỗ lực nào được thực hiện hoặc lên kế hoạch khai thác các máy chủ dễ bị tấn công được phát hiện.
Trước hết: làm cách nào bạn có thể có được tất cả địa chỉ IP thuộc về một quốc gia nhất định?
Nó thực sự rất đơn giản. Địa chỉ IP không phải do chính quốc gia tạo ra mà được phân bổ cho quốc gia đó. Do đó, có một danh sách (và được công khai) về tất cả các quốc gia và tất cả IP thuộc về họ.
Mọi người có thể và sau đó lọc nó grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, cho phép bạn đưa danh sách sang dạng dễ sử dụng hơn.
Ukraine sở hữu số địa chỉ IPv4 gần bằng Áo, chính xác là hơn 11 triệu 11 (để so sánh, Áo có 640).
Nếu bạn không muốn tự mình sử dụng địa chỉ IP (và bạn không nên làm như vậy!), thì bạn có thể sử dụng dịch vụ .
Có máy Windows nào chưa được vá lỗi ở Ukraina có thể truy cập trực tiếp vào Internet không?
Tất nhiên, không một người Ukraine có ý thức nào sẽ mở quyền truy cập như vậy vào máy tính của họ. Hay nó sẽ như vậy?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 máy Windows có quyền truy cập trực tiếp vào mạng đã được tìm thấy (ở Áo chỉ có 1273 máy, nhưng như vậy là rất nhiều).
Ối. Có bất kỳ ai trong số họ có thể bị tấn công bằng cách khai thác ETHERNALBLUE đã được biết đến từ năm 2017 không? Không có một chiếc xe nào như vậy ở Áo và tôi hy vọng rằng nó cũng sẽ không được tìm thấy ở Ukraine. Thật không may, nó không có tác dụng. Chúng tôi đã tìm thấy 198 địa chỉ IP không tự đóng “lỗ hổng” này.
DNS, DDoS và độ sâu của hố thỏ
Đủ về Windows. Hãy xem chúng tôi có những gì với máy chủ DNS, là máy phân giải mở và có thể được sử dụng cho các cuộc tấn công DDoS.
Nó hoạt động như thế này. Kẻ tấn công gửi một yêu cầu DNS nhỏ và máy chủ dễ bị tấn công sẽ phản hồi nạn nhân bằng gói lớn hơn 100 lần. Bùm! Mạng công ty có thể nhanh chóng sụp đổ trước khối lượng dữ liệu như vậy và một cuộc tấn công đòi hỏi băng thông mà điện thoại thông minh hiện đại có thể cung cấp. Và đã có những cuộc tấn công như vậy ngay cả trên GitHub.
Hãy xem liệu có máy chủ như vậy ở Ukraine không.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lBước đầu tiên là tìm những cổng có cổng 53 mở. Kết quả là chúng ta có danh sách 58 địa chỉ IP, nhưng điều này không có nghĩa là tất cả chúng đều có thể được sử dụng cho một cuộc tấn công DDoS. Yêu cầu thứ hai phải được đáp ứng, cụ thể là chúng phải có độ phân giải mở.
Để thực hiện việc này, chúng ta có thể sử dụng lệnh dig đơn giản và thấy rằng chúng ta có thể “đào” dig + short test.openresolver.com TXT @ip.of.dns.server. Nếu máy chủ phản hồi với phát hiện trình phân giải mở thì nó có thể được coi là mục tiêu tấn công tiềm năng. Trình phân giải mở chiếm khoảng 25%, tương đương với Áo. Xét về tổng số, con số này chiếm khoảng 0,02% tổng số IP của Ukraine.
Bạn có thể tìm thấy gì khác ở Ukraine?
Rất vui vì bạn đã hỏi. Việc xem IP có cổng 80 mở và những gì đang chạy trên đó sẽ dễ dàng hơn (và thú vị nhất đối với cá nhân tôi).
máy chủ web
260 IP Ukraina phản hồi cổng 849 (http). 80 địa chỉ đã phản hồi tích cực (125 trạng thái) cho yêu cầu GET đơn giản mà trình duyệt của bạn có thể gửi. Phần còn lại tạo ra lỗi này hoặc lỗi khác. Điều thú vị là 444 máy chủ đã đưa ra trạng thái 200 và trạng thái hiếm nhất là 853 (yêu cầu ủy quyền proxy) và 500 hoàn toàn không chuẩn (IP không có trong “danh sách trắng”) cho một phản hồi.
Apache hoàn toàn chiếm ưu thế - 114 máy chủ sử dụng nó. Phiên bản cũ nhất tôi tìm thấy ở Ukraine là 544, phát hành vào ngày 1.3.29 tháng 29 năm 2003 (!!!). nginx đứng ở vị trí thứ hai với 61 máy chủ.
11 máy chủ sử dụng WinCE, được phát hành vào năm 1996 và họ đã vá xong vào năm 2013 (chỉ có 4 máy chủ này ở Áo).
Giao thức HTTP/2 sử dụng 5 máy chủ, HTTP/144 - 1.1, HTTP/256 - 836.
Máy in... vì... tại sao không?
2 HP, 5 Epson và 4 Canon, có thể truy cập được từ mạng, một số trong số đó không có bất kỳ sự cho phép nào.
webcam
Không có gì đáng ngạc nhiên khi ở Ukraine có RẤT NHIỀU webcam tự phát sóng trên Internet, được thu thập trên nhiều nguồn khác nhau. Ít nhất 75 camera tự phát sóng lên Internet mà không có bất kỳ biện pháp bảo vệ nào. Bạn có thể nhìn vào chúng .
Cái gì tiếp theo?
Ukraine là một quốc gia nhỏ, giống như Áo, nhưng cũng gặp phải những vấn đề giống như các nước lớn trong lĩnh vực CNTT. Chúng ta cần phát triển sự hiểu biết tốt hơn về điều gì là an toàn và điều gì là nguy hiểm, đồng thời các nhà sản xuất thiết bị phải cung cấp cấu hình ban đầu an toàn cho thiết bị của họ.
Ngoài ra, tôi còn thu thập các công ty đối tác (), có thể giúp bạn đảm bảo tính toàn vẹn của cơ sở hạ tầng CNTT của riêng bạn. Bước tiếp theo tôi dự định làm là xem xét tính bảo mật của các trang web tiếng Ukraina. Đừng chuyển đổi!
Nguồn: www.habr.com