Айтішник просканував всю Україну по IP: «У нас серйозні проблеми із безпекою»
Київський IT-підприємець Алекс Рябцев займається веб-розробкою і підтримкою сайтів, давно цікавиться питаннями комп’ютерної безпеки. Коли він прочитав статтю про те, як Крістіан Гашек просканував усю Австрію по IP, то вирішив повторити той самий експеримент, але з українським пулом інтернет-адрес. Результати він опублікував у своєму блозі. Редактор AIN.UA поспілкувалась із Алексом про цей експеримент.
Як отримати усі IP, що належать одній країні?
Принципова ідея Алекса була в тому, щоби не використовувати жодних спеціальних засобів при дослідженні. Для того, щоби просканувати весь пул IP-адрес, що відносяться до однієї країни, потрібно просто подивитись публічний список: IP-адреси видаються на кожну країну і їхні списки публікуються. Можна скачати такий список і відфільтрувати grep Ukraine IP2LOCATION-LITE-DB1.CSV > ukraine.csv
Крістіан написав скрипт для свого експерименту, Алекс скористався ним, щоби привести список у зручніший вигляд. Виявилось, що Україні належить майже стільки ж IPv4 адрес, як і Австрії: 11 640 409, якщо бути точним (для порівняння в Австрії – 11 170 487).
Для роботи з IP-адресами також можна використати сервіс Shodan.io.
Кілька знахідок експерименту:
1. В Україні є непропатчені Windows машини, які мають прямий доступ до інтернету.
Алекс виявив, що з українськими IP-адресами можна знайти 5669 машин під Windows з прямим доступом до мережі (що вочевидь небезпечно), за допомогою команди masscan -p445 –rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l
Серед них є і ті, що вразливі до атаки експлойту ETHERNALBLUE, відомого ще з 2017 року. «В Австрії не було жодної такої машини, і я сподівався, що в Україні також не буде знайдено. На жаль, марно. Знайдено 198 IP адрес, які не закрили цю “дірку” у себе», — пише спеціаліст.
2. В Україні є DNS-сервери-open-resolvers, що можуть бути використані для DDoS-атаки.
За допомогою masscan -pU:53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l Алекс спочатку знайшов ті, що мають відкритий 53 порт, і отримав список зі 58 730 IP-адрес. Втім, це ще не означає, що їх усі можна використати для DDoS-атаки, ці сервери також мають бути open-resolver (тобто, DNS, що дозволяє будь-якому клієнту себе використовувати).
Для цього він використав команду dig: dig +short test.openresolver.com TXT @ip.of.dns.server. Якщо сервер відповідав open-resolver-detected, то можна було вважати його потенційним об’єктом атаки. Такі сервери в українському інтернеті складають 25% від усіх (приблизно так само, як і в Австрії). Серед усіх українських IP — це 0,02%. «Небагато, але може спричинити певні проблеми», — говорить він.
3. Є IP з відкритим 80-м портом (тобто, можна подивитись через браузер). Що на ньому зазвичай «висить»?
- Веб-сервери. «260 849 українських IP відповідають на 80 порту (http). 125 444 адреси відповіли позитивно (200 статус) на простенький GET-запит, який може надіслати браузер. Решта видали ті чи інші помилки. Цікаво, що 853 сервери видали 500 статус, а найрідкіснішими статусами стали 407 (запит на проксі авторизацію) та абсолютно нестандартний 602 (IP не в “білому списку”) по одній відповіді», — пише Алекс. На веб-серверах України, за його спостереженнями, домінує Apache, його використовують 114 544 сервери. Найстаріша зі знайдених версій: 1.3.29, що вийшла 29 жовтня 2003 року. На другому місці – nginx (61 659 серверів). 11 серверів використовують WinCE, яка вийшла 1996 року, а перестали патчити її у 2013 році. Протокол HTTP/2 використовує 5 144 серверів, HTTP/1.1 – 256 836, HTTP/1 – 13 491.
- Принтери. Автору дослідження вдалось знайти два принтери HP, п’ять Epson та чотири Canon, доступних з мережі, а деякі з них навіть не вимагали авторизації.
- Веб-камери. 75 камер транслюють себе в інтернет без захисту. Подивитися на них можна тут.
Саме сканування заняло приблизно місяць, якісь з тестів займали добу часу, якісь йшли пару тижнів.
За словами розробника, це – лише перший крок, далі він буде шукати фінансування під проект, зокрема через RIPE community projects, щоб робити його хвилями й дивитися на динаміку безпеки в Україні.
«Можу сказати, що проблеми існують доволі серйозні, але Україна – не унікальна в цьому. У нас ситуація точно гірше, ніж в Австрії, хоча по кількості IP ми майже однакові. І найголовніше, що про інформаційну безпеку треба думати постійно, як про гігієну. порада проста: вкладати гроші в ІТ не раз на 5-10 років, коли треба поміняти комп’ютер чи зробити новий сайт, а постійно, бо це така ж інфраструктура, як авто чи офіс», – зазначив автор дослідження.
Нагадаємо, нещодавно стало відомо про судову справу, яку Facebook веде проти двох українських програмістів: вони показували користувачам несанкціоновану рекламу.
Комментарии | 10
AIN українською? Молодці!
Так буває, коли даєш матерiал украïнською. 😉
Боже, какой кошмар, в Украине на целых 120 тысяч адресов работают веб-серверы. Шок, скандал, неужели там сайты?!
Скажите, а вот мне адрес 8.8.8.8 ответил положительно про open-resolver, правда, что это очень плохо?
Сергей, настройки 8.8.8.8 (как и другие public DNS) не дадут возможность использовать его для DNS amplification. Вы уверены, что найденные сервера так же настроены, что не дадут возможность провести такую атаку?
Щас набежит куча народу со всякими умными словами… Наши айтишники такие айтишники
Ну молодець. А той факт, що з початку війни волонтери Кібер Спротиву навіть об'єднались у Кібер Альянс та постійно проводять цю ж роботу АІН просто не помічає? Цілий рух #FuckResponsibleDisclosure та #Паравозикоблачко організували. Щось не надто багато статей на АІН з приводу конфіденційної та таємної інформації виявленої в публічному доступі. Хлопець молодець, а от АІН явно недопрацював!
ну про діяльність УКА трохи знаю, але широкому загалу вони майже невідомі (що є й у плюс, і в мінус), тому й почав піднімати питання кібербезпеки загалом.
PS
дякую за «хлопця», мене так ніхто вже років 20 не називав 😉
PPS
крутезний ресурс розвиваєте про підручники!
Я проти ейджизму, бо є молодь, що і мені не наздогнати за здібностями та навиками. Але якщо це ображає особисто автора, то прошу вибачення. Головний меседж всеж стосувався недоопрацювання ЗМІ всього питання.
А ресурсом з підручників не займаюсь від початку війни, просто адреса висить. Головне, що відскановані підручники з відміткою «продаж заборонено» видання, що їх друкували банять за порушення суміжних прав!! Після війни займусь цим питанням вже. https://www.youtube.com/watch?v=TG-xOuexs10 — довоєнна тематика.
А в чем они Украинские, что так назвались? Сайт в основном на английском
Добро пожаловать в интернет, Саша!