Київський IT-підприємець Алекс Рябцев займається веб-розробкою і підтримкою сайтів, давно цікавиться питаннями комп’ютерної безпеки. Коли він прочитав статтю про те, як Крістіан Гашек просканував усю Австрію по IP, то вирішив повторити той самий експеримент, але з українським пулом інтернет-адрес. Результати він опублікував у своєму блозі. Редактор AIN.UA поспілкувалась із Алексом про цей експеримент. 

Як отримати усі IP, що належать одній країні?

Принципова ідея Алекса була в тому, щоби не використовувати жодних спеціальних засобів при дослідженні. Для того, щоби просканувати весь пул IP-адрес, що відносяться до однієї країни, потрібно просто подивитись публічний список: IP-адреси видаються на кожну країну і їхні списки публікуються. Можна скачати такий список і відфільтрувати grep Ukraine IP2LOCATION-LITE-DB1.CSV > ukraine.csv

Крістіан написав скрипт для свого експерименту, Алекс скористався ним, щоби привести список у зручніший вигляд. Виявилось, що Україні належить майже стільки ж IPv4 адрес, як і Австрії: 11 640 409, якщо бути точним (для порівняння в Австрії – 11 170 487).

Для роботи з IP-адресами також можна використати сервіс Shodan.io.

Кілька знахідок експерименту:

1. В Україні є непропатчені Windows машини, які мають прямий доступ до інтернету. 

Алекс виявив, що з українськими IP-адресами можна знайти 5669 машин під Windows з прямим доступом до мережі (що вочевидь небезпечно), за допомогою команди masscan -p445 –rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

Серед них є і ті, що вразливі до атаки експлойту ETHERNALBLUE, відомого ще з 2017 року. «В Австрії не було жодної такої машини, і я сподівався, що в Україні також не буде знайдено. На жаль, марно. Знайдено 198 IP адрес, які не закрили цю “дірку” у себе», – пише спеціаліст. 

2. В Україні є DNS-сервери-open-resolvers, що можуть бути використані для DDoS-атаки. 

За допомогою masscan -pU:53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l Алекс спочатку знайшов ті, що мають відкритий 53 порт, і отримав список зі 58 730 IP-адрес. Втім, це ще не означає, що їх усі можна використати для DDoS-атаки, ці сервери також мають бути open-resolver (тобто, DNS, що дозволяє будь-якому клієнту себе використовувати). 

Для цього він використав команду dig: dig +short test.openresolver.com TXT @ip.of.dns.server. Якщо сервер відповідав open-resolver-detected, то можна було вважати його потенційним об’єктом атаки. Такі сервери в українському інтернеті складають 25% від усіх (приблизно так само, як і в Австрії). Серед усіх українських IP – це 0,02%. «Небагато, але може спричинити певні проблеми», – говорить він.  

3. Є IP з відкритим 80-м портом (тобто, можна подивитись через браузер). Що на ньому зазвичай «висить»?

  • Веб-сервери. «260 849 українських IP відповідають на 80 порту (http). 125 444 адреси відповіли позитивно (200 статус) на простенький GET-запит, який може надіслати браузер. Решта видали ті чи інші помилки. Цікаво, що 853 сервери видали 500 статус, а найрідкіснішими статусами стали 407 (запит на проксі авторизацію) та абсолютно нестандартний 602 (IP не в “білому списку”) по одній відповіді», – пише Алекс. На веб-серверах України, за його спостереженнями, домінує Apache, його використовують 114 544 сервери. Найстаріша зі знайдених версій: 1.3.29, що вийшла 29 жовтня 2003 року. На другому місці – nginx (61 659 серверів). 11 серверів використовують WinCE, яка вийшла 1996 року, а перестали патчити її у 2013 році. Протокол HTTP/2 використовує 5 144 серверів, HTTP/1.1 – 256 836, HTTP/1 – 13 491. 
  • Принтери.  Автору дослідження вдалось знайти два принтери HP, п’ять Epson та чотири Canon, доступних з мережі, а деякі з них навіть не вимагали авторизації. 
  • Веб-камери. 75 камер транслюють себе в інтернет без захисту. Подивитися на них можна тут

Саме сканування заняло приблизно місяць, якісь з тестів займали добу часу, якісь йшли пару тижнів. 

За словами розробника, це – лише перший крок, далі він буде шукати фінансування під проект, зокрема через RIPE community projects, щоб робити його хвилями й дивитися на динаміку безпеки в Україні. 

«Можу сказати, що проблеми існують доволі серйозні, але Україна – не унікальна в цьому. У нас ситуація точно гірше, ніж в Австрії, хоча по кількості IP ми майже однакові. І найголовніше, що про інформаційну безпеку треба думати постійно, як про гігієну. порада проста: вкладати гроші в ІТ не раз на 5-10 років, коли треба поміняти комп’ютер чи зробити новий сайт, а постійно, бо це така ж інфраструктура, як авто чи офіс», – зазначив автор дослідження. 

Нагадаємо, нещодавно стало відомо про судову справу, яку Facebook веде проти двох українських програмістів: вони показували користувачам несанкціоновану рекламу.